Dalam lanskap digital saat ini, batasan keamanan tradisional telah hilang, menjadikan identitas sebagai garis depan pertahanan baru. Seiring dengan semakin banyaknya organisasi yang mengadopsi layanan cloud dan model kerja jarak jauh, pengelolaan dan pengamanan identitas menjadi hal yang sangat penting. Praktik manajemen identitas dan akses (IAM) yang efektif sangat penting bagi departemen TI untuk melindungi diri dari serangan dunia maya, upaya phishing, dan ancaman ransomware. Dengan menerapkan strategi IAM yang kuat, organisasi dapat memastikan bahwa hanya individu yang berwenang yang memiliki akses ke sumber daya penting, sehingga mengurangi potensi risiko keamanan. Mari selami hal-hal terpenting yang harus menjadi fokus, yang semuanya selaras dengan prinsip inti zero-trust.
Verifikasi secara eksplisit
Salah satu pendorong utama yang mendorong adopsi teknologi cloud adalah kemudahan akses terhadap sumber daya dari mana saja, dari perangkat apa saja, dan kapan saja. Namun dalam praktiknya, tidak ada gunanya membiarkan tingkat akses tanpa hambatan ini tanpa memverifikasi bahwa permintaan akses dibuat oleh orang yang tepat. Lagi pula, kita masih hidup di zaman di mana nama pengguna dan kata sandi sering kali dituliskan di dekat perangkat yang digunakan. Tim keamanan TI harus memiliki mekanisme yang kuat untuk memverifikasi permintaan akses ini secara eksplisit sehingga dapat dipercaya untuk mengizinkan akses, terutama dari lokasi jaringan yang tidak dikenal.
Beberapa contoh penerapannya adalah dengan menggunakan metode autentikasi multifaktor (MFA) yang kuat untuk mengamankan permintaan. Metode yang kuat termasuk menyetujui permintaan akses melalui pemberitahuan di aplikasi pengautentikasi pilihan Anda pada perangkat pintar (sudah menggunakan biometrik untuk membuka kuncinya) atau dengan menggunakan perintah pencocokan nomor sehingga pemohon harus memasukkan ‘jawaban’ yang benar secara manual di aplikasinya sebelum akses diberikan. Metode ini membantu menghindari beberapa teknik yang sedang berkembang yang digunakan penyerang untuk mencoba mengatasi perintah MFA: yaitu, pertukaran sim dan kelelahan MFA. Munculnya teknik serangan yang berfokus pada MFA ini menunjukkan bahwa penyerang akan selalu berusaha selangkah lebih maju dari fitur keamanan yang muncul.
MFA bukanlah segalanya dalam hal keamanan identitas. Ini hanyalah rintangan pertama yang harus dihadapi oleh tim keamanan antara penyerang dan tujuannya untuk membahayakan lingkungan. Semakin banyak rintangan yang ada, semakin besar kemungkinan penyerang akan menyerah dan berpindah ke sasaran yang lebih mudah. MFA akan menghalangi sebagian besar penyerang, namun tidak semua.
Analisis perilaku pengguna dan entitas (UEBA) adalah teknik modern lainnya yang dapat memberikan lapisan keamanan tambahan. Terlepas dari apakah penyerang berhasil melewati rintangan MFA yang mereka temui, UEBA secara konsisten memantau berbagai metrik yang dihasilkan saat pengguna berinteraksi dengan platform cloud. Setiap penyimpangan dari apa yang dianggap normal bagi pengguna tersebut akan diberi skor risiko, dan jika cukup banyak anomali yang tertangkap, hal ini dapat memaksa pengguna untuk melakukan pengaturan ulang kata sandi, atau bahkan mengunci akun sepenuhnya hingga tim keamanan yakin bahwa akun tersebut belum berhasil. belum dikompromikan.
Teknik-teknik ini menunjukkan sebagian kecil dari apa yang dapat dilakukan untuk mendukung platform IAM agar lebih tahan terhadap serangan yang berfokus pada identitas. Tujuan dari hal ini di masa depan adalah untuk melindungi terhadap penggunaan deepfake yang dihasilkan oleh AI.
Teknologi AI juga menjadi lebih mudah diakses oleh semua orang – termasuk pelaku kejahatan juga! Penggunaan fitur di Microsoft Entra seperti ID Terverifikasi, termasuk keharusan melakukan pemindaian biomimetik real-time untuk membuktikan keaslian, akan menjadi hal yang lumrah dalam waktu dekat, memastikan bahwa ketika seseorang mendapat panggilan dari CFO pada akhir Jumat sore untuk menyetujui faktur pembayaran dalam jumlah besar , mereka dapat yakin bahwa mereka sedang berbicara dengan CFO mereka, dan bukan panggilan video yang dihasilkan AI.
Gunakan prinsip akses dengan hak paling rendah
Seiring pertumbuhan dan perkembangan organisasi, izin dan hak istimewa yang diberikan agar teknologi dapat berfungsi juga meningkat. Seiring waktu, identitas dapat mengumpulkan sejumlah besar izin al-la-carte yang berbeda untuk melakukan tugas yang sangat spesifik. Jika izin ini tidak diberikan secara berkala, hal ini dapat berarti bahwa beberapa identitas dapat membawa kekuasaan yang sangat besar terhadap lingkungan TI. Mari kita bahas beberapa konsep yang membantu mengurangi risiko ini.
Kontrol akses berbasis peran (RBAC) adalah cara untuk secara konsisten menyediakan izin dan hak istimewa yang telah dipetakan sebelumnya agar sesuai dengan peran atau tugas tertentu. Peran yang telah ditentukan sebelumnya ini memudahkan pemberian jumlah hak yang tepat untuk tugas yang ada. Platform cloud seperti Microsoft 365 dan Azure hadir dengan banyak peran, namun juga memungkinkan peran khusus untuk memenuhi kebutuhan organisasi mana pun. Disarankan untuk menggunakan peran RBAC sebanyak mungkin, dan hal ini berlaku ganda ketika menerapkan teknik berikutnya.
Akses just-in-time (JIT) membawa RBAC selangkah lebih maju. Alih-alih menumpuk identitas dengan izin dan hak istimewa yang lebih tinggi selama 24 jam sehari, akses JIT memberikan hak yang lebih tinggi untuk sementara. Microsoft Privileged Identity Management adalah contoh alat JIT, dan memungkinkan identitas yang sesuai untuk meningkatkan sementara izinnya ke peran RBAC yang telah ditentukan, dan dapat mencakup pemeriksaan dan keseimbangan tambahan seperti persetujuan, memaksa persetujuan MFA, pemberitahuan email, atau opsi penyesuaian untuk berapa lama individu dapat memperoleh akses ke izin tertentu. Pada akhirnya, ini berarti bahwa jika akun dengan akses ke hak istimewa yang lebih tinggi disusupi, hal ini tidak berarti bahwa pelaku kejahatan akan dapat mengeksploitasi izin tersebut.
Selain menggunakan teknik dan teknologi IAM modern untuk menjaga hak dan izin tetap tepat sasaran, penting juga untuk memastikan adanya proses untuk memastikan praktik kebersihan identitas yang baik. Bentuknya bisa bermacam-macam, namun jika berfokus pada solusi Microsoft Entra, kami dapat menyoroti dua alat khusus yang dapat membantu membuat proses ini bekerja lebih lancar dibandingkan upaya manual. Pertama, tinjauan akses dapat digunakan untuk memeriksa identitas di suatu lingkungan secara berkala dan memberikan indikasi siapa yang telah menggunakan hak tinggi mereka atau tidak. Hal ini membuat pemilik layanan diberi wewenang untuk mengambil keputusan tentang siapa yang harus tetap berada dalam kelompok izin atau tidak. Ini juga merupakan cara yang luar biasa untuk mengaudit kolaborator eksternal yang telah diundang ke penyewa Anda melalui Entra B2B.
Paket akses adalah cara lain untuk menjaga standar pemberdayaan izin. Aplikasi, grup, layanan cloud, dan lainnya, dapat dikelompokkan ke dalam satu paket, misalnya, ‘Akuntansi Tingkat Awal’ dapat berupa paket yang dibuat yang memberikan akses ke perangkat lunak penggajian, akses penampil ke beberapa situs SharePoint, dan Tim Microsoft. Setelah orang tersebut dihapus dari paket akses, misalnya, jika mereka pindah departemen, atau dipromosikan, menghapus mereka dari paket akses tunggal ini akan menghapus semua akses terkait ke paket layanan. Artinya, izin yang stagnan cenderung tidak terakumulasi pada identitas tertentu.
Asumsikan pelanggaran
Bahkan dengan semua alat keamanan terbaik yang tersedia, organisasi tidak pernah 100% kebal dari serangan. Menghadapi kenyataan ini adalah bagian penting dari strategi keamanan yang sukses. Penting untuk selalu berasumsi bahwa pelanggaran mungkin saja terjadi dan meningkatkan ketahanan Anda sehingga merespons serangan bukanlah pengalaman yang menakutkan. Beberapa konsep dapat diperkenalkan untuk membantu di sini.
Pertama, gagasan autentikasi berkelanjutan penting untuk dianut. Alih-alih mengadopsi pola pikir “Pengguna X telah berhasil melakukan permintaan MFA oleh karena itu saya akan memberikan semua akses yang mereka minta”, tampaknya melengkapi beberapa konsep yang telah dibahas dalam artikel ini, namun seperti yang disoroti sebelumnya, penyerang adalah selalu berusaha selangkah lebih maju dalam hal alat keamanan, sehingga sangat penting untuk membatasi akses, bahkan jika pengguna tampaknya melakukan semuanya dengan benar. Tidak ada yang lebih baik daripada mengubah frekuensi masuk yang akan dilakukan pengguna, terutama jika mengakses konten dari luar batas jaringan organisasi. Namun perlu diingat, ada keseimbangan penting yang harus dicapai antara menerapkan praktik keamanan yang baik dan memengaruhi pengalaman pengguna, sehingga menimbulkan frustrasi.
Kontrol akses adaptif juga dapat digunakan untuk mendorong pengambilan keputusan mengenai permintaan akses. Misalnya, jika Pengguna X masuk dari perangkat terdaftar mereka, dalam batas jaringan organisasi, ke platform SaaS yang mereka gunakan setiap hari – risikonya minimal. Akses harus diberikan dalam banyak kasus di sini. Namun, misalnya Pengguna Y yang masuk dari alamat IP eksternal yang merupakan platform VPN anonim yang dikenali, pada perangkat yang tidak terdaftar, ingin mengunduh informasi dalam jumlah besar dari SharePoint. Ini bisa saja merupakan permintaan yang sah, namun bisa juga merupakan tanda-tanda kebocoran identitas, dan kontrol adaptif real-time seperti kebijakan Masuk atau Risiko dalam Perlindungan Entra ID dapat membantu menjaga sumber daya tetap terlindungi dengan lebih baik dalam skenario ini.
Singkatnya, penerapan model keamanan zero-trust dengan fokus pada IAM sangat penting untuk memerangi serangan cyber, phishing, dan ransomware. Dengan mengadopsi prinsip-prinsip seperti verifikasi secara eksplisit, hak istimewa paling rendah, dan asumsi pelanggaran, organisasi dapat secara signifikan mengurangi risiko akses tidak sah dan pergerakan lateral dalam jaringan mereka. Teknologi seperti MFA, akses JIT, dan UEBA memainkan peran penting dalam menegakkan prinsip-prinsip ini. Selain itu, pemantauan berkelanjutan, analisis identitas, dan teknologi penipuan membantu mendeteksi dan merespons potensi pelanggaran dengan cepat, memastikan postur keamanan yang kuat dan tangguh.
Ricky Simpson adalah direktur solusi AS di Quorum Cyber, penyedia layanan keamanan siber yang berbasis di Skotlandia. Dia memimpin Amerika Serikat pada awal tahun 2023 setelah menghabiskan beberapa tahun bekerja di bidang cloud, keamanan, dan kepatuhan di rumah Microsoft di Edinburgh. Beliau meraih gelar BSc di bidang ilmu komputer dari Robert Gordon University di Aberdeen.
