Dalam dunia keamanan siber yang terus berkembang, ancaman baru muncul dengan cepat, menuntut respons yang tangkas dari penyedia solusi keamanan. Salah satu temuan terbaru yang menarik perhatian adalah teknik bypass lokal yang diungkap oleh tim peneliti dari Aon (Stroz Friedberg), mitra SentinelOne. Teknik ini berpotensi mengganggu keamanan agen Windows pada produk endpoint detection and response (EDR), termasuk milik SentinelOne. Namun, dengan respons cepat dan inovasi teknologi, ancaman ini berhasil diatasi. Artikel ini akan membahas temuan tersebut, solusi yang diterapkan, dan pentingnya konfigurasi yang tepat dalam menjaga keamanan siber.
Latar Belakang Temuan
Pada pertengahan Januari 2025, tim Stroz Friedberg menghubungi SentinelOne untuk melaporkan adanya teknik bypass lokal yang memungkinkan penyerang dengan akses administrator lokal untuk mengelabui sistem keamanan. Teknik ini memanfaatkan penginstal resmi yang ditandatangani oleh SentinelOne untuk melakukan peningkatan agen secara tidak sah. Meskipun ancaman ini memerlukan akses tingkat tinggi dan penginstal resmi, hal ini menyoroti pentingnya perlindungan tambahan untuk mencegah eksploitasi.
SentinelOne dengan sigap merespons laporan tersebut dengan merilis pembaruan yang memperkenalkan fitur Otorisasi Peningkatan Lokal pada 19 Januari 2025. Fitur ini memungkinkan pelanggan untuk memblokir upaya peningkatan agen secara lokal, kecuali pada jendela waktu yang telah ditentukan. Menurut pengujian Stroz Friedberg, fitur ini terbukti efektif, membuat teknik bypass tersebut tidak lagi dapat dieksekusi ketika fitur diaktifkan.
Langkah-Langkah Perlindungan
Selain fitur Otorisasi Peningkatan Lokal, SentinelOne telah menerapkan beberapa lapisan perlindungan untuk menangkal ancaman serupa:
- Anti-Tampering: Semua agen dilengkapi dengan perlindungan terhadap manipulasi, termasuk serangan melalui driver berbahaya atau teknik Bring Your Own Vulnerable Driver (BYOVD).
- Frasa Sandi untuk Pencopotan: Pencopotan agen secara lokal memerlukan frasa sandi, menambah lapisan keamanan.
- Aturan Deteksi Baru: SentinelOne merilis aturan deteksi berjudul Potential Bring Your Own Installer (BYOI) Exploitation untuk mengidentifikasi upaya eksploitasi seperti yang dijelaskan dalam penelitian Aon. Aturan ini dapat diaktifkan melalui konsol SentinelOne.
Fitur Otorisasi Peningkatan Lokal kini diaktifkan secara default untuk pelanggan baru, sementara pelanggan lama disarankan untuk mengaktifkannya secara manual agar tidak mengganggu alur kerja yang sudah ada, terutama yang menggunakan alat seperti System Center Configuration Manager. SentinelOne juga meningkatkan visibilitas fitur ini melalui pembaruan konsol dan komunikasi yang diperbarui kepada pelanggan.
Kolaborasi dan Transparansi
Salah satu aspek penting dari respons SentinelOne adalah kolaborasi dengan komunitas keamanan siber yang lebih luas. Penelitian Stroz Friedberg dibagikan kepada vendor EDR lainnya, karena teknik bypass ini berpotensi memengaruhi produk keamanan lain yang memiliki mekanisme serupa. Stroz Friedberg menegaskan bahwa tidak ada vendor EDR, termasuk SentinelOne, yang diketahui rentan terhadap serangan ini jika produk mereka dikonfigurasi dengan benar. Hal ini menunjukkan pentingnya kerja sama lintas industri untuk menghadapi ancaman siber yang terus berkembang.
Pentingnya Konfigurasi yang Tepat
Temuan ini menggarisbawahi bahwa keamanan siber bukan hanya tentang teknologi, tetapi juga tentang bagaimana teknologi tersebut dikonfigurasi dan dikelola. Fitur seperti Otorisasi Peningkatan Lokal memberikan fleksibilitas kepada pelanggan untuk menyesuaikan perlindungan sesuai kebutuhan mereka, tetapi juga menuntut kesadaran akan pentingnya mengaktifkan pengaturan keamanan yang tepat. Dengan konfigurasi yang optimal, risiko ancaman seperti teknik bypass lokal dapat diminimalkan.
Menuju Masa Depan yang Lebih Aman
Keamanan siber adalah perjalanan tanpa akhir. Dengan ancaman yang terus berevolusi, penyedia solusi seperti SentinelOne harus tetap berada di garis depan inovasi. Platform Singularity™ dari SentinelOne menawarkan visibilitas menyeluruh, deteksi berbasis kecerdasan buatan, dan respons otonom untuk melindungi organisasi dari ancaman siber. Respons cepat terhadap temuan Stroz Friedberg adalah bukti komitmen SentinelOne untuk menjaga kepercayaan pelanggan dan meningkatkan standar keamanan industri.
Kami mengapresiasi kerja keras tim Stroz Friedberg yang telah membantu mengidentifikasi dan memitigasi ancaman ini. Kolaborasi seperti ini memperkuat ekosistem keamanan siber dan memastikan bahwa organisasi di seluruh dunia dapat beroperasi dengan lebih aman.
Untuk informasi lebih lanjut tentang solusi keamanan siber SentinelOne, Diskusikan dengan iLogo Indonesia sebagai Mitra terpercaya yang siap membantu mengintegrasikannya kedalam bisnis Anda. Hubungi tim iLogo untuk mempelajari cara mengoptimalkan perlindungan Anda. Bersama, kita dapat membangun masa depan digital yang lebih aman, atau Anda dapat mengunjungi https://sentinelone.ilogoindonesia.id
