Loncat ke konten
Coba RSA Cloud Security Secara Gratis

Mulai uji coba ID Plus Anda sekarang.

Memulai

Otentikasi multi-faktor (MFA) tidak lagi opsional; ini adalah persyaratan penting untuk mengamankan akses ke sistem dan data sensitif. Seiring dengan semakin canggihnya ancaman dunia maya, para pemimpin keamanan dan manajemen identitas dan akses (IAM) di layanan keuangan, lembaga pemerintah, perawatan kesehatan, energi, dan lingkungan yang mengutamakan keamanan lainnya harus menavigasi persyaratan MFA yang terus berkembang untuk memastikan kepatuhan, mengurangi risiko keamanan, dan melindungi aset-aset penting.

Lihat berikut ini untuk informasi tambahan tentang persyaratan MFA, standar kepatuhan, kerentanan keamanan, dan praktik terbaik untuk memperkuat keamanan autentikasi, termasuk bagaimana Metode Autentikasi Eksternal (EAM) RSA dengan Microsoft membantu organisasi memenuhi mandat peraturan yang ketat.

Persyaratan dan kepatuhan MFA

Persyaratan MFA mendefinisikan kebijakan autentikasi yang harus diterapkan oleh organisasi untuk meningkatkan keamanan dan mengurangi risiko serangan berbasis kredensial. Persyaratan ini bervariasi menurut industri dan kerangka kerja peraturan, tetapi biasanya mewajibkan penggunaan dua atau lebih faktor autentikasi:

  • Sesuatu yang kau tahuKata sandi, PIN
  • Sesuatu yang Anda miliki: token perangkat keras, autentikator seluler
  • Sesuatu yang Andabiometrik (sidik jari, pengenalan wajah)

MFA diamanatkan di berbagai industri untuk mencegah akses yang tidak sah, mengurangi penipuan, dan meningkatkan ketahanan keamanan siber secara keseluruhan. Beberapa kerangka kerja kepatuhan dan persyaratan teknis yang memberlakukan MFA untuk memastikan organisasi memitigasi ancaman terkait identitas meliputi:

  • DORA (Digital Operational Resilience Act) memberlakukan persyaratan MFA yang ketat untuk lembaga keuangan di Uni Eropa, meningkatkan keamanan siber dan ketahanan operasional.
  • NIS2 (Petunjuk Keamanan Jaringan dan Informasi 2) memperkuat persyaratan autentikasi untuk sektor-sektor penting di seluruh Uni Eropa.
  • PCI DSS (Standar Keamanan Data Industri Kartu Pembayaran) memberikan mandat kepada MFA untuk akses administratif non-konsol dan akses jarak jauh ke data pemegang kartu.
  • CMMC 2.0 (Sertifikasi Model Kematangan Keamanan Siber) mensyaratkan MFA yang tahan terhadap phishing untuk kontraktor federal yang menangani data sensitif pemerintah.
  • GDPR (Peraturan Perlindungan Data Umum) memberlakukan kontrol autentikasi yang aman untuk melindungi data pribadi.
  • Persyaratan MFA Microsoft untuk aplikasi cloud seperti Azure AD menuntut otentikasi yang kuat untuk akun pengguna dan admin.

RSA® ID Plus menyediakan MFA yang memenuhi setiap peraturan dan persyaratan ini. Sebagai contoh, perusahaan Integrasi RSA EAM dengan Microsoft memungkinkan organisasi untuk menerapkan MFA yang tahan phishing, kebijakan berbasis risiko yang adaptif, dan pemantauan otentikasi berkelanjutan, memperluas keamanan di luar ekosistem Microsoft untuk melindungi lingkungan hibrida dan multi-cloud.
Kegagalan untuk mematuhi persyaratan ini dapat mengakibatkan denda dan kebijakan asuransi dunia maya yang lebih mahal. Selain itu, jika organisasi tidak menggunakan autentikasi modern, mereka berisiko meningkatkan eksposur mereka secara dramatis. Sebagian besar serangan siber menargetkan kredensial yang lemah, seperti kata sandi yang dicuri. MFA sangat penting untuk mengurangi risiko yang diwakili oleh satu kredensial yang disusupi.

Praktik-praktik terbaik untuk menerapkan MFA

Untuk menerapkan MFA secara efektif, organisasi harus memperhatikan praktik-praktik terbaik berikut ini:

  • Dapatkan protokol yang tepat untuk pengguna yang tepat: MFA seharusnya tidak menjadi satu ukuran untuk semua. Populasi pengguna yang berbeda mungkin memiliki persyaratan yang berbeda. Misalnya, pengguna yang bekerja di ruangan yang bersih atau fasilitas yang sangat aman lainnya mungkin tidak dapat menggunakan perangkat atau ponsel yang terhubung ke internet untuk mengautentikasi. Pastikan Anda mengetahui apa yang bisa digunakan oleh pengguna Anda, apa yang tidak bisa mereka gunakan, dan apa yang mereka kenal.
  • Jangan membuat pengalaman autentikasi yang terpisah-pisah: Meskipun organisasi perlu mengakomodasi kebutuhan kelompok pengguna yang berbeda, mereka tidak boleh menggunakan solusi titik untuk menerapkan MFA berdasarkan kelompok per kelompok. Hal ini akan mempersulit operasi dan menimbulkan biaya pengadaan dan manajemen yang lebih tinggi. Sebaliknya, organisasi harus memprioritaskan vendor yang dapat mendukung berbagai metode MFA dari satu platform identitas pusat.
  • Jika Anda tidak merencanakan pemadaman listrik, maka Anda berencana untuk gagal: Jika Anda menggunakan penyedia layanan cloud untuk MFA, maka Anda perlu bertanya apa yang terjadi ketika cloud mati. Paling banter, ini mungkin berarti pengguna tidak dapat mengakses aplikasi mereka; paling buruk, ini bisa menjadi cara bagi pelaku ancaman untuk meluncurkan serangan. Organisasi perlu membangun ketahanan di seluruh infrastruktur penting mereka, terutama MFA
  • Menjaga keamanan BYOD: Dengan adanya kebijakan ponsel, bekerja dari rumah, dan membawa perangkat sendiri (BYOD) yang lazim di berbagai sektor, semakin banyak pengguna yang menyelesaikan MFA menggunakan perangkat pribadi. Meskipun hal ini meningkatkan kenyamanan, namun juga dapat menimbulkan risiko pada proses autentikasi: malware, serangan man-in-the-middle, rekayasa sosial, dan banyak lagi yang dapat membahayakan proses autentikasi dan pada gilirannya membahayakan data perusahaan, aset perusahaan, atau catatan pelanggan.
  • Pastikan Anda menggunakan autentikasi tanpa kata sandi yang tepat: Jika Anda berencana menggunakan MFA tanpa kata sandi, maka itu adalah cara yang bagus untuk menurunkan risiko organisasi Anda dan mengembangkan kematangan Zero Trust. Tetapi tidak semua autentikasi tanpa kata sandi diciptakan sama: organisasi perlu mengetahui perbedaan antara kata sandi yang disinkronkan, yang tidak memberikan keamanan perusahaan yang memadai, dan kata sandi yang terikat pada perangkat, yang dapat membuat organisasi tetap aman.
Memahami risiko keamanan MFA

Meskipun MFA secara signifikan meningkatkan keamanan, namun tidak sempurna. Penyerang terus mengembangkan taktik mereka untuk mem-bypass kontrol autentikasi, sehingga sangat penting bagi organisasi untuk mengenali dan memitigasi potensi kerentanan.

Bagaimana MFA dapat dikompromikan
  • Serangan rekayasa sosial: Serangan phishing, spear-phishing, dan kelelahan MFA mengelabui pengguna untuk menyetujui permintaan autentikasi yang curang.
  • Eksploitasi meja bantuan: Penyerang menggunakan rekayasa sosial untuk memanipulasi staf dukungan TI agar mengatur ulang kredensial MFA atau menyetujui permintaan akses yang curang.
  • Serangan berbasis malware: Keylogger dan trojan akses jarak jauh (RAT) dapat menangkap kredensial MFA dan mem-bypass kontrol autentikasi.
  • Penukaran SIM: Penyerang membajak nomor telepon korban untuk mencegat kode MFA berbasis SMS.
  • Serangan Man-in-the-Middle (MitM): Musuh mencegat permintaan autentikasi dan mencuri token sesi.
  • Pengeboman MFA atau pengeboman cepat: Penyerang membanjiri pengguna dengan permintaan persetujuan MFA hingga mereka secara tidak sengaja menyetujui akses.

Contoh kerentanan keamanan MFA meliputi 2022 Serangan bom yang dipicu oleh Uber dan serangan rekayasa sosial tahun 2023 yang menargetkan Resor Las Vegas. Hal ini menyoroti bagaimana pelaku ancaman dapat mengeksploitasi implementasi MFA yang lemah dan kerentanan keamanan MFA lainnya. Organisasi harus mengadopsi metode autentikasi tahan phishing, seperti kunci sandi berbasis RSA FIDO2 dan autentikasi berbasis risiko adaptif, untuk melawan ancaman ini.

Memperkuat MFA dengan prinsip-prinsip Zero Trust

MFA saja tidak cukup; organisasi harus mengintegrasikannya dalam sebuah Arsitektur Kepercayaan Nol (Zero Trust Architecture, ZTA) untuk memastikan verifikasi identitas pengguna dan keamanan perangkat yang berkelanjutan.

Zero Trust mengasumsikan bahwa tidak ada pengguna atau perangkat yang secara inheren dipercaya, sehingga membutuhkan autentikasi berkelanjutan dan kontrol akses berbasis kebijakan. Integrasi RSA dengan kerangka kerja Zero Trust dari Microsoft memungkinkan perusahaan untuk:

  • Menerapkan akses yang paling tidak istimewa dengan kebijakan MFA berbasis risiko yang adaptif.
  • Manfaatkan autentikasi tahan phishing seperti kunci keamanan FIDO2 dan kunci sandi yang terikat pada perangkat.
  • Pantau permintaan autentikasi secara real time untuk mendeteksi anomali dan mencegah kompromi kredensial.
Praktik terbaik untuk menerapkan MFA yang aman

Untuk memaksimalkan keamanan dan kepatuhan, organisasi harus mempertimbangkan praktik-praktik terbaik berikut ini:
Memilih solusi MFA yang tepat

  • Gunakan MFA yang tahan terhadap phishing, seperti autentikasi berbasis RSA FIDO2 atau kunci sandi yang terikat pada perangkat.
  • Hindari MFA berbasis SMS karena kerentanan seperti pertukaran SIM.
  • Menerapkan kunci keamanan perangkat keras untuk autentikasi dengan jaminan tinggi.
  • Memanfaatkan otentikasi modern, yang dirancang tanpa kata sandi, adaptif, dan sadar risiko. Autentikasi modern melampaui MFA tradisional dengan terus memverifikasi pengguna selama sesi mereka, tidak hanya saat login. Otentikasi modern menghilangkan kata sandi, menggunakan konteks dan sinyal risiko untuk memperkuat keamanan, dan bekerja dengan lancar di seluruh lingkungan cloud, hibrida, dan lokal.

Mendidik pengguna tentang keamanan MFA

  • Latih karyawan untuk mengenali serangan rekayasa sosial dan phishing yang menargetkan MFA.
  • Aktifkan pemulihan autentikasi layanan mandiri untuk mengurangi beban dukungan TI.
  • Dorong pengguna untuk melaporkan permintaan MFA yang mencurigakan.

Pemantauan dan audit berkelanjutan

  • Menerapkan deteksi ancaman identitas secara real-time untuk menandai perilaku autentikasi yang tidak biasa.
  • Perbarui kebijakan MFA secara berkala untuk mengatasi ancaman keamanan siber yang terus berkembang.
  • Melakukan pengujian penetrasi untuk menilai ketahanan MFA terhadap metode serangan.

Dengan memanfaatkan RSA EAM dengan Microsoft, organisasi dapat mencapai penerapan MFA yang mulus, patuh, dan sangat aman sambil menyelaraskan diri dengan prinsip-prinsip Zero Trust.

MFA adalah pilar penting dari keamanan identitas modern, tetapi harus digunakan secara strategis untuk memaksimalkan perlindungan terhadap ancaman yang terus berkembang. Dengan memahami persyaratan MFA, menyelaraskannya dengan kerangka kerja kepatuhan seperti DORA dan NIS2, dan mengintegrasikan MFA dalam kerangka kerja Zero Trust yang lebih luas, organisasi dapat meningkatkan keamanan dan memitigasi risiko otentikasi.

Hubungi RSA untuk mempelajari lebih lanjut tentang bagaimana RSA menyediakan berbagai solusi MFA yang memenuhi peraturan global dan terintegrasi ke dalam strategi keamanan identitas yang lebih luas.

Anda mungkin juga tertarik dengan...

Minta Demo

Dapatkan Demo