Author: hadi s

Ringkasan Analisis kami terhadap repositori malware publik menunjukkan terus meningkatnya malware yang menargetkan OT/ICS. Lebih dari 20% serangan OT/ICS menargetkan workstation teknik, jadi kami fokus pada hal ini. Kami melihat dua insiden dengan workstation teknik Mitsubishi yang terinfeksi worm Ramnit. Kami menganalisis tiga sampel malware baru yang dapat menghentikan proses teknik Siemens — kami menamakannya Chaya_003. Panduan Perkuat workstation teknik. Segmentasi jaringan. Monitor untuk ancaman. Analisis lengkap dan rekomendasi mitigasi ada di bawah. Malware spesifik OT seperti FrostyGoop/BUSTLEBERM masih jauh lebih jarang dibandingkan dengan malware yang menargetkan perangkat lunak perusahaan atau sistem operasi seluler berdasarkan volume. Namun, tidak ada ruang untuk tidur tenang bagi operator keamanan di OT atau mereka yang mengelola keamanan sistem kontrol industri. Malware di OT/ICS lebih umum daripada yang Anda kira — dan workstation teknik yang terhubung ke internet adalah target. Kami baru-baru ini menganalisis keluarga botnet otomatis seperti Aisuru, Kaiten, dan Gafgyt, yang dapat ditemukan di repositori malware publik VirusTotal pada waktu yang sama dengan FrostyGoop/BUSTLEBERM. Yang kami temukan termasuk kredensial default perangkat OT untuk infeksi awal atau instruksi untuk menghapus direktori data sensitif. Botnet tersebut biasanya menyusup ke jaringan melalui perangkat yang dapat diakses melalui internet. Menurut survei terbaru dari SANS Institute mengenai “State of ICS/OT Cybersecurity”, perangkat yang terhubung merupakan salah satu vektor serangan awal yang paling umum terlibat dalam insiden OT/sistem kontrol dunia nyata. Survei SANS yang sama mengidentifikasi kompromi workstation teknik sebagai vektor serangan awal yang paling umum keempat, yang menyumbang lebih dari 20% insiden OT/sistem kontrol. Sebagai tanggapan, kami menganalisis jenis malware yang menargetkan workstation teknik yang tersedia di repositori VirusTotal selama periode 90 hari yang bertepatan dengan publikasi survei SANS. Penelitian kami mengungkapkan dua klaster aktivitas yang signifikan: Klaster 1: Software eksekutabel workstation teknik Mitsubishi yang sah terinfeksi worm Ramnit dalam dua insiden terpisah. Klaster 2: Tiga sampel malware eksperimental baru, yang kami namakan Chaya_003, yang dapat menghentikan proses teknik Siemens. Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS Workstation teknik terletak pada tingkat 2 dan 3 dari model Purdue, seperti yang ditunjukkan dalam diagram arsitektur OT standar di bawah ini. Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS Workstation teknik adalah komputer standar yang menjalankan sistem operasi tradisional, seperti Windows, bersama dengan perangkat lunak teknik khusus yang disediakan oleh produsen peralatan, seperti Siemens TIA Portal atau Mitsubishi GX Works. Perangkat lunak ini sangat penting untuk pengaturan dan pemrograman perangkat lapangan seperti programmable logic controller (PLC) yang beroperasi di tingkat bawah Model Purdue. Untuk menyelidiki potensi ancaman, kami fokus pada identifikasi dua kategori artefak yang diunggah ke VirusTotal: Eksekusi perangkat lunak teknik yang terdeteksi terinfeksi oleh alat deteksi malware umum. File yang berpotensi berbahaya yang dirancang untuk berinteraksi dengan perangkat lunak teknik. Untuk menangani kedua kasus ini, kami mengembangkan aturan YARA yang menggabungkan tanda tangan eksekutabel biner yang merujuk pada artefak OT khusus, termasuk nama eksekutabel, panggilan API dari DLL, dan sumber ikon. Tujuannya adalah untuk mengidentifikasi eksekutabel berbahaya yang menunjukkan perilaku, termasuk: Menyematkan nama perangkat lunak teknik sebagai string Menghubungkan atau mengekspor fungsi yang biasanya ditemukan dalam DLL perangkat lunak teknik Atau menyamar sebagai perangkat lunak teknik yang sah dengan menggunakan ikon yang terlihat asli Aturan YARA yang kami kembangkan mencakup tanda tangan untuk perangkat lunak teknik berikut: Siemens TIA Portal CODESYS v2 Mitsubishi GX Works Rockwell Automation RSLogix500 Phoenix Contact PC Worx Kami menerapkan aturan ini selama periode 90 hari, dari Agustus hingga November 2024 dan memperoleh hasil berikut: Rockwell Automation dan CODESYS: Tidak ada kecocokan yang terdeteksi. Phoenix Contact: 20 kecocokan teridentifikasi, semuanya adalah DLL benign. Mitsubishi: 10 kecocokan terkait dengan file sah yang terinfeksi oleh worm Ramnit. Siemens: 3 kecocokan dikonfirmasi sebagai eksekutabel berbahaya, sementara 1 kecocokan ditandai sebagai berbahaya namun akhirnya diidentifikasi sebagai positif palsu. Pada bagian berikutnya, kami menganalisis sampel berbahaya ini secara rinci. Ramnit: Infektor PE Kembali Menyerang Investigasi kami mengungkapkan dua klaster Ramnit yang menginfeksi workstation teknik: Klaster 1: Klaster ini berisi satu eksekutabel Mitsubishi GX Works dengan hash SHA-256: 703f0aac78d388f1fbe3800697015d092fa70cea2c01f22f456c8b1aa20a2334 Sampel ini dikirim dari Kanada pada 7 Juli 2024 dengan waktu pembuatan 16 April 2014. Klaster 2: Klaster ini terdiri dari 9 DLL yang terkait dengan eksekutabel yang sama. Semua dikirim dari Amerika Serikat pada 18 Oktober 2024 dan memiliki waktu pembuatan 28 Mei 2018: 1b8957804dfa7324d10bf6d7ca22fc038951ab57ab1e6838da9c63ad057c1d20 5b63ca75f95dc549729bb6261e9dc22f6425547584366188770507bd964221b4 5ec05f903cc94d559b8eb23aa749805b78de2845bd2317017bc8e50cdceb613f 69eb2b940ba1fc7bc46699eeb3ff11d921683609f636efae05c0cb796b588a38 8b585155cdc7fcbe3d2fa169b307756557ef0d69afb392726f577a73f11d5a97 a1d721db0583eed0077bb8ab542ff15a806d24e2dbf13557b12842bd49995354 ad5922bcc740e5761a708c526d023450ca278168ebcefaaf80f85815d6d6d24e c1826e0d310a6a02f2ee1b5d88b6c0dd48baa8fe1dd99447e98e42c4ca023c96 fd8558b8a4165ebb47f120fa237c2ada306c430ae4cb2109eb644fd8b0b82b15 Perbedaan lokasi, waktu, dan versi pengiriman yang dikompilasi untuk bahasa yang berbeda menunjukkan bahwa ini adalah dua infeksi terpisah. Ramnit adalah jenis malware yang pertama kali muncul pada tahun 2010 sebagai trojan perbankan yang dirancang untuk mencuri kredensial dari korban yang kemudian dijual di forum bawah tanah. Seiring waktu, Ramnit berkembang menjadi platform modular yang dapat mengunduh plugin dari server command and control (C2). Plugin ini memungkinkan fungsionalitas canggih, seperti desktop jarak jauh dan pengambilan screenshot. Pada tahun 2021, Ramnit telah menjadi trojan perbankan yang paling aktif. Itu menggabungkan kode sumber yang disalin dari malware sebelumnya yang dikenal sebagai Zeus dan akhirnya mengarah pada pengembangan strain malware lainnya yang disebut Bumblebee pada tahun 2022. Mandiant melaporkan pada tahun 2021 bahwa infeksi Ramnit pada perangkat lunak OT adalah bagian dari tren yang berkembang, bersama dengan infektor PE serupa lainnya – malware yang menyisipkan kode berbahaya ke dalam eksekutabel Windows yang sah. Contoh lainnya termasuk Sality, Virut, Expiro, DirtCleaner, Jeefo, Neshta, LockLoad, Parite, dan Floxif. Kami tidak dapat memastikan apakah dua klaster Ramnit yang kami identifikasi secara langsung menargetkan sistem OT – yang mana – atau bagaimana workstation teknik terinfeksi. Jenis malware ini dapat menyebar melalui perangkat fisik yang terinfeksi, seperti USB, atau melalui jaringan yang terkompromi oleh sistem TI yang kurang tersegmentasi dengan baik. Namun, temuan kami menunjukkan bahwa tren yang diidentifikasi pada tahun 2021 tetap ada. Setidaknya satu dari infektor yang sama yang diamati tiga tahun lalu terus mempengaruhi jaringan OT di seluruh dunia. DLL yang terinfeksi menjatuhkan eksekutabel, file yang dibungkus dengan UPX, ke C:\Program Files (x86)\Microsoft\DesktopLayer.exe. File ini, dengan hash SHA-256 fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320, telah diamati ribuan kali dengan berbagai nama file sejak 2010. Ini telah diunduh dari ratusan URL, termasuk contoh terbaru berikut: 432i[.]com pada 2024-09-11 az-security[.]info pada 2024-10-08 0g0d[.]com pada 2024-10-10 grpaper[.]com pada 2024-11-19 Eksekutabel…

Salah satu jenis serangan denial-of-service (DoS) yang paling umum adalah SYN flood, yang dapat mengganggu fungsi normal jaringan dengan membanjiri server dengan permintaan koneksi palsu.   Apa Itu Serangan SYN Flood? Serangan SYN flood adalah bentuk serangan denial-of-service (DoS) yang menargetkan cara komputer saling terhubung melalui internet. Ketika sebuah komputer (klien) ingin berkomunikasi dengan komputer lain (server), ia memulai dengan mengirimkan permintaan “SYN” (sinkronisasi). Server kemudian membalas dengan respons “SYN-ACK” (sinkronisasi-akui). Klien kemudian menyelesaikan koneksi dengan mengirimkan pesan “ACK” (pengakuan). Penyerang membanjiri server dengan banyak permintaan SYN. Server merespons setiap permintaan; namun, penyerang tidak pernah mengirimkan pesan ACK terakhir. Akibatnya, server terus menunggu respons ACK yang hilang, yang menghabiskan sumber daya server. Ini menyebabkan server menunggu, mengisi kapasitas koneksinya, dan membuatnya tidak mampu menangani permintaan sah, yang mengarah pada denial of service (DoS). Seiring dengan semakin terganggunya server yang menjadi sasaran dan tidak responsif, serangan ini mengganggu akses pengguna yang sah. Hal ini mengakibatkan waktu henti, kehilangan layanan, dan potensi kerusakan pada reputasi perusahaan. Dalam lingkungan dengan lalu lintas tinggi, seperti pengecer online dan perbankan online, serangan ini membebani sumber daya jaringan, menurunkan kinerja, dan menyebabkan ketidakpuasan pelanggan.   Cara Menyadari Serangan SYN Flood Volume Paket SYN Masuk yang Tinggi: Lonjakan tak terduga dalam paket SYN adalah tanda utama dari serangan SYN flood. Ini adalah karakteristik utama dari serangan, di mana penyerang membanjiri server dengan permintaan SYN. Jumlah Koneksi TCP Setengah Terbuka yang Tidak Biasa Tinggi: Server yang diserang akan mengumpulkan banyak koneksi yang belum selesai, di mana server menunggu langkah akhir dari proses handshake untuk diselesaikan, tetapi klien tidak pernah merespons dengan ACK terakhir. Kelelahan Sumber Daya: Serangan SYN flood sering menyebabkan kelelahan sumber daya pada server target, karena server dipaksa untuk mengalokasikan sumber daya untuk setiap koneksi yang belum lengkap. IP Sumber yang Tidak Biasa atau Pemalsuan IP: Penyerang sering memalsukan alamat IP sumber dalam serangan SYN flood; ini menyebabkan banyak alamat IP unik atau mencurigakan yang mengirimkan permintaan SYN ke target.   Mencegah Serangan SYN Flood Meskipun Forcepoint menawarkan berbagai kemampuan keamanan, seperti analisis perilaku lalu lintas dan inspeksi paket mendalam (DPI) untuk menganalisis konten lalu lintas masuk dan memantau aktivitas jaringan secara keseluruhan, kami juga menyediakan fitur khusus yang melindungi dari serangan SYN Flood. Fitur-fitur ini meliputi: Perlindungan DoS Berbasis Laju: Fitur ini membatasi jumlah permintaan SYN yang masuk per detik, membantu mencegah serangan SYN flood dengan secara otomatis memblokir lalu lintas yang melebihi ambang kebijakan yang telah ditentukan, memastikan server tidak dibanjiri dengan terlalu banyak permintaan. Batas untuk Koneksi TCP Setengah Terbuka: Fitur ini menetapkan ambang jumlah koneksi yang belum selesai yang akan diizinkan oleh firewall, mencegah server menjadi dibanjiri dengan koneksi setengah terbuka, yang merupakan hasil tipikal dari serangan SYN flood. Sensitivitas Permintaan HTTP Lambat: Fitur ini mendeteksi permintaan HTTP yang lambat atau tertunda, yang kadang-kadang digunakan bersamaan dengan SYN flood untuk menghabiskan sumber daya server. Fitur ini membantu mengidentifikasi dan memblokir lalu lintas berbahaya yang berusaha mengikat sumber daya server dengan transaksi HTTP yang lambat dan tidak lengkap. Sensitivitas Serangan SYN Flood: Dengan secara khusus menargetkan serangan SYN flood, fitur ini mendeteksi tingkat paket SYN yang sangat tinggi dan secara otomatis memicu pertahanan untuk memblokir atau mengurangi serangan, mencegah server dari dibanjiri dengan koneksi setengah terbuka. Timeout Daftar Hitam Permintaan HTTP Lambat: Ketika permintaan HTTP lambat atau berbahaya terdeteksi, fitur ini menambahkan alamat IP yang melanggar ke daftar hitam untuk periode timeout yang ditentukan, mencegah mereka melakukan koneksi lebih lanjut dan mengurangi dampak dari serangan SYN flood serta serangan lambat lainnya. Sensitivitas Reset TCP: Fitur ini dapat mendeteksi reset sesi TCP yang tidak normal (paket RST) dan secara otomatis mereset koneksi berbahaya atau yang belum lengkap, menutup sesi setengah terbuka yang disebabkan oleh serangan SYN flood dan membebaskan sumber daya server.   Dengan menganalisis pola dan dasar untuk lalu lintas yang sah, Forcepoint mendeteksi anomali seperti lonjakan permintaan SYN atau sumber permintaan yang tidak biasa. Ketika aktivitas mencurigakan terdeteksi, sistem secara otomatis menandai potensi percobaan serangan SYN flood, memungkinkan tindakan cepat untuk mencegah kerusakan sebelum berkembang lebih jauh.

Selama dekade terakhir, internet telah berkembang dari alat informasi sederhana menjadi platform yang kuat yang mendukung aplikasi SaaS yang penting bagi bisnis. Baru-baru ini, pandemi mempercepat peralihan ke cloud karena banyak organisasi yang berusaha memenuhi kebutuhan baru untuk pekerja hibrida. Gelombang pekerja hibrida ini menuntut kelincahan dari aplikasi cloud. Mereka juga mengharapkan alat yang memungkinkan kolaborasi pada tingkat baru. Meskipun rangkaian aplikasi Microsoft 365 sudah sangat populer, tren menuju aplikasi SaaS yang berfokus pada kolaborasi semakin mempercepat adopsi M365 secara keseluruhan. Oleh karena itu, tidak mengherankan jika M365 muncul sebagai pendorong utama pekerjaan jarak jauh dan hibrida, didorong oleh beragam kemampuan kolaborasi yang ditawarkan oleh suite SaaS ini—dari Outlook ke Teams, OneDrive ke SharePoint. Saat ini, lebih dari 500.000 perusahaan dan 270 juta pengguna terhubung dan berkolaborasi melalui Microsoft Teams. Namun, ada sisi negatifnya. Adopsi M365 yang luas menjadikannya target utama untuk serangan siber. Hal ini terlihat dari beberapa pelanggaran data terkenal dalam beberapa tahun terakhir, termasuk serangan kelompok Lapsus$ pada tahun 2021 dan pencurian 60 ribu email Departemen Luar Negeri pada tahun 2023. Seberapa Aman Microsoft 365? Microsoft 365 dianggap sebagai platform yang sangat aman, menggunakan beberapa lapisan perlindungan termasuk enkripsi data saat disimpan dan saat ditransmisikan, metode otentikasi yang kuat seperti otentikasi multi-faktor (MFA), kontrol akses yang kuat, dan pemantauan keamanan yang terus-menerus. Ini menjadikannya pilihan yang andal untuk melindungi data bisnis yang sensitif; namun, tidak ada sistem yang kebal terhadap potensi ancaman keamanan, dan praktik pengguna yang tepat tetap penting. Itulah mengapa kami mengembangkan sumber daya baru yang disebut Microsoft 365 Data Security Playbook. Ini adalah panduan singkat yang berfokus pada bagaimana Forcepoint membantu Anda membangun kemampuan keamanan inti M365 untuk memastikan keamanan data organisasi Anda di Microsoft 365. 5 Cara Membuat M365 Lebih Aman Unduh eBook baru ini untuk mempelajari lebih lanjut bagaimana Forcepoint ONE CASB dapat membantu organisasi Anda: Mendapatkan visibilitas ke M365 (dan pendekatan tidak terkelola lainnya) Melindungi pengguna dari serangan malware M365 Mengamankan kolaborasi untuk pekerja hibrida, mitra, dan kontraktor pihak ketiga Menemukan berbagi publik konten sensitif dari SharePoint dan OneDrive Mencegah eksfiltrasi data dari Outlook, SharePoint, OneDrive, dan Teams

Rumah Sakit dan Penyedia Layanan Kesehatan Merekam Berbagai Jenis Informasi Sensitif tentang Pasien, dan Mereka Memiliki Beban Khusus untuk Menjaga Informasi Ini dengan Baik. Selain Mematuhi Regulasi Privasi Data Standar, Mereka Juga Harus Mematuhi Cara Mereka Menangani Informasi Kesehatan yang Dilindungi (PHI). Dampak dari pelanggaran data yang melibatkan PHI bisa sangat merugikan. Sejauh ini pada tahun 2024, American Hospital Association (AHA) telah mencatat 386 serangan siber terhadap sektor kesehatan—yang menunjukkan bahwa jumlahnya akan melampaui tingkat aktivitas yang tercatat pada tahun 2023. Dan pada tahun 2023, mereka melihat jumlah individu yang terpengaruh oleh serangan terhadap sektor kesehatan melonjak 287% dibandingkan dengan tahun sebelumnya. Dengan Change Healthcare yang mengonfirmasi bulan lalu bahwa pelanggarannya memengaruhi data 100 juta individu—hampir sepertiga dari populasi Amerika Serikat—jelas bahwa dampak dari pelanggaran data PHI diperkirakan akan meningkat lagi pada tahun 2024. Jadi, apa yang bisa dilakukan untuk memperlambat aktivitas ini? Di sini kami akan membahas sepuluh teknik yang dapat digunakan perusahaan di sektor kesehatan untuk menerapkan dan mempertahankan keamanan cloud yang sesuai dengan HIPAA, mencegah pelanggaran data, dan menjaga kepercayaan pelanggan. Teknik-teknik tersebut antara lain: Memahami bagaimana aturan HIPAA berlaku untuk data di cloud Memilih Penyedia Layanan Cloud (CSP) yang sesuai dengan HIPAA Menyusun Perjanjian Mitra Bisnis (BAA) dengan CSP Anda Melakukan penilaian risiko secara menyeluruh Mengklasifikasikan data berdasarkan tingkat sensitivitas Menerapkan enkripsi dan perlindungan data Mengatur kontrol akses dan manajemen identitas Melakukan audit dan pemantauan secara rutin Secara rutin memperbarui dan memasang patch pada sistem Melatih karyawan dalam keamanan dan kepatuhan Memahami Peran Kepatuhan HIPAA Catatan medis di Amerika Serikat diatur oleh Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), yang sekarang dapat ditegakkan lebih efektif melalui Undang-Undang Teknologi Informasi Kesehatan untuk Kesehatan Klinis dan Ekonomi (HITECH) tahun 2009 dan Aturan Omnibus HIPAA. Model tanggung jawab bersama menyatakan bahwa meskipun penyedia layanan dapat mematuhi HIPAA, tanggung jawab kepatuhan dimulai dan berakhir pada infrastruktur cloud yang dihosting. Organisasi kesehatan bertanggung jawab untuk menerapkan kontrol guna memastikan keamanan cloud yang sesuai dengan HIPAA. Bagi organisasi di sektor kesehatan, memastikan kepatuhan HIPAA dimulai dengan menerapkan praktik yang tepat. Praktik Keamanan Cloud HIPAA yang Terbukti Efektif Memahami bagaimana aturan HIPAA berlaku untuk data di cloud Di Amerika Serikat, HIPAA menetapkan standar untuk melindungi data sensitif pasien. Aturan Privasi dan Aturan Keamanan sangat relevan untuk data di cloud. Aturan Privasi berfokus pada perlindungan PHI, sementara Aturan Keamanan menguraikan perlindungan administratif, fisik, dan teknis yang diperlukan untuk memastikan kerahasiaan, integritas, dan ketersediaan PHI elektronik (ePHI). Memahami aturan-aturan ini adalah langkah pertama untuk mencapai kepatuhan HIPAA. Memilih Penyedia Layanan Cloud (CSP) yang sesuai dengan HIPAA Memilih CSP yang tepat sangat penting. Carilah penyedia yang menawarkan layanan yang mematuhi HIPAA dan memiliki rekam jejak yang terbukti dalam industri kesehatan. Pastikan mereka menyediakan langkah-langkah keamanan yang diperlukan, seperti enkripsi, kontrol akses, dan audit rutin. Anda harus dapat mengakses data Anda setiap saat, jadi CSP Anda harus menawarkan waktu operasional hampir 100 persen. Mereka juga harus memiliki rencana pemulihan bencana untuk memulihkan data Anda jika terjadi pelanggaran, serangan ransomware, atau bencana alam. Menyusun Perjanjian Mitra Bisnis (BAA) dengan CSP Anda BAA adalah kontrak yang menguraikan tanggung jawab masing-masing pihak dalam melindungi PHI. Ini memastikan bahwa CSP Anda memahami dan mematuhi regulasi HIPAA. Perjanjian ini bukan sekadar formalitas; ini adalah komponen kritis dari strategi kepatuhan Anda. Pastikan BAA mencakup ketentuan mengenai enkripsi data, pemberitahuan pelanggaran, dan penilaian keamanan rutin. Melakukan penilaian risiko secara menyeluruh Penilaian risiko yang komprehensif mengidentifikasi potensi kerentanannya dalam lingkungan cloud Anda. Proses ini melibatkan evaluasi kemungkinan dan dampak dari berbagai ancaman terhadap ePHI. Gunakan temuan ini untuk menerapkan langkah-langkah keamanan yang sesuai dan mengurangi risiko. Penilaian risiko rutin sangat penting untuk beradaptasi dengan ancaman baru dan menjaga kepatuhan. Mengklasifikasikan data berdasarkan tingkat sensitivitas Mengklasifikasikan data berdasarkan sensitivitasnya membantu memprioritaskan upaya keamanan. Misalnya, PHI memerlukan perlindungan yang lebih ketat daripada data yang tidak sensitif. Menerapkan kebijakan klasifikasi data memastikan bahwa informasi sensitif mendapat tingkat keamanan yang sesuai, mengurangi risiko pelanggaran. Menggunakan solusi Data Security Posture Management (DSPM) canggih dengan akurasi berbasis AI akan membantu memastikan bahwa Anda mengklasifikasikan semua data dengan benar dan menghilangkan data ROT (Redundan, Usang, dan Trivial) yang meningkatkan eksposur risiko Anda. Menerapkan enkripsi dan perlindungan data Enkripsi adalah dasar dari keamanan cloud yang mematuhi HIPAA. Pastikan bahwa ePHI dienkripsi baik saat dalam perjalanan maupun saat disimpan. Gunakan protokol enkripsi yang kuat dan perbarui secara rutin untuk melindungi dari ancaman yang muncul. Terapkan solusi Data Loss Prevention (DLP) untuk memantau dan melindungi informasi sensitif dari akses atau pengungkapan yang tidak sah. Mengatur kontrol akses dan manajemen identitas Kontrol akses sangat penting untuk membatasi siapa yang dapat melihat atau mengubah ePHI. Terapkan Kontrol Akses Berdasarkan Peran (RBAC) untuk memastikan bahwa hanya personel yang berwenang yang memiliki akses ke data sensitif. Gunakan Otentikasi Multi-Faktor (MFA) untuk menambah lapisan keamanan tambahan. Praktik manajemen identitas yang efektif membantu mencegah akses tidak sah dan memastikan akuntabilitas. Melakukan audit dan pemantauan secara rutin Audit dan pemantauan secara rutin sangat penting untuk menjaga kepatuhan HIPAA. Lakukan audit internal untuk menilai langkah-langkah keamanan Anda dan mengidentifikasi area yang perlu diperbaiki. Pantau kepatuhan CSP Anda terhadap ketentuan BAA. Aktifkan pencatatan di firewall dan perangkat keamanan lainnya untuk melacak akses dan mendeteksi aktivitas mencurigakan. Pemantauan Integritas Berkas (FIM) dapat membantu memastikan bahwa berkas kritis tidak telah diubah. Secara rutin memperbarui dan memasang patch pada system Memperbarui sistem secara rutin sangat penting untuk melindungi dari kerentanannya. Secara rutin terapkan patch keamanan dan pembaruan pada perangkat lunak, sistem operasi, dan aplikasi Anda. Praktik ini membantu menutup celah keamanan yang dapat dimanfaatkan oleh penyerang. Tetapkan kebijakan manajemen patch untuk memastikan pembaruan yang tepat waktu dan meminimalkan waktu henti. Melatih karyawan dalam keamanan dan kepatuhan Kesalahan manusia adalah faktor risiko signifikan dalam pelanggaran data. Pelatihan rutin memastikan bahwa karyawan memahami peran mereka dalam menjaga kepatuhan HIPAA. Berikan pelatihan tentang praktik perlindungan data terbaik, mengenali upaya phishing, dan melaporkan insiden keamanan. Tenaga kerja yang terinformasi dengan baik adalah garis pertahanan pertama Anda terhadap ancaman keamanan. Kepatuhan HIPAA Mendorong Keberhasilan Perusahaan Anda Dengan menerapkan sepuluh teknik ini, Anda dapat meningkatkan postur keamanan cloud Anda dan memastikan kepatuhan…

Organisasi terus mengadopsi aplikasi SaaS dengan cepat. Gartner memperkirakan pengeluaran untuk aplikasi cloud akan melampaui $295 miliar pada tahun 2025, yang mewakili tingkat pertumbuhan hampir 20% dibandingkan dengan 2024. Seiring dengan meningkatnya ketergantungan bisnis pada aplikasi SaaS untuk menangani data kritis, melindungi informasi sensitif menjadi lebih penting dari sebelumnya. Cloud Access Security Brokers (CASB) memainkan peran penting dengan menyediakan kemampuan Data Loss Prevention (DLP) yang canggih. DLP dalam CASB memungkinkan organisasi untuk memantau, mendeteksi, dan memblokir akses atau pembagian data sensitif yang tidak sah—memastikan kepatuhan terhadap regulasi industri dan melindungi dari pelanggaran. Fitur Utama DLP dalam CASB Visibilitas Data yang Komprehensif: CASB menawarkan wawasan terperinci tentang bagaimana data bergerak dalam lingkungan SaaS, membantu tim IT melacak di mana informasi sensitif disimpan, siapa yang mengaksesnya, dan bagaimana data tersebut digunakan. Dasar ini sangat penting untuk mencegah kehilangan data. Klasifikasi Data Kontekstual: CASB mengklasifikasikan data berdasarkan sensitivitasnya—seperti “rahasia” atau “publik”—memungkinkan administrator untuk menetapkan kebijakan yang memastikan data sensitif hanya dibagikan dengan pengguna yang sah. Penegakan Kebijakan: Administrator dapat menerapkan kebijakan DLP khusus berdasarkan aplikasi SaaS, peran pengguna, atau jenis data untuk mencegah pembagian informasi kritis seperti catatan keuangan atau data pelanggan secara tidak sengaja atau jahat. Enkripsi Data: Untuk melindungi data baik dalam perjalanan maupun saat disimpan, CASB menyediakan kemampuan enkripsi, memastikan bahwa data yang disadap tidak dapat diakses oleh pengguna yang tidak sah tanpa kunci dekripsi yang tepat. Manajemen Kepatuhan: CASB membantu organisasi untuk mematuhi standar regulasi seperti GDPR, HIPAA, dan PCI DSS dengan mencegah akses tidak sah ke data pribadi atau finansial. Mengapa DLP dalam CASB Sangat Penting untuk Bisnis Forcepoint ONE CASB memungkinkan pelanggan untuk mengamankan data yang sedang digunakan dengan lebih dari 190 kebijakan keamanan data yang telah ditentukan sebelumnya dan kontrol yang dapat disesuaikan untuk membantu mempermudah kepatuhan. DLP dalam CASB membantu dengan: Mencegah Ancaman dari Dalam: CASB yang dilengkapi DLP mengurangi ancaman dari dalam dengan mendeteksi dan merespons pembagian data sensitif yang tidak tepat, baik yang tidak sengaja maupun yang disengaja. Melindungi Kekayaan Intelektual: DLP mencegah akses atau pembagian kekayaan intelektual yang tidak sah yang disimpan dalam aplikasi SaaS, memastikan bisnis melindungi informasi kepemilikan mereka. Mengurangi Risiko Pelanggaran Data: CASB menyediakan pemantauan terus-menerus dan deteksi ancaman waktu nyata, meminimalkan risiko pelanggaran data, serta melindungi organisasi dari kerusakan finansial dan reputasi. Dalam lanskap yang didorong oleh cloud saat ini, DLP dalam CASB membantu mengamankan data sensitif sekaligus memastikan kepatuhan. CASB memberikan visibilitas yang lebih baik, menegakkan kebijakan yang lebih rinci, dan menyediakan perlindungan yang kuat, menjadikannya sangat penting untuk melindungi data bisnis yang berharga. Seiring dengan pertumbuhan adopsi cloud, mengintegrasikan kemampuan DLP dalam solusi CASB semakin memperkecil risiko pelanggaran data, membantu bisnis berkembang di era digital saat ini.

Data Loss Prevention (DLP), Cloud Access Security Broker (CASB), dan Secure Web Gateway (SWG) kami adalah komponen inti yang dapat memperkuat strategi keamanan data organisasi mana pun. Kami di sini untuk memastikan bahwa semua aspek Anda terlindungi. Itulah mengapa kami suka mengingatkan pelanggan kami bahwa solusi kami dapat memperkuat strategi Manajemen Identitas dan Akses (IAM) Anda. IAM memainkan peran penting dalam mengamankan data bagi pengguna yang bekerja dari mana saja, yang kini dimiliki oleh setiap perusahaan. 7 praktik terbaik untuk manajemen identitas dan akses ini akan sangat membantu dalam melindungi aplikasi cloud dan web Anda. Aktifkan Multi-Factor Authentication (MFA) Rotasi Kata Sandi Secara Berkala Terapkan Kontrol Akses Zero Trust Jangan Kehilangan Jejak Shadow IT Terapkan Kontrol DLP Audit Log Akses Secara Berkala Gunakan CASB dan SWG Secara Bersamaan Praktik Terbaik untuk Manajemen Identitas dan Akses Aktifkan MFA Terapkan langkah-langkah untuk mengurangi risiko akses tidak sah ke sistem, aplikasi, dan data Anda. MFA memberikan lapisan keamanan tambahan dengan mengharuskan pengguna untuk memberikan dua atau lebih faktor verifikasi untuk mendapatkan akses. Ini adalah salah satu cara paling sederhana untuk memastikan bahwa hanya pengguna yang sah yang dapat mengakses data sensitif. Rotasi Kata Sandi Secara Berkala Meskipun MFA dapat membantu mencegah pelanggaran meskipun kata sandi telah dibocorkan, Anda juga harus menerapkan rotasi kata sandi secara teratur. Tentukan jadwal yang sesuai untuk organisasi Anda, dan komunikasikan dengan jelas ekspektasi kepada semua karyawan terkait pengaturan ulang kata sandi, jumlah karakter yang diperlukan, dan kriteria rotasi kata sandi lainnya yang Anda pilih. Terapkan Kontrol Akses Zero Trust Menerapkan kontrol akses Zero Trust pada aplikasi cloud memberi Anda kontrol terus-menerus atas data penting bisnis, tidak peduli di mana pengguna berada atau perangkat apa yang mereka gunakan. Forcepoint ONE CASB menawarkan visibilitas dan kontrol penuh atas data di aplikasi mana pun untuk penggunaan yang aman dan berkinerja tinggi di mana saja. Meskipun CASB menawarkan kontrol akses yang hebat, perlu diingat bahwa itu tidak dimaksudkan untuk menggantikan strategi IAM yang lebih luas. Pendekatan IAM Anda akan lebih kuat dengan memperkuatnya dengan solusi CASB. Pikirkan seperti ini: IAM dapat menentukan aplikasi yang dapat diakses oleh karyawan. Kemudian, CASB mengelola apa yang dapat dilakukan karyawan di dalam aplikasi. Jangan Kehilangan Jejak Shadow IT Tidak diragukan lagi bahwa karyawan Anda mengakses banyak aplikasi SaaS. CASB sangat penting untuk melindungi akses ke aplikasi-aplikasi tersebut. Namun, CASB tidak hanya memastikan bahwa aplikasi SaaS aman; ia juga mengidentifikasi dan mengamankan aplikasi yang tidak sah (alias shadow IT) yang mungkin diakses oleh karyawan. Perangkat lunak yang tidak disetujui, seperti layanan populer seperti ChatGPT, misalnya, dapat membuat terabyte informasi sensitif rentan terhadap kebocoran data. Shadow IT adalah hal terakhir yang ingin ditangani oleh tim keamanan mengingat risiko besar kehilangan data yang ditimbulkannya. Terapkan Kontrol DLP Forcepoint DLP mengidentifikasi, memantau, dan secara otomatis melindungi informasi sensitif dengan menerapkan tindakan perlindungan seperti enkripsi, pembatasan akses, dan lainnya. Anda bahkan dapat memperluas kebijakan DLP ke cloud dan web untuk melindungi akses ke data dan lebih memperkuat strategi IAM Anda. Dan alat seperti Forcepoint Risk-Adaptive Protection (RAP) melampaui kemampuan DLP untuk memungkinkan Anda mendapatkan visibilitas waktu nyata tentang bagaimana pengguna berinteraksi dengan data yang mereka akses—mempermudah untuk mengidentifikasi dan mencegah perilaku berisiko saat terjadi. Ini juga membebaskan staf Anda dengan penyesuaian kebijakan otomatis. Audit Log Akses Secara Berkala Anda harus secara rutin mengaudit log akses dan izin untuk memastikan bahwa hanya karyawan yang sah yang dapat mengakses data kritis. Meskipun ini sederhana, hal ini tidak boleh diabaikan. Ini dapat sangat mengurangi risiko ancaman dari dalam. Gunakan CASB dan SWG Secara Bersamaan Data sensitif sulit untuk dikendalikan di cloud, jadi anggaplah ancaman data dengan serius dengan mendapatkan visibilitas dan kontrol penuh dengan solusi seperti CASB kami. Jika digunakan bersamaan dengan Forcepoint SWG, CASB dapat membantu Anda mengontrol akses ke teknologi yang berkembang pesat, seperti aplikasi AI, di cloud dan web.