Serangan meja bantuan yang paling efektif tidak mengeksploitasi kerentanan perangkat lunak. Mereka mengeksploitasi celah proses: pengguna di telepon yang tidak dapat menghasilkan autentikator terdaftar. Seorang kontraktor pada hari pertama. Seorang mitra yang menelepon untuk mengatur ulang akses. Para pengguna ini selalu berada di ujung cakupan verifikasi identitas, dan penyerang secara sistematis menargetkan mereka.
Bagi lembaga pemerintah, layanan keuangan, dan organisasi dengan jaminan tinggi lainnya, hal tersebut merupakan risiko yang tidak dapat diterima.
Pembaruan terbaru untuk Verifikasi Langsung Meja Bantuan RSA menutup kesenjangan itu.
Yang asli Verifikasi Langsung Meja Bantuan RSA membahas salah satu permukaan serangan yang paling berbahaya dalam keamanan perusahaan: panggilan help desk. Rekayasa sosial, serangan bypass MFA, dan penipuan dukungan teknis yang menargetkan meja bantuan TI telah menyebabkan kerugian dan denda ratusan juta dolar bagi organisasi. Rilis awal RSA Help Desk Live Verify mengatasi risiko-risiko ini dengan model verifikasi dua arah yang masih menunggu paten yang dapat mengonfirmasi identitas pengguna dan agen tanpa perlu berbagi PIN, kata sandi, atau detail pribadi.
Tetapi itu mengharuskan pengguna untuk memiliki pengautentikasi RSA yang terdaftar. Hal ini meninggalkan kategori pengguna yang sepenuhnya berada di luar model proteksi: kontraktor tanpa perangkat yang disediakan, karyawan yang perangkat autentikatornya hilang atau dicuri, pekerja sementara, dan mitra eksternal. Untuk para pengguna ini, organisasi harus menggunakan pendekatan yang lebih lama, termasuk mengajukan pertanyaan keamanan, membaca kembali detail akun, atau melewatkan verifikasi sama sekali.
Sebelum membahas apa yang baru pada RSA Help Desk Live Verify, ada baiknya kita memahami mekanisme yang mendasarinya:
- Ketika pengguna menghubungi meja bantuan, agen akan memulai sesi Verifikasi Langsung Meja Bantuan RSA, yang mengarahkan pengguna ke situs web milik perusahaan
- Di sana, pengguna ditawarkan berbagai opsi verifikasi tanpa kata sandi (termasuk kunci sandi). Opsi-opsi ini merupakan hasil dari kebijakan akses adaptif organisasi dan sinyal risiko waktu nyata pengguna
- Pengguna memverifikasi identitas mereka menggunakan opsi yang paling nyaman yang tersedia bagi mereka
- Setelah verifikasi berhasil, pengguna akan menerima kode verifikasi yang mereka berikan kepada agen meja bantuan
- Agen meja bantuan kemudian memasukkan kode ke konsol admin, memverifikasi pengguna, dan terus membantu permintaan tersebut
Kedua belah pihak tidak memberikan kredensial atau memberikan informasi pribadi. Yang penting, verifikasi dirancang dua arah-proses ini juga mengonfirmasi identitas agen kepada pengguna, menghilangkan gaya serangan klasik ‘Saya dari meja bantuan-mari kita atur ulang kata sandi’.
Akses ke aplikasi dan sumber daya yang sensitif atau terbatas secara otomatis memicu autentikasi yang lebih kuat-berdasarkan siapa yang meminta, di mana mereka berada, dan apa yang mereka akses. Autentikasi tingkat lanjut secara otomatis diterapkan ketika konteks dan perilaku pengguna mengindikasikan adanya risiko.
Organisasi juga dapat melapisi RSA® Kunci Ponsel dan RSA® Risiko AI untuk membuat RSA Help Desk Live Verify menjadi lebih baik. Mobile Lock memonitor lingkungan autentikasi seluler dan dapat memblokir permintaan verifikasi jika perangkat menunjukkan tanda-tanda adanya trojan yang membahayakan, malware yang berbagi layar, atau indikator lain yang menunjukkan bahwa alur autentikasi sedang diamati atau dicegat. Risk AI secara dinamis menilai perilaku pengguna dan sinyal risiko, mengotomatiskan tantangan otentikasi tingkat lanjut jika diperlukan.
Help Desk RSA Live Verify memperkenalkan jalur verifikasi paralel untuk pengguna yang tidak memiliki akses ke autentikator terdaftar, yang didukung oleh ID Dataweb. Alih-alih mengautentikasi dengan autentikator RSA, para pengguna ini melalui alur Verifikasi ID: mereka mengirimkan kredensial yang dikeluarkan pemerintah - SIM, paspor, atau ID lainnya - yang diperiksa terhadap sumber data identitas otoritatif secara real time. Agen melihat hasil verifikasi di antarmuka konsol admin yang sama. Tidak ada kredensial yang dibagikan secara terbuka. Model jaminan dua arah masih berlaku.
Alur verifikasi dapat dikontrol melalui kebijakan akses adaptif RSA. Administrator dapat mengonfigurasi populasi pengguna mana yang diarahkan ke verifikasi berbasis autentikator versus Verifikasi ID dan dapat menggabungkan Keyakinan Identitas dengan Risk AI untuk menambahkan sinyal risiko kontekstual pada keputusan. Permintaan berisiko tinggi-misalnya, pengguna yang masuk dari lokasi yang tidak biasa, pada saat jam kerja, meminta alur kerja tertentu, atau menunjukkan anomali perilaku lainnya-dapat memicu jalur verifikasi yang lebih ketat.
Pembaruan RSA Help Desk Live Verify dirancang untuk mencakup semua alur kerja yang sensitif, bukan hanya panggilan help desk. Mesin verifikasi yang sama yang melindungi pengaturan ulang kredensial dapat melindungi otorisasi transfer kawat, permintaan eskalasi hak istimewa, alur kerja pemulihan VPN, atau tindakan SDM yang melibatkan data karyawan yang sensitif. Dalam layanan keuangan, hal ini penting untuk otorisasi pembayaran waktu nyata dan persetujuan transaksi bernilai tinggi, di mana persyaratan jaminan identitas merupakan peraturan, bukan opsional. Dalam pemerintahan dan pertahanan, ini membahas persyaratan untuk verifikasi identitas pada batas-batas akses yang meluas ke kontraktor dan mitra yang mungkin tidak akan pernah diberikan autentikator yang dikelola oleh agensi.
Dampak praktisnya sangat jelas: alur kerja apa pun yang mengharuskan organisasi mengonfirmasi dengan siapa mereka berurusan sebelum melakukan tindakan sensitif sekarang dapat menggunakan RSA Help Desk Live Verify, untuk semua pengguna dalam tenaga kerja mereka.
Dari sudut pandang penerapan, RSA Help Desk Live Verify merupakan tambahan untuk lingkungan RSA ID Plus yang sudah ada. Tidak ada perubahan pada penerapan yang sudah ada. Organisasi yang telah menggunakan RSA Help Desk Live Verify dapat memperluas cakupan ke pengguna tanpa autentikator dengan mengaktifkan add-on Verifikasi ID melalui ID Dataweb. Administrator mengonfigurasi alur kerja dan populasi pengguna mana yang dapat menggunakan Verifikasi ID melalui kerangka kebijakan yang sama dengan yang digunakan untuk RSA® ID Plus lingkungan.
Untuk tim keamanan yang mengevaluasi cakupan, pertanyaan utama yang harus ditanyakan tentang penerapan RSA Help Desk Live Verify adalah: apa yang terjadi jika pengguna tidak memiliki akses ke autentikator mereka? Sebelum pembaruan terbaru ini, jawaban yang jujur bagi sebagian besar organisasi adalah verifikasi tidak berfungsi. Dengan adanya Verifikasi ID, skenario tersebut berubah menjadi alur verifikasi yang terstruktur, dapat diaudit, dan tahan terhadap phishing. Setiap interaksi verifikasi - baik melalui pengautentikasi atau ID pemerintah - dicatat dan tersedia untuk audit dan pelaporan kepatuhan.
Help Desk RSA Live Verify membahas serangkaian lingkungan dan kasus penggunaan tertentu. Ini paling relevan untuk:
- Organisasi dengan tenaga kerja yang besar. Jika kontraktor, mitra, atau pekerja sementara berinteraksi dengan meja bantuan Anda atau terlibat dalam alur kerja yang sensitif, mereka secara historis mewakili kesenjangan verifikasi. RSA Help Desk Live Verify dibangun untuk hal ini.
- Lembaga keuangan. Otorisasi transfer kawat, persetujuan pembayaran waktu nyata, dan permintaan akses akun semuanya melibatkan interaksi sensitif di mana jaminan identitas secara langsung mengurangi eksposur penipuan.
- Pemerintah dan lingkungan dengan jaminan tinggi. Instansi dan kontraktor yang beroperasi di lingkungan dengan persyaratan jaminan identitas yang ketat mendapatkan manfaat dari model verifikasi yang berfungsi untuk pengguna di seluruh batas identitas, tidak hanya mereka yang memiliki perangkat yang dikelola pemerintah.
- Semua organisasi yang menggunakan RSA Help Desk Live Verify hari ini. Jika Anda telah menerapkan RSA Help Desk Live Verify untuk pengguna yang dilengkapi dengan autentikator, rilis ini memungkinkan Anda memperluas perlindungan yang sama kepada pengguna yang saat ini berada di luar cakupan tersebut-tanpa mengubah konfigurasi yang sudah ada.
RSA Help Desk Live Verify dengan Verifikasi ID memasuki Private Preview sebagai bagian dari rilis Juni 2026, dengan ketersediaan umum yang direncanakan pada akhir musim panas 2026. Pratinjau Pribadi tersedia sekarang di wilayah tertentu, dengan peluncuran yang lebih luas hingga pertengahan Juni. Organisasi harus mengaktifkan Verifikasi ID untuk mengintegrasikan alur kerja yang telah diperbarui ke dalam lingkungan RSA ID Plus mereka.
Jika organisasi Anda memiliki kontraktor, mitra, atau karyawan tanpa autentikator terdaftar - dan Anda ingin menutup celah verifikasi sebelum Pratinjau Pribadi GA dibuka sekarang. Hubungi Manajer Akun RSA Anda untuk mengaktifkan lingkungan Anda.
Jika Anda belum menjadi pelanggan RSA, minta demo untuk melihat Live Verify RSA Help Desk beraksi.
