Beberapa pembobolan data terbesar yang pernah terjadi menghindari autentikasi multi-faktor (MFA). Entah itu dengan menyerang bagaimana MFA dikonfigurasikan, pengguna yang melakukan pengeboman cepat, atau menyerang sub-kontraktor, LAPSUS$ dan agen-agen yang disponsori negara menemukan cara untuk menyerang titik-titik lemah dalam siklus identitas, mengeksfiltrasi data, dan mengungkapkan mengapa MFA harus menjadi garis pertahanan pertama Anda-tetapi bukan garis pertahanan terakhir.
Saya telah membahas setiap serangan ini dalam webinar baru-baru ini yang dapat Anda tonton sesuai permintaan. Dalam merinci anatomi serangan, saya mencoba menjelaskan metode dan eksploitasi yang digunakan oleh pelaku ancaman.
Penjelasan-penjelasan tersebut menimbulkan banyak pertanyaan yang sama banyaknya dengan yang dijawab. Para peserta mengajukan beberapa pertanyaan hebat tentang kekuatan relatif dari berbagai faktor autentikasi, zero trust, tanpa kata sandi, dan banyak lagi. Berikut ini adalah beberapa pertanyaan yang tidak sempat kami jawab selama panggilan telepon dan jawaban yang akan saya bagikan jika kami tidak kehabisan waktu:
J: Ini adalah pertanyaan menarik yang akan diperdebatkan selama bertahun-tahun ke depan. Kata sandi dan PIN keduanya termasuk dalam kategori otentikasi "sesuatu yang Anda ketahui" dan oleh karena itu rentan terhadap serangan phishing. Dibandingkan dengan kata sandi, PIN umumnya lebih pendek dan menggunakan rangkaian karakter yang terbatas. Jadi dari perspektif entropis, PIN adalah lebih lemah daripada kata sandi-yaitu, semakin banyak jumlah pilihan potensial, semakin sulit kata sandi atau PIN untuk dibobol.
Tetapi itu hanya sebagian dari ceritanya. Tidak seperti kata sandi, PIN (atau setidaknya PIN seperti yang didefinisikan oleh NIST SP800-63) adalah divalidasi secara lokal. Ini berarti bahwa mereka tidak pernah dikirimkan atau disimpan dalam sebuah tempat penyimpanan terpusat. Hal ini membuat PIN jauh lebih kecil kemungkinannya untuk dicegat atau dicuri dalam serangan smash-and-grab.
Seperti yang sering terjadi, lingkungan, konfigurasi, dan edukasi pengguna cenderung memiliki dampak yang lebih besar pada postur keamanan siber Anda secara keseluruhan daripada protokol atau teknologi.
J: Sistem "gagal terbuka" adalah sistem yang secara default terbuka ketika kontrol operasi standar tidak berfungsi. Meskipun ini adalah prinsip keselamatan yang penting dalam keamanan fisik (misalnya, jika terjadi kebakaran, semua pintu eksterior harus segera terbuka), hal ini tidak terlalu bagus ketika melindungi akses ke aset penting Anda.
Dalam kasus penggunaan LSM, penyerang mendapatkan akses ke aset dengan mencegah sistem lokal berkomunikasi dengan penyedia MFA berbasis cloud, yang secara efektif mem-bypass kontrol MFA. Hal ini dimungkinkan karena solusi identitas yang digunakan adalah standar "gagal terbuka"postur keamanan").
Ada beberapa cara untuk menghindari hal ini tanpa mengunci pengguna dari sistem. Yang pertama adalah menggunakan sistem autentikasi hibrida yang bisa kembali ke simpul lokal (on-prem) jika terjadi kegagalan Internet. Yang kedua adalah menggunakan sistem autentikasi yang dapat divalidasi secara offline. RSA ID Plus mendukung kedua opsi tersebut.
J: Jika saya menjawab selain 'RSA ID Plus', saya cukup yakin bahwa saya akan kehilangan pekerjaan.
Namun dengan segala keseriusan, ada beberapa hal yang akan saya cari. Pertama, apakah vendor memiliki rekam jejak yang sudah terbukti? Kedua, apakah Identitas merupakan inti dari bisnis mereka atau hanya salah satu dari sekian banyak hal yang mereka kerjakan? Ketiga, apakah vendor memprioritaskan kenyamanan di atas keamanan dalam membuat keputusan desain? Keempat, apakah solusi tersebut menawarkan fleksibilitas untuk mendukung berbagai macam pengguna dan kasus penggunaan, termasuk aplikasi-aplikasi lama yang ada di dalam pusat data Anda? Dan terakhir, ketika terjadi kesalahan (dan memang akan terjadi), apakah vendor mengakui kesalahan tersebut dengan transparansi penuh atau apakah mereka mengelak dan melempar kesalahan?
Keamanan tidaklah mudah dan para pelaku ancaman identitas target lebih dari bagian lain dari permukaan serangan. Organisasi membutuhkan IDP yang memahami hal itu.
J: Zero Trust Network Access (ZTNA) adalah sebuah konsep yang didasarkan pada prinsip bahwa kepercayaan tidak boleh diasumsikan hanya didasarkan pada koneksi pengguna ke intranet lokal-pengguna harus terus menerus diautentikasi, mereka harus memiliki izin untuk mengakses sumber daya tertentu, dan mereka juga harus memiliki alasan yang valid untuk melakukannya.
Meskipun ada banyak produk "Zero Trust" di pasaran saat ini, penting untuk dicatat bahwa ZTNA adalah kerangka kerja konseptual dan seperangkat praktik terbaik. Bagaimana Cara Anda menggunakan teknologi, menentukan kebijakan, dan mengelola ekosistem akan menentukan postur ZTNA Anda. Teknologi tentu saja bisa membantu, tetapi jika ada vendor yang mengatakan bahwa produk mereka akan membuat Anda patuh terhadap ZTNA, carilah yang lain.
Jika Anda ingin mempelajari lebih lanjut tentang Zero Trust, saya sarankan untuk memulai dengan tujuh prinsip Zero Trust yang didefinisikan dalam NIST SP800-207.
J: Dengan opsi seperti Apple Face ID yang hampir ada di mana-mana bagi pengguna seluler, biometrik jelas merupakan bentuk autentikasi tanpa kata sandi yang populer, tetapi tentu saja bukan satu-satunya. FIDO2 adalah pilihan yang semakin umum untuk kasus penggunaan konsumen dan perusahaan. Metode nirsentuh seperti kode QR, BLE, dan NFC juga digunakan, meskipun pada tingkat yang lebih rendah. Prinsip-prinsip AI seperti aturan cerdas, pembelajaran mesin, dan analisis perilaku semakin banyak digunakan untuk meningkatkan kepercayaan identitas sebagai faktor otentikasi yang tidak terlihat yang menimbulkan sedikit atau bahkan tidak ada gesekan dengan pengguna akhir. RSA ID Plus mendukung semua opsi ini saat ini.
J: Menurut saya, ketiga serangan ini menunjukkan bahwa "Manajemen Identitas & Akses", jika bukan istilah yang ketinggalan zaman, mungkin istilah yang tidak memadai.
Serangan ini menggarisbawahi bahwa kita perlu mengamankan identitas, bukan hanya mengelolanya. Sebagai contoh, menyediakan akses saja tidak cukup: kita harus mulai dengan bertanya 'apakah pengguna membutuhkan akses? Jika ya, untuk berapa lama? Apakah kita telah memberikan mereka akses yang terlalu banyak atau cukup? Bagaimana kita bisa tahu? Dalam banyak kasus, saya rasa admin tidak akan tahu bagaimana caranya - atau bahkan bagaimana cara mengetahuinya.
Pelaku ancaman mengetahui bahwa ada lebih dari sekadar mengelola identitas. Serangan yang saya ulas menunjukkan bagaimana penjahat siber menyerang celah yang tidak diperhitungkan oleh IAM. Menurut saya, pemahaman organisasi tentang identitas perlu diperluas untuk memperhitungkan dan mengamankan siklus hidup identitas secara penuh.
Pada tingkat yang lebih teknis, saya pikir AI akan memiliki peran besar dalam memproses data otentikasi, hak, dan penggunaan data yang sangat besar. Memiliki platform cerdas yang dapat menilai data berbutir halus dengan cepat dan dalam skala besar dapat menjadi aset nyata dalam menjaga keamanan organisasi.
J: SecurID dan YubiKey masing-masing merupakan autentikator terkemuka di kelasnya masing-masing. Dan kabar baiknya-RSA ID Plus mendukung keduanya (di antara banyak opsi autentikasi lainnya).
Melangkah mundur dari spesifikasi vendor, pengautentikasi OTP dan FIDO masing-masing memiliki manfaat yang unik. Meskipun FIDO semakin populer sebagai opsi yang aman dan nyaman untuk login berbasis web, opsi FIDO berbasis perangkat lunak masih memiliki keserbagunaan yang terbatas, perangkat keras sering kali membutuhkan koneksi fisik, dan dukungan sejati untuk FIDO di luar peramban web hampir tidak ada. Sementara itu, OTP memiliki keuntungan karena dapat digunakan di mana saja - pada perangkat keras atau perangkat lunak - tanpa memerlukan perangkat lunak klien khusus atau koneksi fisik.
Namun, ketika membandingkan OTP dan FIDO, jawaban terbaik biasanya adalah 'DAN'. Perangkat hibrida seperti autentikator RSA DS100 menggabungkan yang terbaik dari keduanya, menawarkan OTP dan FIDO2 dalam satu faktor bentuk tunggal untuk memberikan fleksibilitas maksimum dan luasnya dukungan.
