Tulisan ini pertama kali diterbitkan pada tahun 2023 dan telah diperbarui.
Beberapa pelanggaran data terbesar yang pernah terjadi dalam ingatan baru-baru ini menghindari autentikasi multi-faktor (MFA). Bukan berarti MFA tidak efektif. Ini berarti penyerang sering kali mem-bypass MFA dengan menargetkan celah di sekitar autentikasi daripada faktor itu sendiri.
Entah itu dengan menyerang bagaimana MFA dikonfigurasikan, pengguna yang melakukan pengeboman cepat, atau menyerang sub-kontraktor, para pelaku ancaman menemukan cara untuk menyerang titik-titik lemah dalam siklus identitas, mengeksfiltrasi data, dan mengungkapkan mengapa MFA harus menjadi garis pertahanan pertama Anda, tetapi bukan garis pertahanan terakhir.
Itulah pelajaran utama bagi tim keamanan. MFA masih penting, tetapi bekerja paling baik sebagai bagian dari strategi keamanan identitas yang lebih luas.
Penyerang menggunakan metode yang berbeda tergantung pada lingkungannya, tetapi beberapa pola muncul berulang kali.
Kelelahan MFA dan pengeboman yang cepat
Salah satu taktik yang umum adalah Kelelahan MFA, yang juga disebut pemboman cepat. Penyerang berulang kali mengirimkan permintaan persetujuan sampai pengguna menerimanya secara tidak sengaja atau karena frustrasi. Pendekatan ini bekerja paling baik ketika pengguna terganggu, terburu-buru, atau tidak yakin apakah permintaan tersebut sah.
Itulah salah satu alasan mengapa pendidikan pengguna masih penting. Orang perlu tahu bahwa permintaan yang tidak terduga harus diperlakukan sebagai tanda peringatan, bukan sebagai langkah login rutin.
Konfigurasi MFA yang lemah
MFA hanya sekuat implementasinya. Jika administrator meninggalkan celah dalam kebijakan, pendaftaran, metode fallback, penanganan pengecualian, atau persyaratan peningkatan, penyerang akan mencarinya. Dalam banyak kasus, kelemahannya bukanlah faktor itu sendiri. Melainkan cara penerapan faktor tersebut.
Paparan pihak ketiga dan kontraktor
Penyerang juga menargetkan pemasok, kontraktor, dan mitra yang memiliki akses ke sistem internal. Kontrol yang kuat masih bisa gagal jika identitas pihak ketiga terlalu istimewa, tidak dipantau dengan baik, atau diatur dengan lemah. Risiko identitas tidak berhenti pada karyawan.
Arsitektur yang gagal terbuka
Sistem “gagal terbuka” adalah sistem yang secara default terbuka ketika kontrol pengoperasian standar tidak berfungsi. Prinsip tersebut bisa masuk akal dalam keamanan fisik, tetapi ini menimbulkan risiko serius dalam hal mengamankan akses digital.
Jika sebuah sistem kehilangan kontak dengan layanan MFA berbasis cloud dan secara default memberikan akses, penyerang dapat mengeksploitasi kondisi tersebut untuk mem-bypass MFA sepenuhnya.
Kesenjangan siklus hidup identitas
Otentikasi hanyalah salah satu bagian dari keamanan identitas. Pelaku ancaman tahu bahwa ada yang lebih dari sekadar mengelola identitas. Mereka mencari kelemahan dalam penyediaan, pemulihan, administrasi yang didelegasikan, akses pihak ketiga, dan tata kelola hak.
Pelajaran terbesar dari serangan ini bukanlah bahwa MFA gagal. Pelajarannya adalah bahwa pertahanan identitas perlu diperluas hingga melampaui layar login.
Ketika organisasi hanya berfokus pada peristiwa otentikasi, mereka membiarkan area bernilai tinggi lainnya terekspos. Alur kerja pemulihan, pengecualian kebijakan, akses offline, peran istimewa, dan hak yang berlebihan, semuanya dapat menjadi jalur serangan.
Sebagai contoh, menyediakan akses saja tidak cukup: organisasi harus mulai dengan menanyakan apakah pengguna membutuhkan akses? Jika ya, untuk berapa lama? Apakah kita sudah memberikan mereka akses yang terlalu banyak atau cukup? Bagaimana kita bisa tahu? Itu adalah pertanyaan keamanan praktis yang secara langsung memengaruhi risiko pelanggaran.
Organisasi yang ingin mengurangi risiko bypass MFA membutuhkan visibilitas yang lebih kuat di seluruh siklus hidup identitas. Hal ini berarti tidak hanya memahami siapa yang bisa masuk, tetapi juga mengapa mereka memiliki akses, apa yang bisa mereka jangkau, dan bagaimana izin tersebut berubah seiring waktu.
Pertahanan terbaik bukanlah satu faktor atau satu produk. Ini adalah pendekatan berlapis yang menutup celah yang diandalkan oleh para penyerang.
Memperkuat opsi autentikasi
Tidak semua metode autentikasi memberikan tingkat perlindungan yang sama. Dengan opsi seperti Apple Face ID yang hampir ada di mana-mana bagi pengguna seluler, biometrik adalah bentuk populer dari autentikasi tanpa kata sandi, tetapi tentu saja bukan satu-satunya. Organisasi harus mengevaluasi opsi-opsi yang lebih kuat yang dapat mengurangi paparan terhadap serangan phishing dan serangan berbasis pemutaran ulang. Memprioritaskan berbagai solusi tanpa kata sandi yang dapat mendukung setiap pengguna, di setiap lingkungan, setiap saat.
Mengurangi ketergantungan pada tebakan pengguna
MFA berbasis push memang nyaman, tetapi kenyamanan dapat menimbulkan risiko ketika pengguna diharapkan untuk menginterpretasikan permintaan yang tidak terduga pada saat itu juga. Semakin alur autentikasi bergantung pada penilaian pengguna di bawah tekanan, maka semakin rentan jadinya.
Itulah sebabnya organisasi harus memasangkan autentikasi yang lebih kuat dengan kesadaran keamanan, kontrol kebijakan yang adaptif, dan pemantauan pola persetujuan yang mencurigakan.
Rencanakan skenario kegagalan
Ini adalah salah satu pelajaran yang paling jelas dari pelanggaran ini. Ada beberapa cara yang dapat dilakukan untuk menghindari serangan ini tanpa mengunci pengguna dari sistem. Yang pertama adalah dengan menggunakan sebuah sistem otentikasi hibrida yang dapat kembali ke node on-prem lokal jika terjadi kegagalan Internet. Yang kedua adalah menggunakan sistem autentikasi yang dapat divalidasi secara offline.
Dalam lingkungan dengan jaminan tinggi, ketahanan sangat penting, begitu juga dengan perilaku kegagalan. Tim keamanan harus mengetahui dengan pasti apa yang terjadi ketika layanan hulu tidak tersedia.
Meningkatkan visibilitas identitas
Keamanan identitas membutuhkan lebih dari sekadar memverifikasi sebuah faktor. Hal ini juga membutuhkan wawasan tentang akses, hak, perubahan siklus hidup, dan sinyal risiko di seluruh pengguna dan sistem. Tanpa visibilitas tersebut, organisasi dapat mengamankan autentikasi namun tetap membiarkan aset penting tetap terbuka.
Autentikasi tanpa kata sandi dapat membantu mengurangi risiko bypass MFA dengan menjauhkan organisasi dari kredensial yang mudah ditipu dan alur masuk yang rapuh.
Baik itu biometrik, FIDO2, kode QR, BLE, NFC, atau faktor bentuk tanpa kata sandi lainnya, organisasi harus menggunakan solusi yang dapat mendukung berbagai lingkungan, aplikasi, dan kelompok pengguna yang beragam.
Tanpa kata sandi bukan hanya tentang kenyamanan. Hal ini juga dapat mengurangi ketergantungan pada kata sandi, yang masih menjadi salah satu titik masuk yang paling sering dieksploitasi dalam serangan identitas.
Autentikator OTP dan FIDO masing-masing memiliki manfaat yang unik. Beberapa lebih cocok untuk autentikasi berbasis peramban modern, sementara yang lain menawarkan cakupan yang lebih luas di lingkungan lama dan hibrida. Namun, ketika membandingkan OTP dan FIDO, jawaban terbaik biasanya adalah “DAN”. Banyak organisasi membutuhkan fleksibilitas dan jaminan yang lebih kuat.
MFA harus menjadi garis pertahanan pertama Anda, tetapi bukan yang terakhir. Untuk mengurangi risiko bypass MFA, organisasi membutuhkan opsi autentikasi yang lebih kuat, arsitektur yang tangguh, dan visibilitas yang lebih baik di seluruh siklus hidup identitas.
Dengan RSA ID Plus, organisasi dapat mendukung autentikasi tanpa kata sandi dan hibrida, memperkuat perlindungan untuk lingkungan modern dan lingkungan lama, dan membangun strategi keamanan identitas yang lebih tangguh. Pelajari bagaimana RSA ID Plus dapat membantu mempertahankan diri dari celah yang ditargetkan penyerang ketika MFA berdiri sendiri.
MFA merupakan kontrol keamanan penting yang bekerja paling baik ketika digunakan sebagai bagian dari strategi keamanan identitas yang lebih luas. Kami telah menjelajahi beberapa cara umum penyerang untuk melewati MFA, termasuk pengeboman yang cepat, konfigurasi yang lemah, eksposur pihak ketiga, dan kesenjangan di seluruh siklus hidup identitas dalam webinar kami, Anatomi Serangan: Kebangkitan & Kejatuhan MFA, yang mendorong munculnya pertanyaan-pertanyaan lanjutan dari para peserta. Pertanyaan Umum di bawah ini menjawab beberapa pertanyaan paling penting yang muncul dari percakapan tersebut.
T: Apakah Anda setuju dengan Microsoft bahwa PIN Windows Hello lebih aman daripada kata sandi untuk mendapatkan akses ke stasiun kerja Anda?
J: Ini adalah pertanyaan menarik yang akan diperdebatkan selama bertahun-tahun ke depan. Kata sandi dan PIN keduanya termasuk dalam kategori otentikasi "sesuatu yang Anda ketahui" dan oleh karena itu rentan terhadap serangan phishing. Dibandingkan dengan kata sandi, PIN umumnya lebih pendek dan menggunakan rangkaian karakter yang terbatas. Jadi dari perspektif entropis, PIN adalah lebih lemah daripada kata sandi-yaitu, semakin banyak jumlah pilihan potensial, semakin sulit kata sandi atau PIN untuk dibobol.
Tetapi itu hanya sebagian dari ceritanya. Tidak seperti kata sandi, PIN (atau setidaknya PIN seperti yang didefinisikan oleh NIST SP800-63) adalah divalidasi secara lokal. Ini berarti bahwa mereka tidak pernah dikirimkan atau disimpan dalam sebuah tempat penyimpanan terpusat. Hal ini membuat PIN jauh lebih kecil kemungkinannya untuk dicegat atau dicuri dalam serangan smash-and-grab.
Seperti yang sering terjadi, lingkungan, konfigurasi, dan edukasi pengguna cenderung memiliki dampak yang lebih besar pada postur keamanan siber Anda secara keseluruhan daripada protokol atau teknologi.
T: Dapatkah Anda memberikan sedikit lebih banyak detail tentang opsi autentikasi offline untuk menghindari masalah gagal buka. Contoh arsitektur atau penawaran produk?
J: Sistem "gagal terbuka" adalah sistem yang secara default terbuka ketika kontrol operasi standar tidak berfungsi. Meskipun ini adalah prinsip keselamatan yang penting dalam keamanan fisik (misalnya, jika terjadi kebakaran, semua pintu eksterior harus segera terbuka), hal ini tidak terlalu bagus ketika melindungi akses ke aset penting Anda.
Dalam kasus penggunaan LSM, penyerang mendapatkan akses ke aset dengan mencegah sistem lokal berkomunikasi dengan penyedia MFA berbasis cloud, yang secara efektif mem-bypass kontrol MFA. Hal ini dimungkinkan karena solusi identitas yang digunakan adalah standar "gagal terbuka"postur keamanan").
Ada beberapa cara untuk menghindari hal ini tanpa mengunci pengguna dari sistem. Yang pertama adalah menggunakan sistem autentikasi hibrida yang bisa kembali ke simpul lokal (on-prem) jika terjadi kegagalan Internet. Yang kedua adalah menggunakan sistem autentikasi yang dapat divalidasi secara offline. RSA ID Plus mendukung kedua opsi tersebut.
T: Manakah IDP (Penyedia Identitas) terbaik menurut Anda?
J: Jika saya menjawab selain 'RSA ID Plus', saya cukup yakin bahwa saya akan kehilangan pekerjaan.
Namun dengan segala keseriusan, ada beberapa hal yang akan saya cari. Pertama, apakah vendor memiliki rekam jejak yang sudah terbukti? Kedua, apakah Identitas merupakan inti dari bisnis mereka atau hanya salah satu dari sekian banyak hal yang mereka kerjakan? Ketiga, apakah vendor memprioritaskan kenyamanan di atas keamanan dalam membuat keputusan desain? Keempat, apakah solusi tersebut menawarkan fleksibilitas untuk mendukung berbagai macam pengguna dan kasus penggunaan, termasuk aplikasi-aplikasi lama yang ada di dalam pusat data Anda? Dan terakhir, ketika terjadi kesalahan (dan memang akan terjadi), apakah vendor mengakui kesalahan tersebut dengan transparansi penuh atau apakah mereka mengelak dan melempar kesalahan?
Keamanan tidaklah mudah dan para pelaku ancaman identitas target lebih dari bagian lain dari permukaan serangan. Organisasi membutuhkan IDP yang memahami hal itu.
T: Seberapa andal solusi ZTNA saat ini yang ditawarkan oleh vendor keamanan?
J: Zero Trust Network Access (ZTNA) adalah sebuah konsep yang didasarkan pada prinsip bahwa kepercayaan tidak boleh diasumsikan hanya didasarkan pada koneksi pengguna ke intranet lokal-pengguna harus terus menerus diautentikasi, mereka harus memiliki izin untuk mengakses sumber daya tertentu, dan mereka juga harus memiliki alasan yang valid untuk melakukannya.
Meskipun ada banyak produk "Zero Trust" di pasaran saat ini, penting untuk dicatat bahwa ZTNA adalah kerangka kerja konseptual dan seperangkat praktik terbaik. Bagaimana Cara Anda menggunakan teknologi, menentukan kebijakan, dan mengelola ekosistem akan menentukan postur ZTNA Anda. Teknologi tentu saja bisa membantu, tetapi jika ada vendor yang mengatakan bahwa produk mereka akan membuat Anda patuh terhadap ZTNA, carilah yang lain.
Jika Anda ingin mempelajari lebih lanjut tentang Zero Trust, saya sarankan untuk memulai dengan tujuh prinsip Zero Trust yang didefinisikan dalam NIST SP800-207.
T: Apakah tanpa kata sandi sepenuhnya didasarkan pada biometrik? Metode lain apa yang bisa digunakan, bagaimana AI digunakan dalam autentikasi?
J: Dengan opsi seperti Apple Face ID yang hampir ada di mana-mana bagi pengguna seluler, biometrik jelas merupakan bentuk autentikasi tanpa kata sandi yang populer, tetapi tentu saja bukan satu-satunya. FIDO2 adalah pilihan yang semakin umum untuk kasus penggunaan konsumen dan perusahaan. Metode nirsentuh seperti kode QR, BLE, dan NFC juga digunakan, meskipun pada tingkat yang lebih rendah. Prinsip-prinsip AI seperti aturan cerdas, pembelajaran mesin, dan analisis perilaku semakin banyak digunakan untuk meningkatkan kepercayaan identitas sebagai faktor otentikasi yang tidak terlihat yang menimbulkan sedikit atau bahkan tidak ada gesekan dengan pengguna akhir. RSA ID Plus mendukung semua opsi ini saat ini.
T: Bagaimana masa depan Manajemen Identitas & Akses?
J: Menurut saya, ketiga serangan ini menunjukkan bahwa “Manajemen Identitas & Akses”, jika bukan istilah yang ketinggalan zaman, mungkin istilah yang tidak memadai.
Serangan ini menggarisbawahi bahwa kita perlu mengamankan identitas, bukan hanya mengelolanya. Sebagai contoh, menyediakan akses saja tidak cukup: kita harus mulai dengan bertanya 'apakah pengguna membutuhkan akses? Jika ya, untuk berapa lama? Apakah kita telah memberikan mereka akses yang terlalu banyak atau cukup? Bagaimana kita bisa tahu? Dalam banyak kasus, saya rasa admin tidak akan tahu bagaimana caranya - atau bahkan bagaimana cara mengetahuinya.
Pelaku ancaman mengetahui bahwa ada lebih dari sekadar mengelola identitas. Serangan yang saya ulas menunjukkan bagaimana penjahat siber menyerang celah yang tidak diperhitungkan oleh IAM. Menurut saya, pemahaman organisasi tentang identitas perlu diperluas untuk memperhitungkan dan mengamankan siklus hidup identitas secara penuh.
Pada tingkat yang lebih teknis, saya pikir AI akan memiliki peran besar dalam memproses data otentikasi, hak, dan penggunaan data yang sangat besar. Memiliki platform cerdas yang dapat menilai data berbutir halus dengan cepat dan dalam skala besar dapat menjadi aset nyata dalam menjaga keamanan organisasi.
T: Bagaimana Anda membandingkan SecurID dengan YubiKey?
J: SecurID dan YubiKey masing-masing merupakan autentikator terkemuka di kelasnya masing-masing. Dan kabar baiknya-RSA ID Plus mendukung keduanya (di antara banyak opsi autentikasi lainnya).
Melangkah mundur dari spesifikasi vendor, pengautentikasi OTP dan FIDO masing-masing memiliki manfaat yang unik. Meskipun FIDO semakin populer sebagai opsi yang aman dan nyaman untuk login berbasis web, opsi FIDO berbasis perangkat lunak masih memiliki keserbagunaan yang terbatas, perangkat keras sering kali membutuhkan koneksi fisik, dan dukungan sejati untuk FIDO di luar peramban web hampir tidak ada. Sementara itu, OTP memiliki keuntungan karena dapat digunakan di mana saja - pada perangkat keras atau perangkat lunak - tanpa memerlukan perangkat lunak klien khusus atau koneksi fisik.
Namun, ketika membandingkan OTP dan FIDO, jawaban terbaik biasanya adalah ‘DAN’. Perangkat hibrida seperti RSA DS100 Authenticator menggabungkan yang terbaik dari kedua dunia, menawarkan OTP dan FIDO2 dalam satu faktor bentuk untuk memberikan fleksibilitas maksimum dan luasnya dukungan. RSA juga mendukung sistem Seri iShield Key 2, yang memberikan otentikasi yang didukung perangkat keras yang divalidasi terhadap tolok ukur keamanan tertinggi. Disertifikasi di bawah FIPS 140-3 dan FIDO2, ini selaras dengan kerangka kerja termasuk FedRAMP, NIST, DORA, NIS2, HIPAA, dan PCI DSS.
