Tetap terdepan dalam menghadapi ancaman siber merupakan tantangan konstan bagi sebagian besar organisasi, dan itulah mengapa lembaga pemerintah terus memperbarui pedoman dan persyaratan mereka.
Direktorat Sinyal Australia (ASD) baru-baru ini memperbarui Delapan Esensial-yang mewakili "delapan strategi mitigasi paling efektif" bagi organisasi untuk mempertahankan diri dari serangan siber yang paling sering terjadi dan berdampak paling tinggi - dengan pedoman baru yang penting tentang multi-faktor (MFA) untuk membantu dalam pertempuran yang sedang berlangsung melawan pelaku ancaman.
Meskipun banyak organisasi pemerintah diharuskan untuk menyelaraskan diri dengan Delapan Esensial, pembaruan ini tidak boleh dipandang sebagai latihan kepatuhan yang hanya dilakukan oleh pemerintah. Sebaliknya, pembaruan ini merupakan kesempatan untuk semua organisasi untuk memperkuat kerangka kerja keamanan siber mereka melalui penerapan pedoman ini.
Salah satu perubahan penting pada Essential Eight adalah persyaratan baru bagi organisasi untuk memperkenalkan penggunaan MFA yang tahan terhadap phishing, seperti perangkat FIDO2. Ini adalah perubahan penting dan mewakili peningkatan signifikan dalam mekanisme pertahanan organisasi terhadap ancaman keamanan siber yang paling umum: serangan phishing, yang merupakan penyebab pelanggaran paling sering dan paling berbahaya kedua bagi keuntungan organisasi Laporan Biaya Keamanan IBM atas Pelanggaran Data 2024 menemukan bahwa pelanggaran yang diakibatkan oleh phishing menelan biaya rata-rata USD 4,88 juta.
Dengan frekuensi dan dampak serangan phishing, RSA sangat mendukung Australian Cyber Security Centre (ACSC) dan ASD yang menjadikan hal ini sebagai persyaratan bagi setiap implementasi MFA untuk mencapai postur 'Tingkat Kematangan 2' dan dengan tujuan akhir mengurangi risiko bagi organisasi.
FIDO2 adalah sebuah teknologi yang dirancang untuk merevolusi autentikasi online. Ini adalah sistem dua bagian yang membuat masuk ke situs web menjadi lebih aman dan nyaman. Dengan FIDO2, Anda bisa menggunakan biometrik (seperti sidik jari), kunci keamanan, atau ponsel Anda untuk masuk, alih-alih mengandalkan kata sandi tradisional. Metode ini jauh lebih aman, karena jauh lebih sulit bagi penyerang untuk meretas atau melakukan phishing terhadap kredensial pengguna dengan menggunakan FIDO2.
FIDO2 terdiri dari protokol khusus yang memungkinkan perangkat keras berkomunikasi secara aman dengan layanan online, dan API web yang mengintegrasikan teknologi ini langsung ke dalam peramban web seperti Chrome atau Safari, sehingga seluruh prosesnya mudah digunakan. Ini adalah cara yang lebih cerdas untuk melindungi identitas dan data online.
FIDO2 juga memungkinkan organisasi untuk menghapus kata sandi di seluruh infrastruktur mereka. 'Menuju tanpa kata sandi' telah lama menjadi seruan bagi sebagian besar organisasi. Namun, terlepas dari manfaat keamanan dan kegunaan yang jelas dari FIDO2, adopsi di Australia sayangnya masih sangat rendah. Hal ini sebagian besar disebabkan karena infrastruktur dan sistem lama tidak dapat memanfaatkan protokol FIDO2, sehingga menciptakan hambatan teknis dan finansial yang signifikan untuk adopsi yang lebih luas. Sistem yang lebih tua ini sebagian besar masih bergantung pada metode MFA yang lebih tua, seperti One Time Password (OTP).
Untuk mendapatkan hasil maksimal dari investasi mereka sebelumnya, memenuhi pedoman Essential Eight yang baru, dan meningkatkan postur keamanan siber mereka secara keseluruhan, organisasi harus memeriksa teknologi yang secara bersamaan dapat memberikan FIDO2 dan OTP dalam solusi yang sama, dengan cara yang paling tidak mengganggu.
RSA menawarkan kepada organisasi opsi yang hemat biaya dan sangat aman yang melebihi persyaratan ini. Opsi-opsi tersebut adalah RSA Authenticatatau Aplikasi ini sendiri bersertifikat FIDO di Android dan iOS. Kedua, aplikasi Pengautentikasi perangkat keras RSA DS100 merupakan perangkat keras bersertifikasi FIDO dan menyediakan OTP di panel layar. Dan akhirnya, perangkat Seri RSA iShield Key 2, yang didukung oleh Swissbit, memberikan perangkat bersertifikat FIDO yang mendukung FIDO2 dan TOTP dan bersertifikat FIPS 140-3.
Pedoman Essential Eight telah mengecualikan biometrik (misalnya sidik jari di ponsel Anda) sebagai metode otentikasi yang valid di bawah tingkat kematangan mana pun. Kita harus meninjau kembali persyaratan apa pun untuk menggunakan jenis teknologi ini untuk akses istimewa dan tidak boleh menggunakan biometrik sebagai satu-satunya cara untuk memberikan akses.
Selain itu, pengenalan suara adalah pendekatan lain untuk memberikan akses di mana pengguna ditantang untuk menggunakan suara mereka sendiri untuk mendapatkan akses ke sesuatu. Teknik AI generatif saat ini memungkinkan para pelaku ancaman untuk mengkloning suara apa pun dengan kumpulan sampel kecil, dan hasilnya sangat meyakinkan: hasil Indeks Keamanan Seluler Verizon 2023 melaporkan bahwa "tujuh kata sudah cukup sebagai sampel untuk membuat peniruan suara seseorang yang dapat dipercaya."
Mengingat perkembangan ini, mungkin cukup adil untuk mengatakan bahwa pengenalan suara, pada dasarnya, merupakan teknologi yang sudah mati untuk autentikasi. Pembaruan biometrik Essential Eight menggarisbawahi mengapa organisasi harus berhati-hati terhadap perkembangan yang bergerak cepat di dunia teknologi AI generatif dan hubungannya dengan identitas dan keamanan. Tetap waspada!
Merangkul perubahan ini membutuhkan perencanaan dan pelaksanaan yang strategis. Langkah pertama adalah memastikan keselarasan dengan alokasi anggaran dan sumber daya. Integrasi MFA yang lebih canggih mungkin membutuhkan sumber daya yang signifikan di awal, tetapi merupakan investasi jangka panjang dalam keamanan digital organisasi secara keseluruhan. Ketika ada sesuatu yang gratis, Anda selalu mendapatkan apa yang Anda bayar.
Keterlibatan karyawan juga sangat penting. Efektivitas langkah-langkah keamanan baru sangat bergantung pada pemahaman dan penerimaan pengguna. Memberikan pelatihan dan terus memupuk budaya kesadaran keamanan siber akan memudahkan transisi yang lancar ke metode autentikasi baru.
Kami telah melihat organisasi mendapatkan penerimaan yang lebih cepat dari karyawan dengan melibatkan mereka dalam transisi dan memberdayakan mereka dengan sumber daya baru, daripada memaksakan perubahan pada mereka. Menyediakan layanan mandiri bagi pengguna yang memungkinkan mereka untuk memilih di antara berbagai metode MFA yang setara dapat membantu dalam hal ini.
Selain itu, dan yang tidak kalah pentingnya, sangat penting untuk menyeimbangkan keamanan siber dengan efisiensi operasional. Penerapan langkah-langkah MFA tidak boleh menghambat pengalaman pengguna atau operasi bisnis. Mencapai keseimbangan yang tepat antara protokol keamanan yang ketat dan pengalaman pengguna bisa jadi rumit, namun merupakan kunci keberhasilan adopsi. Selain itu, perhatikan juga sistem lama-pilihlah penyedia yang dapat melindungi sumber daya yang sudah tua dan juga mampu melindungi teknologi mutakhir.
Pedoman Essential Eight yang telah diperbarui menggarisbawahi pentingnya manajemen risiko. Menerapkan solusi MFA yang kuat akan mengurangi kemungkinan akses yang tidak sah dan dengan demikian potensi pelanggaran data. Selain itu, langkah-langkah ini sangat mengurangi risiko keseluruhan terhadap infrastruktur digital.
Itulah sebabnya kami mendorong semua organisasi untuk mendekati pedoman Delapan Esensial MFA yang telah direvisi lebih dari sekadar persyaratan kepatuhan untuk organisasi pemerintah dan afiliasinya, dan sebaliknya melihat pedoman ini sebagai sebuah jalur strategis untuk membentengi diri. apapun organisasi terhadap ancaman siber.
