Pada tanggal 15 Maret 2022, Badan Keamanan Siber dan Infrastruktur AS (CISA) merilis laporan waspada yang merinci serangan siber Rusia terhadap sebuah lembaga swadaya masyarakat (LSM).
Aktor Rusia menggunakan serangan menebak kata sandi secara paksa untuk membobol akun pengguna LSM yang tidak aktif. Aktor ancaman kemudian dapat mendaftarkan perangkat baru dengan akun LSM tersebut. otentikasi multi-faktor (MFA), dengan menggunakan akun yang disusupi. Dengan mengeksploitasi pengaturan "gagal buka", pelaku ancaman secara efektif dapat mematikan MFA dengan memutuskan sambungan perangkat mereka dari internet.
Pada akhirnya, pelaku ancaman merantai kata sandi yang lemah, akun pengguna yang tidak aktif, pengaturan default yang mengutamakan kenyamanan daripada keamanan, dan kerentanan Windows sebelumnya. Hal ini memungkinkan mereka dengan "akses ke akun cloud dan email untuk eksfiltrasi dokumen," menurut CISA.
Artikel blog ini bukan untuk menjelek-jelekkan penyedia lain. Saya telah bergabung dengan RSA selama hampir 20 tahun. Selama itu, saya telah mengalami sendiri pasang surutnya keamanan siber. Jadi, izinkan saya memberi tahu Anda: schadenfreude sama sekali tidak membantu siapa pun.
Apa yang saya akan lakukan adalah merinci beberapa saran yang telah diberikan RSA kepada pelanggan setelah peringatan CISA baru-baru ini. Saya juga akan menjelaskan bagaimana saran ini berlaku untuk semua solusi MFA.
Peringatan spoiler kecil: setiap fitur atau persyaratan yang disebutkan dalam sisa artikel ini adalah bagian dari RSA.
MFA lebih dari sekadar metode autentikasi
Untuk mencegah serangan seperti ini, organisasi perlu mempertimbangkan kembali apa itu MFA, bagaimana pengguna seharusnya mendaftar di MFA dan bagaimana mereka akan mempertahankan pendaftaran tersebut selama siklus hidup pengguna.
Selalu ingat bahwa MFA tidak hanya tentang memiliki Kata Sandi Sekali Pakai (OTP), aplikasi autentikasi, atau stik FIDO untuk masuk. Jika Anda merasa aman hanya karena Anda atau pengguna Anda menggunakan autentikasi biometrik pada ponsel cerdas untuk masuk ke aplikasi cloud, maka saya punya kabar buruk untuk Anda: itu bukan MFA.
Itu hanya batas minimalnya saja. Ya, ini memungkinkan Anda untuk mencentang kotak centang "Gunakan MFA" untuk audit kepatuhan Anda, tetapi dari perspektif keamanan, ini akan membuang-buang waktu dan uang.
Sebagian besar autentikator bergantung pada beberapa benih kriptografi atau kunci untuk mengautentikasi. Autentikator perangkat keras biasanya memberikan tingkat keamanan yang lebih tinggi karena mereka melindungi benih tersebut pada tingkat yang lebih tinggi daripada autentikator berbasis perangkat lunak. Bisnis perlu memahami kebutuhan keamanan mereka dan memilih autentikator yang menyediakan keamanan yang cukup baik-baik autentikator berbasis perangkat keras maupun perangkat lunak dapat memenuhi kebutuhan masing-masing.
Namun, metode itu sendiri - baik perangkat keras maupun perangkat lunak - hampir tidak relevan jika pendaftaran pengautentikasi gagal membangun kepercayaan yang memadai. Bahkan jika organisasi Anda menggunakan pengautentikasi terbaik, jika Anda mengelolanya dengan cara yang salah, maka pengautentikasi tersebut hampir tidak berguna dalam mencegah atau memperlambat serangan. Bayangkan sebuah mobil: hanya karena Anda memasang mesin yang kuat dan mengecat bantalan rem dengan warna kuning, bukan berarti Anda tiba-tiba berada di belakang kemudi mobil balap. Anda juga harus mengganti rem, suspensi, ban-dan melatih pembalap untuk berkompetisi dalam balapan yang sesungguhnya. Masih banyak lagi yang perlu dipertimbangkan.
Dengan meninjau siklus hidup identitas yang khas, saya akan menjelaskan cara mendapatkan hasil maksimal dari solusi MFA dan memastikan bahwa solusi ini melakukan pekerjaan yang dimaksudkan: melindungi pengguna dan mengamankan aset digital Anda.
Pendaftaran adalah tahap pertama dalam siklus hidup identitas: selama pendaftaran, pengautentikasi ditugaskan ke sebuah identitas (pengguna). Namun, bahkan sebelum organisasi mendaftarkan pengguna tertentu, organisasi harus mempertimbangkan beberapa pertanyaan:
- Siapa saja yang dapat mendaftar ke MFA?
- Bagaimana cara pengguna mendaftar ke MFA?
Anda mungkin berpikir bahwa pertanyaan pertama memiliki jawaban yang mudah: semua orang harus menggunakan MFA!
Namun, mungkin ada pengguna atau grup yang tidak boleh atau tidak boleh mendaftar. Pikirkan tentang akun yang ada namun tidak aktif-seperti karyawan yang sedang cuti melahirkan, atau akun yatim piatu yang tidak pernah atau tidak lagi ditugaskan ke pengguna tertentu. Tim keamanan tidak boleh mengizinkan akun-akun tersebut untuk mendaftar di MFA karena setiap pendaftaran autentikator baru atau perubahan yang dikeluarkan untuk akun-akun tersebut tidak akan diketahui. Sebagai contoh, email notifikasi yang memberitahukan adanya perubahan pengaturan hanya akan berada di kotak masuk yang tidak terpantau.
Pertanyaan kedua lebih krusial karena perlu dijawab dari dua perspektif:
- Bagaimana pendaftaran organisasi Anda dapat mencapai tingkat kepercayaan yang diinginkan?
- Bagaimana pendaftaran dapat memenuhi tingkat kepercayaan yang diinginkan dengan cara yang nyaman dan efisien baik bagi pengguna maupun bagian administrasi/helpdesk?
Kepercayaan apa pun pada sebuah autentikator ditentukan oleh bagaimana autentikator tersebut pada awalnya didaftarkan: tingkat keamanan yang dimiliki pengguna pada saat pendaftaran menentukan batas tertinggi kepercayaan mereka selama pengguna tersebut terus menggunakan autentikator tersebut.
Cara lain untuk mengatakannya: entah Anda menggunakan perangkat keras atau perangkat lunak, autentikator hanya bisa memberikan tingkat kepercayaan yang dibutuhkan untuk login MFA atau autentikasi tingkat lanjut jika pendaftaran awal cukup kuat. Jika Anda meletakkan fondasi yang goyah, maka rumah Anda akan selalu tidak stabil.
Ada banyak cara untuk memutuskan siapa yang bisa mendaftar dan bagaimana mereka harus menyelesaikan prosesnya dengan cara yang menyeimbangkan keamanan dan kenyamanan. Namun, apa pun yang diputuskan oleh organisasi Anda, pastikan bahwa Anda tidak hanya menggunakan kata sandi untuk mendaftar.
Kenapa tidak? Kata sandi itu nyaman. Pengguna sudah mengetahui kredensial mereka, sehingga administrator tidak perlu khawatir tentang apa pun selain mengarahkan solusi MFA ke Direktori Aktif. Benar kan?
Salah. Meskipun itu adalah cara yang mudah untuk menyelesaikan pendaftaran MFA, hanya menggunakan kata sandi membuat organisasi Anda terbuka terhadap semua jenis serangan. Skenario terburuknya adalah penyerang telah membobol sebuah akun dan kemudian mendaftarkan akun tersebut ke MFA. Mendaftarkan akun di MFA yang seharusnya tidak terdaftar di MFA secara efektif sama dengan melewati MFA sama sekali.
Itulah yang terjadi pada serangan yang berhasil pada LSM yang disebutkan di awal tulisan ini. Meskipun ada beberapa langkah tambahan yang digunakan penyerang untuk meningkatkan akses mereka, pendaftaran itu sendiri merupakan kelemahan fatal.
Ada cara yang lebih cerdas dan lebih aman untuk mendaftarkan pengautentikasi. SecurID sangat menyarankan organisasi untuk melapisi kontrol teknis dan prosedural tambahan di sekitar pendaftaran MFA. Faktanya, pendaftaran hanya dengan kata sandi tidak dimungkinkan secara default di SecurID. Pelanggan harus berusaha keras untuk mengaktifkan jenis pendaftaran tersebut - dan kami akan menyarankan mereka untuk tidak melakukannya di setiap langkah.
Menentukan pendaftaran yang tepat tergantung pada autentikator yang tersedia, tingkat kepercayaan yang diperlukan, kemampuan solusi MFA organisasi, serta alat dan prosedur yang tersedia bagi perusahaan.
Ada banyak kontrol teknis yang bisa membantu mengamankan dan menyederhanakan proses pendaftaran tanpa menggunakan kata sandi. Sebagai contoh, organisasi dapat melakukannya:
- Andalkan SMS atau Voice-OTP ke nomor telepon yang sudah didaftarkan sebelum pendaftaran
- Mengharuskan pengguna untuk menghubungi meja bantuan untuk mendapatkan kode pendaftaran
- Mendistribusikan kode pendaftaran kepada pengguna melalui email
- Mencetak dan membagikan huruf PIN untuk memaksa pengguna menggunakan PIN unik tersebut untuk mendaftar
- Menetapkan dan mengirim token perangkat keras kepada pengguna (dalam skenario ini, organisasi harus tetap menonaktifkan token dan membiarkan pengguna menghubungi meja bantuan untuk mengaktifkan token perangkat keras)
- Izinkan pendaftaran hanya dari dalam jaringan perusahaan
Tentu saja, ada lebih banyak kontrol yang tersedia dan berbagai kombinasi juga dimungkinkan. Organisasi dengan populasi pengguna yang besar dan beragam mungkin harus mempertimbangkan untuk menawarkan lebih dari satu cara untuk mendaftar, yang mungkin akan menghasilkan tingkat kepercayaan yang berbeda tergantung pada peran pengguna.
Semua kontrol ini menambahkan lapisan keamanan di sekitar layanan pendaftaran itu sendiri. Dan meskipun membangun lapisan-lapisan ini membutuhkan upaya untuk menyiapkan dan memelihara, investasi tersebut memiliki hasil yang sangat besar: autentikator yang dapat dipercaya.
Namun itu hanyalah langkah pertama dalam mengamankan siklus hidup identitas pengguna. Masih banyak lagi skenario yang mencegah pelaku ancaman dengan peluang yang signifikan dan lebih banyak lagi situasi yang harus dipersiapkan oleh organisasi. Dalam bagian selanjutnya dari seri ini, kita akan mengulas tentang pengaturan ulang, pengaman kegagalan, dan poin-poin lain dalam siklus hidup identitas yang harus diprioritaskan oleh organisasi untuk melindungi diri mereka sendiri dan tim mereka.
