Latihan Tabletop CISA: Phising Vendor

Modul 1:
Hari ke-1
Departemen Keamanan Dalam Negeri (DHS) dan Badan Kemanan Siber dan Keamanan Infrastruktur
(CISA) menerbitkan Peringatan yang menguraikan rangkaian serangan spear phising yang memanfaatkan
"Phising dengan Kepercayaan". Phising dengan Kepercayaan memanfaatkan hubungan kepercayaan
antara organisasi target dan salah satu vendor pihak ketiganya. Penyerang berusaha membobol vendor
pihak ketiga, membuat landasan dalam jaringannya, meningkatkan hak istimewa, dan menyebar secara
menyeluruh. Setelah membuat landasan dalam jaringan vendor pihak ketiga, penyerang menggunakan
akun karyawan asli atau membalas rantai surel yang ada (umumnya dengan cara melompati kontrol
keamanan) untuk mengirim surel yang terlihat sah kepada organisasi target dengan menyertakan
lampiran berbahaya.

Hari ke-10
Sekitar 100 pengguna pada keempat unit usaha di salah satu pemasok pihak ketiga Anda menerima
surel spear phising yang dilampiri PDF berbahaya. Para pengguna ini tidak memiliki hak tingkat
administrator ke sistem, tetapi masing-masing memiliki hubungan bisnis tertentu dengan akun layanan
<Organisasi>. Salah seorang penerima surel, Bob, tidak sengaja membuka PDF berbahaya tersebut
dengan versi Adobe Acrobat yang rentan terhadap pengeksploitasi tertanam.

Hari ke-40
Personel dari organisasi Anda menerima surel dari Bob yang bekerja di vendor pihak ketiga Anda dengan
lampiran PDF. Beberapa pengguna membuka lampiran tersebut dan mengetahui PDF itu memuat
informasi yang terlihat sah.

Hari ke-42
Selama audit sistem triwulanan, seorang administrator sistem di vendor pihak ketiga Anda
memperhatikan ada aktivitas tidak biasa di jaringan. Agaknya komputer Bob tengah berkomunikasi
dengan server dari luar yang tak dikenal. Diambillah langkah-langkah untuk menghapus sistem Bob dari
jaringan dan dilakukan tindakan pemulihan. Administrator yakin jaringan mereka sudah dibersihkan.

Pembahasan

Modul 2
Hari ke-44
Situs web organisasi Anda yang diakses publik mulai menerima data bervolume besar di laman web yang
mengakibatkan laman web itu tidak berfungsi.

Personel IT Anda mengidentifikasi dan memperbaiki akar masalahnya. Penyelidikan mengungkap

terdapat banyak permintaan Hypertext Transfer Protocol (HTTP) yang membanjiri server.
Hari ke-45
Bagian IT melaporkan ada tiga administrator sistem meminta kata sandi direset dalam waktu 10 menit
dan dua di antaranya tidak dapat masuk ke sistem setelah kata sandi direset. Bagian IT/IS menyarankan
pemblokiran konektivitas internet untuk semua sistem sampai mereka yakin jangkuan dan dampak
insiden tersebut.

Hari ke-46
Seorang peneliti keamanan melaporkan bahwa informasi yang dapat mengidentifikasi secara personal
(PII) milik pelanggan dan karyawan [Organisasi] telah diposkan di Web Gelap dan dijual kepada penawar
tertinggi.

Pembahasan

Modul 3
Hari ke-47
Media setempat dan nasional mengetahui laporan peneliti keamanan tersebut dan menerbitkan artikel
berita yang menyatakan ada beberapa organisasi, termasuk organisasi Anda, yang mengalami
pembobolan parah sehingga PII pelanggan dan karyawan bocor. Pelanggan dan karyawan berkomentar
di media sosial dengan gusar dan menuntut penjelasan secepatnya.

Hari ke-49
Bagian IT membenarkan penarikan sejumlah besar fail di pangkalan data. Fail ini berisi PII karyawan dan
pelanggan. Analisis log lanjutan mengungkap komunikasi server hos antara alamat Protokol Internet (IP)
[Organisasi] ke alamat IP asing tak dikenal.

Hari ke-50
Bagian IT melaporkan terdapat beberapa fail yang telah diubah atau dihapus sepenuhnya. Fail cadangan
yang "bersih" dan terbaru adalah fail bertanggal 28 hari lalu.

Pembahasan