Dua teknik yang paling sering ditemui adalah:
- Password Guessing (T1110.001)
- Password Spraying (T1110.003)
Sekilas memang terlihat mirip karena sama-sama mencoba menebak kata sandi. Namun, jika diperhatikan lebih dalam, pola serangannya justru berlawanan.
Password Guessing (T1110.001)
Password Guessing merupakan teknik di mana penyerang mencoba banyak kombinasi password terhadap satu atau beberapa akun tertentu.
Misalnya seorang attacker menargetkan akun admin, kemudian mencoba berbagai kemungkinan password seperti berikut:
admin
admin123
admin1234
password
administrator
Seluruh password tersebut dicoba ke akun yang sama sampai ada yang berhasil.
Karena satu akun menerima banyak percobaan login gagal dalam waktu singkat, teknik ini biasanya akan memicu mekanisme Account Lockout apabila sistem telah menerapkan kebijakan keamanan yang baik.
Teknik ini sering disebut sebagai serangan vertikal, karena fokusnya hanya pada satu akun tetapi dengan banyak variasi password.
Password Spraying (T1110.003)
Berbeda dengan Password Guessing, Password Spraying menggunakan pendekatan yang berkebalikan.
Pada teknik ini, penyerang hanya menggunakan satu password yang dianggap umum, kemudian mencobanya ke banyak akun yang berbeda.
Sebagai contoh, attacker menggunakan password:
Password123
Kemudian password tersebut dicoba ke banyak akun seperti:
andi budi rina bedul
Mengapa cara ini dilakukan?
Karena sebagian besar sistem keamanan akan mengunci akun apabila terdapat banyak kegagalan login pada akun yang sama. Dengan mencoba satu password ke banyak akun, attacker berusaha menghindari mekanisme Account Lockout sehingga serangan dapat berlangsung lebih lama tanpa menimbulkan kecurigaan. Teknik ini dikenal sebagai serangan horizontal, karena satu password "disebarkan" ke banyak akun.
Apakah Firewall Bisa Membedakan Keduanya?
Inilah yang sering menjadi kesalahpahaman, terutama bagi analyst yang baru belajar SIEM.
Banyak orang mengira firewall atau IPS mampu menentukan apakah suatu serangan termasuk Password Guessing atau Password Spraying.
Padahal kenyataannya tidak demikian.
Firewall biasanya hanya mendeteksi bahwa telah terjadi aktivitas Brute Force atau Multiple Login Failure. Informasi tersebut memang sangat berguna sebagai indikator awal, tetapi belum cukup untuk menentukan sub-teknik MITRE ATT&CK yang digunakan oleh attacker.
Yang menentukan apakah serangan tersebut merupakan Password Guessing atau Password Spraying adalah analyst, berdasarkan pola aktivitas yang terlihat.
Sebagai contoh:
- Jika satu akun menerima ratusan percobaan password yang berbeda, maka besar kemungkinan itu adalah Password Guessing.
- Sebaliknya, jika satu password digunakan untuk mencoba login ke puluhan atau bahkan ratusan akun yang berbeda, maka pola tersebut lebih mengarah ke Password Spraying.
Dengan kata lain, firewall hanya memberikan petunjuk bahwa terjadi aktivitas Brute Force. Proses analisis tetap harus dilakukan oleh manusia.
Mengapa Label SIEM Tidak Selalu Benar?
Hal berikutnya yang sering membuat bingung analyst adalah ketika hasil korelasi dari SIEM ternyata tidak selalu sesuai dengan teknik MITRE ATT&CK yang sebenarnya.
Sebagai contoh, saya pernah menemukan kasus ketika FortiGate menghasilkan log IPS dengan signature:
Spring.Boot.Actuator.Unauthorized.Access
Namun setelah log tersebut diproses oleh FortiSIEM, incident yang muncul justru diberi label:
Privilege Escalation T1548.004
Sekilas mungkin terlihat benar karena berasal dari sistem otomatis. Akan tetapi setelah dilakukan validasi menggunakan referensi MITRE ATT&CK, teknik yang lebih tepat sebenarnya adalah:
T1190 Exploit Public-Facing Application
Mengapa bisa berbeda? Karena label yang diberikan oleh SIEM hanyalah hasil korelasi berdasarkan rule yang telah dibuat sebelumnya. Rule tersebut memang membantu mempercepat proses deteksi, tetapi bukan berarti selalu benar dalam semua kondisi.
Oleh karena itu, seorang analyst tidak boleh langsung menerima hasil korelasi begitu saja. Raw log dari perangkat keamanan, signature vendor, konteks serangan, serta referensi MITRE ATT&CK tetap harus diperiksa sebelum menentukan klasifikasi akhir sebuah incident.
Anggap saja label dari SIEM adalah hipotesis awal, sedangkan keputusan akhirnya tetap berada di tangan analyst.
Cara Memberikan Nama Tiket yang Baik
Setelah mengetahui jenis serangan yang sebenarnya, langkah berikutnya adalah memberikan nama tiket secara konsisten.
Kesalahan yang cukup sering terjadi adalah menggunakan nama signature dari vendor sebagai judul tiket. Padahal setiap vendor memiliki format penamaan yang berbeda-beda.
Agar lebih mudah dipahami dan tetap konsisten, saya lebih menyarankan menggunakan taksonomi MITRE ATT&CK sebagai judul utama tiket, sedangkan informasi spesifik dari vendor disimpan sebagai informasi pendukung.
Sebagai contoh, apabila firewall berhasil memblokir exploit terhadap aplikasi web, maka tiket dapat diberi nama seperti berikut.
EVT | Initial Access: Exploit Public-Facing Application (T1190) Source : 213.209.159.175 Target : 10.101.64.32 Outcome : Dropped
Sementara informasi seperti berikut cukup disimpan pada field tambahan di sistem ticketing:
- Vendor Signature
- SIEM Event Type
- Reporting Device
- FortiSIEM Incident ID
Dengan cara ini, judul tiket akan tetap konsisten meskipun log berasal dari FortiGate, Palo Alto, Cisco, Check Point, ataupun vendor lainnya.
Apabila kemudian diketahui bahwa exploit tersebut berhasil masuk ke server dan terdapat indikasi kompromi, maka statusnya berubah menjadi Incident.
Sebagai contoh:
INC | Initial Access: Exploit Public-Facing Application (T1190) Host : 10.101.64.32 Status : Suspected Exposure
Selanjutnya, apabila analyst meminta administrator untuk memblokir alamat IP penyerang, maka aktivitas tersebut dapat dibuat sebagai Service Request, misalnya:
SR | Block Source IP Object : 213.209.159.175 Reference : INC-65287
Dengan pendekatan seperti ini, judul tiket menjadi lebih rapi, mudah dipahami, serta tetap konsisten walaupun berasal dari berbagai jenis perangkat keamanan yang berbeda.
Yauda segitu dulu sharing singkatnya dan contoh IP yang ada itu fiktif belaka yah.


















