Tidak perlu waktu lama bagi tahun 2025 untuk mengingatkan pentingnya keamanan identitas, dengan Departemen Keuangan AS memberi tahu kongres bahwa aktor ancaman "yang disponsori negara Tiongkok" telah mendapatkan akses ke sistemnya dengan mengeksploitasi kerentanan (CVE-2024-12356 dan CVE-2024-12686) dalam sistem BeyondTrust.
Dan sementara CISA melaporkan bahwa Departemen Keuangan adalah satu-satunya lembaga federal yang terkena dampak pelanggaran ini, ceritanya masih terus berkembang. Lebih dari 13.000 contoh layanan yang terkena dampak masih terhubung ke internet dan mungkin rentan, lapor Censys. Sejak pengungkapan awal Departemen Keuangan, CISA telah menambahkan CVE-2024-12686 ke dalam Katalog Kerentanan yang Dieksploitasi yang Diketahui, yang mengharuskan badan-badan federal untuk "mengamankan jaringan mereka dari serangan yang sedang berlangsung yang menargetkan cacat tersebut."
Tidaklah berguna untuk bermain sebagai gelandang pada Senin pagi, dan hal ini terutama terjadi dalam situasi seperti ini ketika rincian tentang pelanggaran masih terus bermunculan. Sebaliknya, kami pikir akan sangat berharga untuk melihat fakta-fakta tentang pelanggaran Departemen Keuangan dan menjelaskan apa arti fakta-fakta tersebut bagi program keamanan siber organisasi di masa mendatang.
Di dalam laporan Mengenai pelanggaran tersebut, BeyondTrust mencatat bahwa "analisis akar penyebab masalah SaaS Dukungan Jarak Jauh mengidentifikasi bahwa kunci API untuk SaaS Dukungan Jarak Jauh telah disusupi." Laporan tersebut mencatat bahwa kunci API SaaS Dukungan Jarak Jauh yang disusupi "memungkinkan pengaturan ulang kata sandi akun aplikasi lokal."
BeyondTrust mengambil tindakan yang tepat untuk segera mencabut kunci API, kemungkinan besar untuk memulai pengaturan ulang kata sandi. Tetapi mengamankan API harus menjadi bagian dari pendekatan yang jauh lebih luas: organisasi harus mengamankan seluruh siklus hidup kredensial. Ini merupakan masalah yang lebih besar daripada sekadar autentikasi. Organisasi perlu memperhitungkan penyediaan, pendaftaran, dan pengaturan ulang akun manusia dan mesin.
Mereka juga perlu memastikan bahwa apa yang diautentikasi oleh pengguna masih relevan. Saya seharusnya hanya bisa mengakses sumber daya yang saya perlukan untuk tujuan yang telah ditetapkan. Akses tambahan apa pun-akses apa pun yang saya miliki namun tidak saya perlukan-hanya akan menimbulkan risiko.
Organisasi juga harus memperluasnya ke API. Pengguna manusia dan perangkat cenderung mendapatkan semua fokus keamanan, mengabaikan akun layanan dan API. Organisasi perlu mengetahui apa saja yang bisa diakses oleh layanan tersebut dan apa yang bisa dilakukan dengan akses tersebut. Mereka juga perlu membuat dan mengelola API secara mandiri untuk setiap penyewa-memiliki kunci API ganda sama berisikonya dan sama buruknya dengan berbagi kata sandi.
Dalam suratnya kepada Kongres, Departemen Keuangan mencatat bahwa "pelaku ancaman telah mendapatkan akses ke sebuah kunci yang digunakan oleh vendor untuk mengamankan layanan berbasis cloud yang digunakan untuk memberikan dukungan teknis dari jarak jauh bagi para pengguna akhir Kantor Departemen Keuangan (DO)."
Sulit untuk menguraikan secara tepat apa artinya dalam kasus ini, tetapi ada beberapa elemen yang mengingatkan saya pada serangan tahun 2023 yang menelan korban jiwa MGM Resorts dan Caesars Entertainment Group ratusan juta dolar.
Pada serangan ransomware Las Vegas dan pembobolan Departemen Keuangan baru-baru ini, para penyerang menggunakan beberapa kombinasi meja bantuan dan API organisasi. Perbedaan utamanya adalah dalam kasus serangan Las Vegas, penyerang menggunakan rekayasa sosial untuk mengelabui Meja Bantuan TI agar mengatur ulang kata sandi.
Organisasi perlu memahami risiko yang dapat ditimbulkan oleh Meja Bantuan mereka sendiri. Secara historis, para pelaku ancaman telah menyamar sebagai Meja Bantuan TI untuk merekayasa target mereka secara sosial, dan taktik itu tampaknya berperan dalam serangan Departemen Keuangan.
Kantor-kantor ini berada di bawah tekanan yang besar, memiliki banyak keleluasaan, dan mungkin tidak mendokumentasikan proses atau tindakan mereka secara lengkap.
Personel Help Desk mungkin dapat mengatur ulang kata sandi, menghapus MFA, atau membuat akun baru. Selain itu, Help Desk dapat ditekan untuk bertindak sebelum memberikan pertimbangan kasus atau mendokumentasikan tindakan mereka.
Untuk mengatasi hal ini, pimpinan harus menyatakan bahwa keamanan adalah yang terpenting, organisasi harus mendokumentasikan dan menggunakan proses manajemen perubahan, dan kasus-kasus berisiko tinggi harus memerlukan komunikasi di luar jaringan untuk memverifikasi bahwa seseorang yang meminta bantuan adalah orang yang mereka klaim. Tonton video kami webinar sesuai permintaan untuk melihat bagaimana organisasi dapat membantu melindungi meja bantuan mereka dari serangan phishing.
Masih terlalu dini untuk mengetahui semua faktor yang terlibat dalam pelanggaran data BeyondTrust. Yang diketahui oleh para peneliti sejauh ini hanyalah dua kerentanan yang telah diungkapkan oleh perusahaan tersebut. Segala sesuatu yang lain - termasuk apakah kerentanan itu dimanfaatkan "sebagai zero days untuk mendapatkan akses ke sistem BeyondTrust atau sebagai bagian dari rantai serangan untuk menjangkau pelanggan," per Komputer berbunyi bip, apakah meja dukungannya dipalsukan, dan bagaimana mereka mengamankan API-nya, semuanya masih merupakan spekulasi. Mungkin ada faktor-faktor lain yang akan diungkapkan oleh para peneliti pada waktunya.
Dan itulah intinya. Ada begitu banyak tahapan dan komponen dalam tumpukan teknologi organisasi mana pun yang bisa rusak, terlewatkan, tidak aman, atau disalahgunakan. Meskipun organisasi harus berusaha untuk mengamankan semuanya secara individual, mereka juga harus menerapkan kerangka kerja Zero Trust yang lebih luas.
Jangan memberikan akses yang berlebihan, prioritaskan Secure by Default dan Secure by Design, latihlah pengguna Anda, dan hilangkan kepercayaan implisit apa pun pada pengguna, sistem, dan data. Lihatlah keseluruhan proses bisnis dan tumpukan teknologi Anda secara bersamaan untuk mencari kelemahan dan jangan biarkan yang sempurna menjadi musuh yang baik: perbaikan apa pun yang dapat Anda lakukan dalam postur keamanan Anda - atau kepercayaan implisit apa pun yang dapat Anda hapus dari lingkungan Anda - akan sangat membantu dalam mencegah atau meminimalkan pelanggaran.
