Mencegah Pemindahan Data yang Tidak Sah

Menentukan pemindahan data yang tidak sah

Dalam dokumen ini, pemindahan data yang tidak sah didefinisikan sebagai ketika seseorang dengan izin mengekstrak data dari sistem yang aman tempat data tersebut berada, lalu membagikannya kepada pihak ketiga yang tidak memiliki izin atau memindahkannya ke sistem yang tidak aman. Orang dengan izin meliputi karyawan, administrator sistem, dan pengguna tepercaya. Pemindahan data yang tidak sah dapat terjadi karena tindakan berbahaya atau penyusupan, atau kejadian yang tidak disengaja.

Untuk mengurangi risiko pemindahan data yang tidak sah, organisasi harus mengintegrasikan kesadaran keamanan dan praktik terbaik ke dalam budaya mereka. Mereka harus secara konsisten mengevaluasi risiko setiap interaksi dengan jaringan komputer, perangkat, aplikasi, data, dan pengguna lainnya. Organisasi juga dapat memutuskan untuk mengadakan audit berkala guna memverifikasi bahwa praktik terbaik telah diikuti.

Menghadapi risiko pemindahan data yang tidak sah di cloud

Banyak strategi keamanan data tradisional didasarkan pada hardening pertahanan perimeter fisik dari jaringan pribadi. Namun, sebagai konsumen cloud, Anda tidak mengontrol infrastruktur jaringan fisik yang digunakan layanan. Di cloud publik, struktur jaringan penyedia hosting digunakan bersama, dan tidak ada perimeter yang tradisional. Mengamankan data di cloud memerlukan pendekatan dan metode keamanan baru untuk mengaudit akses data.

Sebagai analogi, pertimbangkan bahwa infrastruktur cloud publik termasuk yang pertama di industri ini yang mengadopsi penggunaan hardware komoditas di pusat data. Meskipun hal ini dapat mengakibatkan tingkat kegagalan hardware yang lebih tinggi, dampak dari kegagalan tersebut dapat diminimalkan melalui redundansi dan arsitektur layanan cerdas. Dalam lingkungan tersebut, layanan harus dapat menyerap beberapa kegagalan dengan baik. Arsitektur layanan dirancang untuk kegagalan hardware dan jaringan dengan membagi pemrosesan, penyimpanan, autentikasi, dan tugas lainnya di beberapa mesin dan geografi, sehingga meminimalkan dampak dari satu peristiwa kegagalan. Untuk mengamankan data, Anda harus melakukan pendekatan yang serupa: merancang arsitektur untuk meminimalkan periode nonaktif dan membatasi efek ke bagian sistem lainnya jika terjadi penyusupan keamanan.

Agar pelanggan yang sangat memperhatikan keamanan merasa puas, model keamanan cloud publik menggabungkan pemikiran ini. Google Cloud menawarkan Shielded VM untuk memberikan integritas instance virtual machine (VM) Compute Engine yang dapat diverifikasi, sehingga Anda bisa yakin bahwa instance Anda tidak disusupi oleh malware tingkat booting atau tingkat kernel. Integritas yang dapat diverifikasi untuk Shielded VM dicapai melalui penggunaan Booting Aman, Booting Terukur dengan vTPM, dan pemantauan integritas.

Selain itu, penyedia dapat men-deploy agen khusus untuk menghasilkan telemetri tentang aktivitas pengguna dan host di virtual machine (VM) berbasis cloud. Hal ini memberi Security Operations Center (SOC) visibilitas ke aktivitas di dalam dan di sekitar batas keamanan yang sering berubah.

Penyedia juga memperkenalkan chokepoint eksplisit, seperti bastion host untuk komunikasi dengan fleet VM, server proxy jaringan, server keluar jaringan, dan jaringan lintas project. Tindakan ini dapat mengurangi risiko pemindahan data yang tidak sah, tetapi tidak dapat menghapusnya sepenuhnya.

Organisasi Anda juga harus membuat infrastruktur deteksi dan respons yang kuat untuk peristiwa pemindahan data yang tidak sah. Infrastruktur cloud yang tepat akan memberi Anda deteksi cepat terhadap aktivitas yang berisiko atau tidak sesuai, membatasi "dampak gangguan" aktivitas, dan meminimalkan peluang bagi pelaku yang menyusup.

Kategori peristiwa pemindahan data yang tidak sah

Peristiwa pemindahan data yang tidak sah dapat dikategorikan berdasarkan karakteristik teknologi, organisasi, dan fisik yang umum. Pada bagian selanjutnya, kita akan melihat beberapa kategori ini dan membahas strategi pencegahan dan mitigasi untuk setiap kategori.

Email keluar

Dalam skenario ini, pelaku menggunakan infrastruktur telekomunikasi resmi, seperti email bisnis atau perangkat seluler, untuk mengirimkan data sensitif dari sistem komputer yang aman ke pihak ketiga yang tidak tepercaya atau sistem pribadi yang tidak aman. Data sensitif dapat dikirim sebagai teks biasa dalam email atau pesan teks, atau dilampirkan sebagai file. Metode ini sering digunakan untuk memindahkan isi email, kalender, database, gambar, dokumen perencanaan, perkiraan bisnis, dan kode sumber organisasi secara tidak sah.

Banyak sistem email dan pesan menyimpan draf ke cloud, sehingga pemeriksaan data sensitif tidak cukup saat pesan dikirim. Jika seseorang memiliki akses luar ke email bisnisnya atau layanan pesan lain yang mendukung draf tersimpan, dia dapat menggunakan fitur tersebut untuk pemindahan yang tidak sah. Dengan menyimpan draf dari perangkat dan jaringan yang memiliki akses ke data sensitif, lalu mengakses draf tersebut dari klien lain, pelaku menghindari sistem logging dan audit.

Pencegahan dan Mitigasi

Skenario ini melibatkan sistem telekomunikasi yang dipilih dan diberi izin oleh organisasi Anda, yang memberi Anda lebih banyak opsi untuk mengamankan dari pemindahan data yang tidak sah daripada skenario yang melibatkan alat pribadi atau pihak ketiga.

Pertimbangkan untuk menerapkan beberapa strategi pencegahan dan mitigasi berikut:

• Pantau volume dan frekuensi transmisi data oleh pengguna melalui email dan alat pesan organisasi lainnya. Jika rata-rata pengguna mengirimkan 5 megabyte data per hari, pengguna yang mengirim 500 megabyte akan memicu pemberitahuan.
• Simpan log alamat yang digunakan untuk mengirim email, perangkat yang digunakan untuk mengirim email, dan alamat penerima. Hal ini dapat membantu Anda mengidentifikasi sifat dan cakupan peristiwa pemindahan data yang tidak sah. Checklist keamanan administrator menjelaskan cara mengaudit akun email untuk mendeteksi risiko keamanan di Gmail Enterprise.
• Pindai email yang dikirim dari sistem yang memiliki akses ke data sensitif untuk memastikan email tersebut tidak berisi konten yang tidak sah. Hal ini dapat dipermudah dengan memberi tag pada konten sensitif menggunakan penanda, seperti kata kunci atau hash.
• Cegah pengiriman pesan melalui saluran yang tidak aman, seperti menggunakan http, bukan https, dan beri tahu staf keamanan IT Anda tentang upaya tersebut.

Mendownload ke perangkat yang tidak aman

Kasus ini terjadi saat pengguna mengakses data sensitif melalui saluran yang diizinkan, lalu mentransfer data ke perangkat lokal yang tidak aman. Pelaku dapat menggunakan laptop, smartphone, drive eksternal, kamera, atau perangkat khusus guna mengambil data sensitif untuk pemindahan yang tidak sah. Pelaku dapat mendownload file yang sudah ada dari layanan Anda di cloud, atau menyalin data ke file baru. Jika file ditransfer ke perangkat yang tidak terpantau atau tidak aman, file tersebut berisiko tinggi mengalami pemindahan yang tidak sah.

Pencegahan dan Mitigasi

Jaringan berbasis cloud memiliki keuntungan dalam mencegah terjadinya peristiwa semacam ini. Banyak metode untuk mentransfer data ke perangkat lokal yang memerlukan koneksi fisik ke media yang dapat ditransfer. Jika disimpan di cloud, data harus didownload sebelum ditransfer. Download ini menerapkan fitur keamanan dan pelacakan dari layanan hosting dan klien.

Pertimbangkan untuk menerapkan beberapa kebijakan dan teknik berikut:

• Melarang download data yang sangat sensitif. Bergantung pada cara data Anda digunakan dan diproses di cloud, pengguna mungkin tidak perlu mendownloadnya ke hardware lokal. Jika memungkinkan, simpan semua data di cloud dan lakukan semua komputasi di cloud. Jika data dapat didownload secara teknis, tetapkan kebijakan yang melarang download, klasifikasikan dan beri label pada data sensitif, serta simpan log akses data yang diminta dan ditayangkan melalui interaksi yang aman dan panggilan API. Untuk mengetahui informasi selengkapnya, lihat dokumentasi log audit.
• Gunakan Broker Keamanan Akses Cloud (CASB) untuk mengatur koneksi antara klien resmi dan layanan cloud sesuai dengan kebijakan keamanan organisasi Anda.
• Beri lapisan file dengan alat Manajemen Hak Digital (DRM). Tindakan ini akan menempatkan keamanan dan enkripsi berbasis izin pada setiap file.
• Terapkan watermark dinamis pada klien yang Anda beri izin untuk merekam pengguna yang bertanggung jawab atas screenshot atau foto layar komputer yang berisi informasi sensitif.

Mengupload ke layanan eksternal

Serupa dengan kategori peristiwa sebelumnya, kategori ini sering kali melibatkan download data sensitif ke infrastruktur lokal. Pelaku kemudian mengupload data ke pihak ketiga melalui klien browser web atau software lainnya yang tidak terpantau. Layanan pihak ketiga dapat berupa situs yang tidak berbahaya seperti jaringan sosial, tempat pelaku dapat secara tidak sengaja mengupload gambar yang salah atau menempel teks yang salah. Pelaku tindakan berbahaya yang memiliki kemampuan tinggi mungkin dapat meneruskan sejumlah kecil data sensitif, seperti kredensial pengguna atau kunci enkripsi, sebagai parameter URL ke aplikasi web khusus.

Pencegahan dan Mitigasi

Risiko peristiwa semacam ini dapat dikurangi melalui pembatasan kebijakan yang sama pada download yang melindungi dari penyalinan data sensitif secara lokal. Namun, kebijakan tidak menghilangkan risiko screenshot atau teks yang disalin untuk diupload ke media sosial, situs web berbagi file, atau layanan cloud lainnya.

Praktik keamanan yang perlu dipertimbangkan untuk memerangi risiko semacam ini meliputi:

• Larang data apa pun agar tidak didownload. Simpan semua data di cloud dan lakukan semua komputasi di cloud. Data harus diminta dan disalurkan oleh interaksi API yang aman dan dicatat dalam log. Untuk mengetahui informasi selengkapnya, lihat dokumentasi log audit.
• Cegah penginstalan software pihak ketiga yang tidak aman, seperti aplikasi media sosial atau plugin browser yang tidak sah, pada perangkat dengan akses ke data sensitif.
• Gunakan CASB untuk mengatur traffic dari titik akses cloud dan menerapkan kebijakan enkripsi untuk semua data yang dikirim ke klien.

Perilaku cloud yang tidak aman

Penggunaan layanan cloud memperkenalkan beberapa kategori baru risiko pemindahan data yang tidak sah yang harus disadari oleh profesional keamanan IT. Hal ini mencakup berbagai kasus ketika karyawan, pengguna, atau administrator menggunakan fitur suite penyedia cloud dengan cara yang tidak aman. Terdapat potensi pemindahan data yang tidak sah dari semua pelaku yang memiliki kemampuan untuk meminta atau mengubah virtual machine (VM), men-deploy kode, atau membuat permintaan ke penyimpanan cloud atau layanan komputasi.

Jaringan cloud memiliki frontend publik dan kemampuan untuk berkomunikasi dengan internet yang lebih luas. Mengamankan dan melakukan izin perilaku layanan yang berjalan di cloud sangatlah penting untuk menyediakan keamanan data. Pelaku dengan izin yang memadai dapat memulai transmisi data sensitif keluar, memindahkan data sensitif dari container yang aman ke container yang kurang aman, atau membuat layanan cloud yang tidak sah atas nama organisasi.

Pencegahan dan Mitigasi

Mempertahankan perilaku yang aman untuk layanan cloud Anda memerlukan izin yang tepat serta bercakupan sempit, dan logging yang komprehensif. Jika memungkinkan, larang pelaku mengakses backend layanan Anda. Untuk sebagian besar tugas yang harus diselesaikan oleh karyawan atau administrator di VM, terdapat agen otomatis dan klien frontend yang aman dan dapat dipantau. Gunakan metode ini jika memungkinkan untuk membatasi jumlah orang yang memiliki akses SSH langsung ke perangkat cloud Anda. Jika memungkinkan, pindai semua data yang dikirim ke Internet yang lebih luas untuk mengidentifikasi informasi sensitif. Untuk aplikasi yang memproses informasi dari pengguna atau sistem eksternal, pertimbangkan untuk memindai informasi tersebut guna mencegah pengumpulan, penyimpanan, atau pembagian data sensitif secara tidak sengaja seperti Informasi Identitas Pribadi (PII).

Untuk VM di cloud, pertimbangkan prinsip-prinsip keamanan berikut:

• Siapkan tabel IP pada VM Anda yang melarang koneksi keluar ke alamat yang tidak dikenal. Hal ini dapat mengurangi risiko pelaku berhasil mengirimkan data sensitif dari jaringan Anda.
• Hindari memberikan alamat IP publik kepada VM Anda, dan gunakan layanan Penafsiran Alamat Jaringan (NAT) untuk memproses koneksi yang masuk dan keluar. Baca panduan penyiapan gateway NAT ini untuk Compute Engine guna mempelajari lebih lanjut.
• Pertimbangkan untuk menggunakan bastion host di cloud untuk memediasi dan memantau koneksi ke host lain.
• Nonaktifkan software pengelolaan jarak jauh seperti agen Remote Desktop Protocol (RDP) atau Windows Remote Management (WinRM) di komputer yang tidak membutuhkannya.
• Gunakan Akses Google Pribadi untuk mengaktifkan instance virtual machine (VM) pada subnetwork untuk menjangkau API dan Layanan Google menggunakan alamat IP internal, bukan alamat IP eksternal.
• Pertimbangkan Cross-Project Networking (XPN) untuk berbagi jaringan virtual Google Cloud di seluruh project di Cloud Organization Anda.
• Batasi akses SSH langsung ke VM untuk orang-orang yang memiliki kebutuhan penting dan tidak dapat dihindari. Google Compute Engine menyediakan management tools kunci SSH yang komprehensif untuk mengontrol akses ke VM.

Untuk layanan penyimpanan cloud seperti Cloud Storage atau Cloud Bigtable, praktik berikut dapat mengurangi risiko pemindahan yang tidak sah:

• Gunakan Identity and Access Management (IAM) untuk memberi pengguna dan aplikasi kumpulan izin terbatas yang diperlukan untuk mengakses data. Simpan data dengan sensitivitas dan persyaratan akses yang berbeda di container yang berbeda, agar izin bisa sedetail mungkin.
• Pantau dan batasi kecepatan data dapat dibaca dari resource penyimpanan Anda. Gunakan agen pemantauan untuk memberi tahu tim keamanan Anda jika ada upaya untuk memindahkan lebih banyak data dari yang diharapkan dalam kasus penggunaan normal.
• Memberikan izin ke data yang sangat sensitif untuk sementara dan dapat ditinjau serta pencabutan secara berkala. Misalnya, kuota App Engine dapat berguna di sini.
• Minta tim manusia secara rutin mengaudit sekelompok orang yang memiliki akses ke container yang sangat sensitif.
• Simpan catatan menyeluruh dari semua akses ke layanan penyimpanan Anda. Idealnya, sekelompok orang yang diberi akses ke layanan penyimpanan merupakan orang yang berbeda dari sekelompok orang yang memiliki akses ke log. Hal ini mengurangi risiko gangguan pada log oleh pelaku tindakan berbahaya. Pertimbangkan untuk menggunakan utilitas log akses Cloud Storage untuk menulis data log ke bucket penyimpanan terpisah.

Menegakkan kepatuhan terhadap kebijakan keamanan

Infrastruktur lengkap yang disediakan oleh Google Cloud menciptakan banyak peluang bagi pelanggan untuk mengembangkan solusi yang menargetkan kebutuhan mereka. Pada saat yang sama, infrastruktur yang kaya juga menghadirkan tantangan baru, seperti menerapkan kebijakan keamanan yang diinginkan di berbagai project dalam suatu organisasi. Untuk menyederhanakan pengelolaan keamanan, Google Cloud memperkenalkan hierarki entity tempat semua resource berada. Hierarki ini berakar pada konsep Organisasi. Organisasi dapat secara opsional berisi folder atau project. Folder dapat secara opsional berisi subfolder atau project. Semua resource Layanan Google Cloud merupakan milik project.

Dengan menggunakan hierarki ini, Organisasi -> Folder -> Project -> Layanan Google Cloud -> Resource, kebijakan keamanan dapat ditetapkan pada setiap tingkat hierarki dan diwariskan ke tingkat hierarki yang lebih rendah. Kebijakan keamanan dievaluasi dari atas ke bawah dalam hierarki resource dan, segera setelah jawaban “izinkan” diperoleh, akses ke resource akan diberikan.

Menegakkan kepatuhan

Menggunakan hierarki resource, dan pewarisan kebijakan keamanan akan menyederhanakan audit untuk memastikan bahwa kebijakan keamanan yang diinginkan diikuti secara seragam. Karena properti pewarisan, administrator dapat menunjukkan bahwa, misalnya, semua project mengizinkan kumpulan auditor yang sama untuk memeriksa datanya. Mereka mencapai hal ini dengan menerapkan kebijakan keamanan semacam itu di tingkat Organisasi dan tidak pernah menggantinya di tingkat yang lebih rendah. Kebijakan keamanan ini ditetapkan dalam aktivitas audit software dan verifikasinya dapat dilakukan secara otomatis.

Identifikasi dan penyamaran data sensitif

Salah satu langkah pertama dalam mengelola data sensitif adalah mengetahui lokasinya. Setelah teridentifikasi, Anda akan lebih siap untuk menetapkan kontrol akses guna memastikan akses/penanganan yang tepat dan menggunakan teknik untuk mengurangi sensitivitas melalui penyamaran, penyamaran, atau de-identifikasi data. Setelah disamarkan, data tidak akan menyampaikan sifat sensitifnya, seperti nomor jaminan sosial tertentu, nomor kartu kredit yang valid, atau Informasi Identitas Pribadi (PII).

Tantangan tradisional dalam menyamarkan sejumlah besar data yang beragam adalah kebutuhan untuk mengotomatiskan pengenalan, klasifikasi, dan penyamaran yang tepat. Kemajuan ditandai dengan adanya dukungan sistem untuk memberi alasan tentang konten dalam kolom data secara otomatis. Tingkat visibilitas otomatis ke dalam aliran data arbitrer ini memungkinkan aplikasi memutuskan data apa yang akan dikirim ke endpoint mana, sistem mana yang akan digunakan untuk menyimpan berbagai jenis data yang sedang dikelola, dan kapan untuk memperingatkan tentang jenis data tertentu yang dikirim.

Pencegahan dan mitigasi

Di Google Cloud, Sensitive Data Protection memungkinkan Anda memahami dan mengelola data sensitif. Fitur ini menyediakan klasifikasi yang cepat dan skalabel, serta penyamaran opsional untuk elemen data sensitif, seperti nomor kartu kredit, nama, nomor Jaminan Sosial, nomor paspor, nomor surat izin mengemudi (SIM) AS dan internasional tertentu, serta nomor telepon. Sensitive Data Protection mendukung teks, data terstruktur, dan gambar – cukup kirimkan data ke Perlindungan Data Sensitif atau tentukan data yang disimpan di instance Cloud Storage, BigQuery, dan Datastore Anda. Temuan dari Sensitive Data Protection dapat digunakan untuk secara otomatis memantau atau menginformasikan konfigurasi setelan IAM, residensi data, atau kebijakan lainnya. Sensitive Data Protection juga dapat membantu Anda menyamarkan atau membaurkan bagian tertentu dari data ini untuk mengurangi sensitivitas atau membantu minimalisasi data sebagai bagian dari kebijakan yang kurang istimewa atau perlu diketahui. Teknik yang tersedia adalah masking, enkripsi yang mempertahankan format, tokenisasi, dan bucketing di seluruh data teks terstruktur atau bebas.

Administrator berbahaya

Pada dasarnya, sebagian besar sistem komputer memberikan kemampuan yang belum dicek kepada administrator yang ditunjuk. Administrator yang berbahaya atau disusupi akan memiliki izin yang memadai untuk melakukan salah satu skenario yang dibahas dalam dokumen ini, dan selanjutnya memiliki kemampuan terbesar untuk melenyapkan log dan bukti tindakan mereka. Untuk mengurangi risiko ini, Anda perlu memisahkan kekuasaan dan izin atas bagian-bagian jaringan Anda, dan memungkinkan administrator untuk memantau satu sama lain.

Pencegahan dan Mitigasi

Membatasi izin seorang pelaku sangat penting untuk mengurangi risiko yang diakibatkan oleh administrator yang tidak bertanggung jawab.

Untuk menyelesaikan tugas yang diberikan, administrator akan memiliki kemampuan untuk memindahkan data secara tidak sah, tetapi prinsip berikut dapat diterapkan untuk mengurangi cakupan dan besarnya peristiwa tersebut jika terjadi:

• Amankan jaringan yang besar dari gangguan administrator dengan mencatat tindakan administrator ke dalam log di tempat yang tidak dapat mereka akses. Gunakan tim keamanan terpisah untuk mengelola layanan pemantauan dan logging.
• Pertimbangkan untuk membuat semua akses administrator bersifat sementara dengan periode masa berlaku yang singkat. Di banyak jaringan, administrator tidak memerlukan akses yang tetap.
• Wajibkan beberapa pelaku untuk menyetujui tindakan administratif. Dengan menangani semua tindakan administratif seperti kode sumber yang memerlukan persetujuan, Anda dapat mengurangi risiko yang ditimbulkan oleh satu pelaku.

Pemutusan hubungan kerja

Computer Emergency Response Team (CERT) di Software Engineering Institute Carnegie Mellon University membuat makalah tahun 2011 yang menunjukkan bahwa karyawan lebih mungkin untuk terlibat dalam pemindahan data yang tidak sah jika mereka telah mengantisipasi pemutusan hubungan kerja dalam waktu dekat. Pemutusan hubungan kerja yang tertunda adalah periode meningkatnya risiko yang membutuhkan perhatian tambahan dari tim keamanan IT.

Pencegahan dan Mitigasi

Untuk jaringan dengan data yang sangat sensitif, pertimbangkan untuk menghubungkan sistem logging dan pemantauan ke software HR yang mencatat penghentian mendatang dan menetapkan batas yang lebih konservatif untuk memberi tahu tim keamanan terhadap perilaku abnormal oleh pengguna ini.

Kesimpulan

Fleksibilitas, penghematan biaya, dan kekuatan penggunaan infrastruktur cloud publik memerlukan peningkatan kewaspadaan dan pendekatan baru untuk mengamankan data dari pemindahan yang tidak sah. Anda dapat merancang kebijakan dan implementasi organisasi untuk memperhitungkan lingkungan menggunakan teknik yang dijelaskan dalam makalah ini:

• Minimalkan "dampak gangguan" peristiwa pemindahan data yang tidak sah melalui pembagian data.
• Buat redundansi dan persetujuan dalam alur kerja administrator sistem untuk meningkatkan akuntabilitas.
• Gunakan izin terperinci dan berikan akses ke data sensitif hanya kepada orang yang memerlukannya untuk fungsi pekerjaan mereka.
• Gunakan logging untuk meningkatkan transparansi akses dan pergerakan data di organisasi Anda.
• Batasi dan pantau traffic masuk dan keluar ke mesin di organisasi Anda menggunakan aturan jaringan, identity and access management (IAM), dan bastion host.
• Buat dasar pengukuran aliran data normal, seperti jumlah data yang diakses atau ditransfer, dan lokasi geografis akses yang digunakan untuk membandingkan perilaku abnormal.

Langkah berikutnya

• Baca tentang Layanan Kebijakan Organisasi.
• Baca tentang Sensitive Data Protection.
• Baca Ringkasan Keamanan Google Cloud.
• Kunjungi halaman Ekosistem Partner Keamanan untuk mempelajari partner Google Cloud yang berfokus pada keamanan.
• Buka halaman Google Cloud & GDPR.