Tahap Command and Control (C2) merupakan langkah penting dalam siklus serangan
siber di mana penyerang membentuk saluran komunikasi antara infrastruktur jahat
mereka dan sistem yang telah diretas. Tahap ini memungkinkan penyerang untuk
mempertahankan kontrol atas sistem yang diretas, menerima data darinya, dan
memberikan perintah atau instruksi.
a. Teknik Umum yang Sering Digunakan dalam Tahap Command and Control:
1) Algoritma Generasi Domain (DGA):
Deskripsi: Penyerang menggunakan algoritma untuk menghasilkan sejumlah
besar nama domain semu acak. Mereka mendaftarkan sebagian dari domain ini,
dan malware pada sistem yang diretas mencoba menghubungi salah satunya
untuk membangun koneksi.
3) Steganografi:
Deskripsi: Steganografi melibatkan penyembunyian informasi dalam data lain
yang bukan rahasia (misalnya, gambar, file audio). Penyerang dapat menyisipkan
instruksi C2 dalam konten yang tampaknya tidak mencurigakan.
4. Identifikasi Aplikasi (APP-ID) adalah fitur kunci dari Next-Generation Firewall (NGFW) dari
Palo Alto Networks yang melampaui penyaringan berbasis port konvensional. Tujuannya
adalah untuk mengidentifikasi dan mengelola aplikasi secara akurat di jaringan,
menawarkan pendekatan yang lebih canggih dan efektif dalam pengendalian lalu lintas.
APP-ID dalam NGFW dari Palo Alto Networks menggunakan berbagai teknik
untuk mengidentifikasi aplikasi. Pertama, itu memanfaatkan basis data tanda tangan
aplikasi yang luas dan terus diperbarui. Tanda tangan ini berfungsi sebagai pengenal unik
untuk aplikasi tertentu, memungkinkan firewall untuk mengenali dan mengkategori
mereka secara akurat. Selain itu, APP-ID melampaui nomor port konvensional,
memeriksa seluruh konten paket. Ini melibatkan analisis konten untuk mengidentifikasi
aplikasi berdasarkan pola atau perilaku khas. Pendekatan ini juga mencakup analisis
perilaku, di mana perilaku lalu lintas dianalisis dari waktu ke waktu, memberikan wawasan
tambahan tentang aplikasi yang digunakan. Selain itu, dalam skenario penggunaan
enkripsi, seperti HTTPS, APP-ID dapat mendekripsi lalu lintas SSL, memeriksa kontennya
untuk mengidentifikasi aplikasi dengan tepat.
Keunggulan APP-ID dalam NGFW dari Palo Alto Networks sangat signifikan.
Dengan beroperasi di lapisan aplikasi dari model OSI, APP-ID menawarkan identifikasi
yang tepat terhadap aplikasi tanpa memandang port atau protokol yang digunakan. Hal
ini memberikan kontrol yang lebih tepat dan efektif atas jaringan. Berbeda dengan firewall
berbasis port, APP-ID sangat ahli dalam menangani teknik-teknik evasi yang aplikasi
mungkin gunakan untuk menghindari penyaringan berbasis port konvensional. Selain itu,
itu dapat mendekripsi dan memeriksa lalu lintas yang dienkripsi SSL untuk
mengidentifikasi aplikasi, memastikan visibilitas yang komprehensif. Dengan fokus pada
aplikasi, APP-ID mengurangi permukaan serangan, memperbolehkan hanya aplikasi
yang penting sementara menghalangi atau membatasi yang lain. Pendekatan ini
meningkatkan keamanan dengan meminimalkan potensi titik kerentanan. Granularitas
kebijakan yang diberikan oleh APP-ID memungkinkan administrator untuk membuat
aturan yang sangat rinci berdasarkan aplikasi tertentu, menawarkan kontrol yang lebih
tepat atas apa yang diizinkan atau ditolak di jaringan. Terakhir, visibilitas terperinci tentang
penggunaan aplikasi yang diberikan oleh APP-ID memungkinkan administrator untuk
memantau aplikasi mana yang digunakan dan oleh siapa, aspek kritis untuk keamanan,
kepatuhan, dan optimalisasi sumber daya.
Secara perbandingan, APP-ID lebih unggul dibandingkan dengan Sistem
Pencegahan Intrusi (IPS) dalam beberapa area kunci. Sementara IPS terutama
mengincar tanda tangan serangan yang dikenal, APP-ID didedikasikan untuk
mengidentifikasi dan mengontrol aplikasi. Hal ini memungkinkan APP-ID untuk
memberikan pandangan yang lebih komprehensif tentang aktivitas jaringan. Selain itu,
APP-ID mempertimbangkan konteks saat membuat keputusan tingkat aplikasi.
Mempertimbangkan faktor-faktor seperti pengguna, perangkat, dan lokasi meningkatkan
keamanan dengan memungkinkan penegakan kebijakan yang lebih halus. Lebih lanjut,
APP-ID cenderung menghasilkan positif palsu lebih sedikit dibandingkan dengan IPS. Hal
ini disebabkan oleh desainnya yang khusus untuk mengidentifikasi aplikasi, mengurangi
kemungkinan menandai lalu lintas yang sah secara keliru. Pada akhirnya, sementara IPS
sangat penting untuk mengidentifikasi dan mencegah serangan tertentu, APP-ID
menawarkan kendali yang lebih luas dengan mengizinkan atau memblokir seluruh
aplikasi, bukan hanya vektor serangan tertentu.