Jika tahun 2022 mengajarkan sesuatu pada keamanan siber, itu adalah bahwa otentikasi multi-faktor (MFA) harus menjadi garis pertahanan pertama dalam mengamankan sebuah organisasi-itu tidak bisa menjadi terakhir garis pertahanan.
Tahun lalu, kami melihat serangan besar yang menjadi berita utama yang berhasil menghindari MFA. Sebuah kelompok yang disponsori negara membobol sebuah LSM pada Maret 2022. Kemudian LAPSUS$ melanggar penyedia teknologi sebelum kemudian beralih ke Uber, di antara beberapa lainnya serangan profil tinggi tahun lalu.
Beberapa dari serangan itu sangat canggih. Beberapa tidak. Tetapi semuanya memberikan pelajaran penting tentang bagaimana dan mengapa keamanan siber harus melindungi seluruh siklus identitas.
Saya akan merinci langkah-langkah yang dilakukan dalam serangan MFA ini dan hal-hal penting yang harus dipelajari oleh organisasi di Konferensi RSA besok, 25 April, pukul 9:40 pagi WIB.
Satu peretasan yang tidak akan saya bahas adalah SolarWinds pelanggaran. Dan meskipun tidak akan ada dalam presentasi saya, serangan SolarWinds menunjukkan kebutuhan yang sama untuk mempertahankan seluruh siklus hidup identitas. Dalam hal ini, pelaku ancaman menggunakan SolarWinds untuk meluncurkan serangan rantai pasokan dan mendapatkan akses ke agen-agen federal, perusahaan keamanan siber, dan bahkan Microsoft selama berbulan-bulan.
Pelanggaran SolarWinds menunjukkan bahwa jika sebuah organisasi tidak memprioritaskan keamanan identitasnya, maka para pelaku ancaman akan melakukannya. Dalam post-mortem serangan tersebut, para peneliti menemukan bahwa para penyerang melewati MFA dengan menggunakan teknologi cookie web yang sudah ketinggalan zaman yang telah salah diklasifikasikan sebagai MFA.
Namun, itu bukan satu-satunya kerentanan yang dieksploitasi oleh para penyerang: mereka juga mencuri kata sandi, menggunakan sertifikat SAML untuk "mengaktifkan autentikasi identitas oleh layanan cloud," dan membuat "akun baru di server Direktori Aktif." Setiap langkah memberikan para penyerang lebih banyak kontrol dan metode untuk bergerak secara lateral di seluruh jaringan SolarWinds Orion - dan kemudian ke para pelanggannya.
Tidak ada satu pun kelemahan identitas yang diprioritaskan oleh para peretas. Sebaliknya, mereka "terutama berfokus pada menyerang infrastruktur identitas [penekanan ditambahkan]," karena "gigi adalah jaringan ikat yang digunakan penyerang untuk bergerak ke arah lateral."
SolarWinds-dan serangan MFA yang berhasil pada tahun 2022-mendemonstrasikan mengapa organisasi harus memahami bahwa "infrastruktur identitas adalah target."
Jangan salah paham: MFA masih merupakan garis pertahanan pertama yang terbaik. MFA melindungi dari serangan kata sandi yang paling sering terjadi, termasuk taktik rekayasa sosial seperti phishing dan pengisian kredensial, serangan penyadapan, serangan brute force, dan banyak lagi.
Tetapi MFA saja tidak cukup untuk mencegah risiko atau merespons ancaman. MFA harus bekerja dalam koordinasi dengan kemampuan tambahan di seluruh siklus hidup identitas untuk menjaga organisasi tetap aman.
The Pipa Kolonial Serangan ransomware menunjukkan bagaimana pelaku ancaman menyerang celah dalam infrastruktur identitas organisasi dan peran penting yang masih dimainkan oleh MFA: DarkSide membobol sistem Colonial Pipeline menggunakan akun VPN yatim piatu yang sudah tidak digunakan lagi.
Akun yatim piatu itu tidak memiliki tujuan untuk Colonial Pipeline-itu adalah kewajiban keamanan hanya. Program tata kelola dan administrasi identitas (IGA) yang baik akan menghapus akun tersebut dari direktori perusahaan sepenuhnya.
Tetapi komponen tata kelola hanya satu yang gagal: Akun VPN yatim piatu Colonial Pipeline juga tidak diproteksi oleh MFA. Kemungkinan besar baik kemampuan IGA atau MFA akan mencegah terjadinya pelanggaran. Kedua bersama akan menghasilkan arsitektur keamanan siber yang jauh lebih kuat dan lebih cerdas.
MFA masih menjadi salah satu bagian terpenting dalam arsitektur keamanan setiap organisasi. Namun, MFA memberikan nilai lebih - dan menciptakan keamanan siber yang lebih kuat - ketika bekerja dalam koordinasi dengan komponen keamanan lain di seluruh siklus identitas.
Ada begitu banyak kerentanan di seluruh siklus hidup identitas. Dan, sayangnya, para pelaku ancaman mahir dalam mengeksploitasi semuanya.
Sementara Colonial Pipeline dan SolarWinds menunjukkan beberapa kerentanan tersebut, LAPSUS$ dan peretas yang disponsori negara menemukan cara lain untuk mengeksploitasi kelemahan di seluruh identitas untuk membobol organisasi pada tahun 2022.
Kita bisa belajar banyak dari setiap serangan identitas-dan menemukan cara untuk mencegah serangan berikutnya. Jika Anda bisa, silakan bergabung dengan Sesi RSAC besok untuk mempelajari lebih lanjut tentang kerentanan ini, dan apa yang dapat dilakukan keamanan siber untuk mengatasinya.
###
Bergabunglah dengan sesi Konferensi RSA Dave Taku, "Anatomi Serangan: Kebangkitan dan Kejatuhan MFA" besok, 25 April pukul 9:40 pagi PT.
