Building Digital Fortresses: The Important Role of Security Hardening in Cyber Defense

oleh Arvandy, OSCE3, CREST CRT

A. Security Hardening

Security Hardening merupakan sebuah langkah proaktif untuk meningkatkan pertahanan siber dengan membatasi potensi kelemahan yang ada pada suatu sistem. Proses ini dapat dilakukan pada berbagai jenis aset, baik digital maupun fisik, seperti sistem operasi, basis data, middleware, perangkat jarigan, maupun perangkat seluler. Proses hardening sendiri berpedoman kepada prinsip-prinsip dasar dan sebuah tolak ukur atau benchmark, bisa berupa benchmark global seperti Center for Internet Security (CIS) maupun benchmark internal yang ada pada suatu organisasi.

Beberapa prinsip dasar pada Security Hardening, meliputi namun tidak terbatas pada:

• Disable Unnecessary Protocols and Services. Beberapa sistem secara bawaan dilengkapi dengan layanan dan protokol yang disediakan untuk kemudahan dan kepraktisan, namun bisa jadi tidak diperlukan. Maka dari itu diperlukan peninjauan pada protokol dan layanan yang digunakan untuk menonaktifkan hal yang tidak diperlukan.

• Regular Software Updates and Patch Management. Berdasarkan data dari situs CVEdetails, setiap hari ada sekitar rata-rata 80-90 kerentanan baru yang dipublikasikan dan tercatat dalam Common Vulnerabilities and Exposures (CVE). Sudah merupakan keharusan untuk melakukan pembaruan perangkat lunak secara rutin dan memiliki manajemen patching yang mumpuni untuk memastikan patch keamanan baru dapat dievaluasi, diuji, dan diterapkan sesegera mungkin.

• Least Privilege. Prinsip ini memastikan suatu hak atau akses hanya diberikan seminimal mungkin sebagaimana yang diperlukan.

• Defense-in-Depth. Menerapkan kontrol dan mekanisme pertahanan berlapis dan tidak hanya bergantung sepenuhnya pada satu kontrol.

Dengan semakin berkembangnya teknik dan teknologi peretasan, peran security hardening sebagai langkah proaktif menjadi sangat strategis dan krusial untuk memperkuat pertahanan digital. Sebuah langkah sederhana dalam proses hardening dapat menjadi benteng pertahanan yang mumpuni untuk mempersulit penyerang dalam mengeksploitasi celah keamanan yang ditemukan. Setiap organisasi sangat disarankan untuk mengintegrasikan security hardening ke dalam program keamanan dan perjalanan keamanan organisasi.

B. CIS Hardening Benchmarks

Selain prinsip dasar, security hardening juga berpedoman pada suatu benchmark yang berisi praktek-praktek terbaik untuk pengamanan sebuah aset. Center for Internet Security (CIS) merupakan sebuah entitas nirlaba yang mempunyai misi untuk mengidentifikasi, mengembangkan, mengesahkan, mempromosikan, dan mempertahankan solusi praktik terbaik untuk pertahanan siber. CIS mengeluarkan benchmark untuk security hardening yang dinamakan CIS Benchmark dan dapat diunduh secara gratis. CIS Benchmark sendiri memiliki cakupan jenis aset yang cukup luas seperti sistem operasi (seperti Windows, Linux, Unix, macOS, AIX), perangkat lunak server (seperti IIS, VMware, Microsoft SharePoint, Apache Tomcat), dan juga basis data (seperti MongoDB, IBM DB2, Microsoft SQL Server). CIS Benchmark umum digunakan oleh organisasi yang belum memiliki internal benchmark. CIS Benchmark ini nantinya dapat dikembangkan dan diadaptasi sesuai kebutuhan organisasi untuk dijadikan benchmark internal.

C. Studi Kasus

Pada bagian ini akan dipaparkan studi kasus penerapan prinsip dasar security hardening dan kontrol yang ada pada CIS Benchmarks untuk memberikan gambaran peran security hardening dalam memperkuat benteng pertahanan digital dan mengurangi attack surface bagi penyerang. Studi kasus akan dipetakan terhadap teknik pada MITRE ATT&CK dan tahapan yang relevan pada Red Team Operations Attack Lifecycle: Reconnaissance, Initial Compromise, Establishing Persistence, Privilege Escalation, Lateral Movement, and Data Exfiltration.

Gambar 1 – Red Team Operations Attack Lifecycle (https://systemweakness.com/red-team-hardware-toolkit)

Tabel 1 - Studi Kasus

No	Attack Phase	MITRE ATT&CK	Hardening Measures
1	Reconnaissance	T1595 - Active Scanning	[Principle] - Disable Unnecessary Protocols and Services
2	Initial Compromise	T1190 - Exploit Public-Facing Application	[Principle] - Regular Software Updates and Patch Management
3	Establish Persistence	T1547 - Boot or Logon Autostart Execution	[Principle] - Least privilege and Defense-in-Depth
4	Privilege Escalation	T1134 - Access Token Manipulation	[CIS Microsoft Windows Server 2022 Benchmark] – 2.2.31 Ensure 'Impersonate a client after authentication' is set to 'Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE'
5	Lateral Movement	T1210 - Exploitation of Remote Service	[CIS Microsoft SQL Server 2022 Benchmark] – 2.2 Ensure ‘CLR Enabled’ Server Configuration is set to ‘0’
6	Data Exfiltration	T1048 - Exfiltration Over Alternative Protocol	[CIS ISC BIND DNS Server 9.11] – 1.1 Use a Split-Horizon Architecture and 7.2 Enable DNSSEC Validation

Perlu dicatat bahwa teknik dan penerapan hardening pada tabel diatas hanya sebagai salah satu dari sekian banyak teknik serangan dan penerapan hardening yang dapat dilakukan. Studi kasus pada tulisan ini disederhanakan untuk memberikan gambaran ringkas manfaat dari penerapan security hardening terhadap serangan siber. Dipraktik nyata, serangan siber beragam jenis dan diperlukan penerapan berbagai security hardening dibarengi dengan strategi pertahanan lain.

#1 - Reconnaissance

Penyerang mulai dengan mengumpulkan informasi sebanyak mungkin mengenai target untuk merencanakan serangan lebih lanjut. Salah satu teknik yang umum digunakan adalah port scanning (Active Scanning - T1595) untuk mengetahui port dan layanan apa saja yang terbuka pada target. Gambar 1 merupakan port standar bawaan Windows Server 2022 ketika melakukan instalasi baru.

Gambar 2 – Layanan bawaan pada Windows Server 2022

Port 135 and 445 merupakan layanan network file-sharing SMB. Port 5985 merupakan port layanan remote administrasi (WinRM). Port 47001 dan 49664 keatas merupakan port dinamis atau port sementara yang sering ditemukan pada sistem operasi Windows. Layanan SMB and WinRM lumrah untuk penggunaan pribadi ataupun lingkup small office. Namun untuk lingkup perusahaan, perlu dilakukan tinjauan karena setiap layanan yang digunakan dapat menambah attack surface bagi penyerang dan layanan tertentu memiliki isu keamanan yang harus diperhatikan.

Setiap organisasi bisa menerapkan prinsip dasar “disable unnecessary protocols and services” dengan melakukan tinjauan apakah memerlukan kedua layanan tersebut. Secara bawaan, Microsoft membuka kedua layanan tersebut untuk kemudahan administrasi dan memfasilitasi berbagi file dan printer antar komputer di jaringan. Layanan yang tidak diperlukan harus di-nonaktifkan untuk mengurangi attack vector dan attack surface penyerang. Berikut merupakan hasil port scanning dari perspektif penyerang.

Gambar 3 – Hasil port scanning

#2 - Initial Compromise

Informasi yang didapatkan pada tahap reconnaissance dapat digunakan oleh penyerang untuk menyusun rencana serangan dan mendapatkan akses awal pada target. Ada beragam teknik dan salah satu nya adalah melakukan eksploitasi pada aplikasi publik yang tidak di perbaharui secara rutin (Exploit Public-Facing Application - T1190). Berdasarkan data dari situs https://www.cvedetails.com/, terdapat sekitar 2000 kerentanan baru (CVE) yang dipublikasi setiap bulan. Jumlah ini semakin meningkat dari tahun ke tahun.

Gambar 4 – Jumlah publikasi CVE (https://www.cvedetails.com/browse-by-date.php)

Prinsip dasar “regular software updates and patch management” menjadi kunci penting untuk meningkatkan ketahanan terhadap serangan jenis ini. Setiap organisasi seharusnya melakukan inventarisasi seluruh perangkat lunak yang ada di organisasi, memastikan proses rutinitas pembaruan perangkat lunak berjalan dengan semestinya dan memiliki manajemen patch yang mumpuni.

#3 - Establish Persistence

Setelah mendapatkan akses awal, langkah selanjutnya yang dilakukan penyerang adalah mempertahankan akses yang telah didapat. Metode yang biasa digunakan adalah memanipulasi Registry Autorun (Boot or Logon Autostart Execution - T1547) untuk eksekusi malware yang dapat memberikan akses ke penyerang. Prinsip least privilege dan defense-in-depth dapat diterapkan seperti penggunaan whitelisting aplikasi, mengawasi secara rutin perizinan dan segala perubahan pada Windows Registry, dan juga penggunaan solusi EDR.

#4 - Privilege Escalation

Privilege awal yang didapatkan oleh penyerang pada umumnya adalah non-administratif. Pada tahap ini, penyerang akan mencoba meningkatkan privilege yang dimiliki menjadi administratif. Misalkan penyerang mendapatkan akses awal melalui eksploitasi web server dan mendapatkan shell dengan privilege service account. Salah satu teknik yang dapat digunakan oleh penyerang adalah melakukan impersonasi akses token (Access Token Manipulation – T1134). Hal ini dapat dilakukan, dengan catatan service account tersebut memiliki privilege SeImpersonate. Privilege ini biasa ditemukan pada service account yang menjalankan layanan Windows untuk melakukan suatu task atas nama pengguna lain. Namun tidak semua service account memerlukan privilege tersebut.

Gambar 5 – SeImpersonatePrivilege

Pada CIS Benchmark Windows Server 2022, terdapat salah satu kontrol yang menyarankan tinjauan kembali terhadap pemberian privilege SeImpersonate yaitu “2.2.31 - Ensure 'Impersonate a client after authentication' is set to 'Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE'”. Kontrol ini memastikan bahwa privilege tersebut hanya diberikan kepada akun yang memerlukan.

#5 - Lateral Movement

Lateral movement merupakan aktifitas yang dilakukan oleh penyerang untuk bergerak secara horizontal pada jaringan target, mendapatkan akses, dan menyusupi sistem-sistem baru dalam mencapai objektif akhir. Didalam jaringan internal perusahaan, sering dijumpai basis data Microsoft SQL Server dari Microsoft. Basis data ini memiliki fitur Common Language Runtime (CLR), yaitu fitur yang mengizinkan pembuatan dan eksekusi managed code, seperti C# atau VB .NET. Hal ini memungkinkan pengembang untuk meningkatkan kemampuan bawaan SQL server dengan penerapan kustom functions, stored procedures, trigger, dan lain-lain.

Seperti hal nya setiap fungsi yang digunakan, selalu ada celah atau aspek keamanan yang perlu diperhatikan. CLR dapat dimanfaatkan oleh penyerang untuk melakukan lateral movement dan mendapatkan akses ke server database. Ketika suatu organisasi berpedoman pada CIS Benchmark untuk hardening basis data Microsoft SQL Server 2022, terdapat salah satu kontrol terkait fitur CLR yaitu “2.2 Ensure 'CLR Enabled' Server Configuration Option is set to '0'”. Kontrol ini memastikan organisasi untuk menonaktifkan pengunaan CLR assemblies jika tidak diperlukan. Berikut merupakan kutipan rasional penerapan kontrol tersebut.

“Enabling use of CLR assemblies widens the attack surface of SQL Server and puts it at risk from both inadvertent and malicious assemblies”.

#6 - Data Exfiltration

Objektif dari setiap penyerang bisa beragam seperti mendapatkan keuntungan finansial maupun motivasi politikal (Hacktivism). Ekfiltrasi merupakan teknik yang digunakan oleh penyerang untuk mencuri data dari suatu organisasi. Salah satu teknik yang sering digunakan adalah ekfiltrasi data melalui kanal DNS (Exfiltration Over Alternative Protocol – T1048). DNS merupakan layanan yang befungsi untuk melakukan translasi dari nama domain ke IP address. Layanan ini lumrah digunakan dan sering kali diizinkan oleh firewall, menjadikannya pilihan favorit penyerang.

Gambar 7 – DNS Tunelling (https://bluecatnetworks.com/blog/why-you-should-pay-attention-to-dns-tunneling/)

Beberapa kontrol yang ada pada CIS ISC Bind DNS Server dapat diterapkan untuk mengurangi attack surface DNS tunneling seperti:

1.1. Use a Split-Horizon Architecture. Kontrol ini mengatur resolusi DNS internal dan eksternal agar ditangani secara terpisah.

7.2 Enable DNSSEC Validation. Kontrol ini mengatur agar DNSSEC diaktifkan pada DNS Server untuk menyediakan otentikasi name servers melalui kriptografi kunci publik.

D. Keuntungan, Tantangan, dan Pertimbangan untuk melakukan Security Hardening

• Secuirty hardening dapat meningkatkan pertahanan terhadap serangan siber dan mengurangi attack surface serta potensi eksploitasi.

• Koordinasi dan penerapan security hardening dapat menjadi tantangan tersendiri, khususnya pada organisasi besar dengan banyak sistem yang berbeda. Selain itu, organisasi dengan sumber daya terbatas (anggaran, personel, dan waktu) dapat mengalami kesulitan dalam penerapan security hardening yang komprehensif. Memprioritaskan upaya berdasarkan risiko, dampak, dan kritikalias aset dapat menjadi pilihan yang dapat diterapkan oleh organisasi.

• CIS Benchmark bisa menjadi pedoman dan langkah awal suatu organisasi dalam penerapan security hardening.

• Menyeimbangkan penerapan hardening dengan kegunaan dan kebutuhan operasional harus dilakukan untuk memastikan keselarasan dengan tujuan bisnis. Misi, tujuan, dan prioritas organisasi harus dipahami untuk memastikan implementasi security hardening dapat mendukung hal-hal tersebut.

Referensi

1. https://attack.mitre.org/
2. https://www.cisecurity.org/
3. https://www.cvedetails.com/
4. https://systemweakness.com/red-team-hardware-toolkit
5. https://bluecatnetworks.com/blog/why-you-should-pay-attention-to-dns-tunneling/

Tentang Penulis

Arvandy, OSCE3, CREST CRT

https://www.linkedin.com/in/arvandy/

Information security professional with broad engineering backgrounds in software, database, and network engineering. Specialize in offensive security and secure architecture domains.