Keamanan sistem merupakan faktor kunci dalam menjaga layanan agar tetap berjalan dengan aman dan stabil. Seiring meningkatnya konfrontasi antara serangan dan pertahanan jaringan, muncul berbagai bentuk serangan seperti serangan otomatis skala besar, cacing, ransomware, program penambangan, dan Ancaman Persisten Lanjutan (APTs), yang menimbulkan tantangan besar bagi keamanan sistem.
Sistem yang diinstal secara otomatis memiliki beberapa kelemahan keamanan berikut, yang membuat sistem rentan terhadap intrusi:
Konfigurasi sistem yang tidak tepat
Port yang tidak perlu dibuka: Beberapa layanan dan aplikasi yang tidak diperlukan meningkatkan permukaan serangan.
Password lemah: Rentan terhadap serangan brute-force, yang dapat menyebabkan intrusi ke dalam sistem.
Konfigurasi kebijakan yang tidak tepat: Kebijakan keamanan sistem lemah atau tidak dikonfigurasi dengan benar.
Kerentanan sistem atau patch yang belum diinstal
Kerentanan eksekusi perintah: Kerentanan ini dapat dieksploitasi untuk mengeksekusi perintah arbitrer, yang mengakibatkan intrusi ke dalam sistem.
Kerentanan DoS: Serangan DoS menyebabkan sistem menolak permintaan layanan normal, sehingga mengganggu layanan.
Kerentanan pelanggaran data: Data sensitif atau rahasia dapat dilanggar.
Kasus: Kerentanan RCE di Samba
Samba adalah perangkat lunak yang mengimplementasikan protokol Server Message Block (SMB) pada sistem operasi Linux dan UNIX. Samba memungkinkan komputer untuk berbagi sumber daya seperti file dan printer satu sama lain.
Kerentanan eksekusi kode jarak jauh (RCE) telah terdeteksi di Samba. Kerentanan ini memungkinkan klien mengunggah file pustaka tertentu ke direktori bersama yang dapat ditulis di server, sehingga menyebabkan server memuat dan mengeksekusi file tersebut.
CVE: CVE-2017-7494
Impact scope:
Sistem operasi Linux atau UNIX tempat Samba diinstal
Versi Samba: 4.6.4, 4.5.10, dan 4.4.14.
Major impact:
Eksekusi perintah: Server diretas, dan data dilanggar akibat eksekusi kode jarak jauh.
Gangguan layanan: Cacing bernama SambaCry dapat mengeksploitasi kerentanan ini dan menyebar. Cacing ini menambang cryptocurrency pada server yang diretas, menggunakan sejumlah besar sumber daya komputasi, yang dapat memengaruhi ketersediaan layanan atau menyebabkan gangguan layanan.
Kasus: Kerentanan RCE di server SMB
Server SMB adalah komponen protokol server yang diinstal secara otomatis pada sistem operasi Windows. Kerentanan RCE terdeteksi pada server SMB. Kerentanan ini memungkinkan penyerang mengirim paket yang dirancang khusus ke server SMBv1 dan mengeksekusi kode dari jarak jauh.
CVE: CVE-2017-0143
Impact scope:
Microsoft Windows Server 2016
Microsoft Windows Server 2012 Gold
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008 SP2
Major impact:
Eksekusi perintah: Server diretas, dan data dilanggar akibat eksekusi kode jarak jauh.
Kehilangan data: Cacing seperti WannaCry dapat mengeksploitasi kerentanan ini dan menyebar. Cacing ini mengenkripsi file pada server yang diretas, menyebabkan pelanggaran data.
Cara menggunakan Cloud Firewall untuk mencegah intrusi ke dalam sistem
Tim keamanan Alibaba Cloud secara terus-menerus melacak dan mempelajari kerentanan sistem serta langkah-langkah pencegahannya, mengumpulkan pengalaman yang kaya dalam Pencegahan Intrusi. Aturan pencegahan yang dirumuskan berdasarkan pengalaman ini sangat meningkatkan pertahanan keamanan sistem Cloud Firewall.
Untuk memastikan bahwa sistem dapat berjalan sesuai harapan, Cloud Firewall menyediakan pencegahan multi-titik terhadap semua risiko yang dihadapi sistem.
Brute-force attacks: Fitur intelijen ancaman Cloud Firewall mendeteksi serangan di seluruh jaringan dan memblokir pemindaian atau intrusi sebelumnya.
System vulnerabilities: Cloud Firewall mencegah kerentanan tinggi pada sistem operasi.
Other attacks: Fitur perlindungan dasar Cloud Firewall mendeteksi serangan sistem lainnya, seperti reverse shell dan pelanggaran file sistem, serta memblokir serangan secara real-time.
Prosedur
Masuk ke Konsol Cloud Firewall.
Di panel navigasi di sebelah kiri, pilih .
Di halaman Konfigurasi IPS, klik tab Internet Border dan pilih level mode Block untuk Threat Engine Mode.
Di tab Basic Protection, aktifkan Basic Protection.
Di tab Virtual Patching, aktifkan Virtual Patching.
