Baru-baru ini, Kantor Manajemen dan Anggaran AS (OMB) merilis Memorandum M-22-09 yang mengharuskan lembaga-lembaga untuk mencapai sasaran keamanan tanpa kepercayaan tertentu pada akhir Tahun Fiskal 2024. Kemajuan menuju nol kepercayaan adalah salah satu tujuan modernisasi utama untuk keamanan siber pemerintah sebagaimana diuraikan dalam The Perintah Eksekutif 2021 tentang Peningkatan Keamanan Siber Negara.
Seperti yang dijelaskan dalam Arsitektur Referensi Nol Kepercayaan Departemen Pertahanan, "Prinsip dasar dari model zero-trust adalah tidak ada aktor, sistem, jaringan, atau layanan yang beroperasi di luar atau di dalam batas keamanan yang dipercaya." Sebaliknya, apa pun dan segala sesuatu yang mencoba membangun akses harus diverifikasi.
Peralihan menuju zero trust menekankan "identitas perusahaan yang lebih kuat dan kontrol akses, termasuk otentikasi multi-faktor (MFA)" karena tanpa "sistem identitas yang aman dan dikelola perusahaan, pihak lawan bisa mengambil alih akun pengguna dan mendapatkan pijakan di sebuah lembaga untuk mencuri data atau melancarkan serangan." Proses otentikasi harus dapat "mendeteksi dan mencegah pengungkapan rahasia otentikasi dan output ke situs web atau aplikasi yang menyamar sebagai sistem yang sah." Memorandum tersebut juga menyatakan bahwa MFA harus diintegrasikan pada lapisan aplikasi, seperti melalui layanan identitas perusahaan, daripada melalui otentikasi jaringan, seperti jaringan pribadi virtual (VPN).
RSA mendukung perpindahan ke model tanpa kepercayaan. Kami membantu organisasi dan lembaga di seluruh dunia untuk menghadapi tantangan baru ini melalui pendekatan yang lengkap dan modern untuk manajemen identitas dan akses (IAM). RSA menawarkan berbagai metode otentikasi multi-faktor (MFA) untuk memenuhi kebutuhan pengguna dan kasus penggunaan yang berbeda. RSA membangun kembali identitas pengguna yang tepercaya sekaligus menggunakan pembelajaran mesin dan analitik berbasis risiko untuk mendeteksi aktivitas anomali, termasuk potensi serangan phishing. Kami juga menawarkan tata kelola cerdas dan kemampuan siklus hidup yang dirancang untuk mengurangi permukaan serangan organisasi. Untuk melindungi organisasi dari ancaman eksternal dan internal, produk kami menghilangkan hak yang berlebihan yang dapat dieksploitasi oleh pelaku ancaman.
Karena kami telah membantu lembaga pemerintah bergerak menuju zero trust dan mempersiapkan diri untuk M-22-09 dan Perintah Eksekutif, kami telah membantu pelanggan kami menjawab berbagai pertanyaan tentang cara merespons persyaratan baru ini:
RSA menyediakan berbagai opsi MFA yang kuat untuk membantu lembaga Federal mengautentikasi pengguna dengan aman dari mana saja dan untuk apa saja, termasuk sistem agensi generasi berikutnya dan sistem agensi lama. Perpindahan ke cloud, kerja jarak jauh, dan inisiatif digital telah mengubah jaringan, dan batas yang secara historis melindungi sumber daya terus menghilang. Kini, orang-orang dari setiap agensi perlu terhubung dari berbagai lokasi yang berbeda; beberapa bahkan perlu masuk tanpa akses internet. Keragaman lingkungan dan pengguna ini menghadirkan berbagai tantangan autentikasi, namun lembaga pemerintah harus mampu memberikan autentikasi yang aman dan nyaman di mana pun orang atau perangkat berada.
Solusi RSA menghubungkan pengguna mana pun, dari mana pun, dengan apa pun. Kami menawarkan beberapa pilihan autentikator untuk memenuhi berbagai persyaratan lembaga dan preferensi pengguna, termasuk dukungan untuk FIDO. Sebagai anggota dewan Aliansi FIDO dan ketua bersama kelompok kerja Enterprise, kami telah mendorong penghapusan kata sandi jauh sebelum hal itu menjadi tren, dan kami senang beberapa platform kini mengambil langkah serupa. Platform identitas kami mendukung otentikasi tanpa kata sandi dengan ketersediaan 99.95%, termasuk kemampuan tanpa gagal yang memungkinkan otentikasi tanpa koneksi jaringan, sehingga pengguna dapat mengautentikasi dengan aman meskipun konektivitas terputus, atau jika tidak ada layanan internet.
RSA menawarkan berbagai kemampuan IAM untuk mendukung persyaratan Federal yang terkait dengan zero trust, keamanan cloud, dan otentikasi, dan kami memiliki otorisasi FedRAMP dan dipercaya oleh lembaga pemerintah yang paling sensitif. Pada saat ini, beberapa lembaga mungkin memiliki aplikasi yang tidak mendukung FIDO, dan kami bekerja untuk membantu pelanggan sebagai solusi dan perusahaan dalam mentransisikan infrastruktur dan aplikasi mereka untuk mendukung FIDO. Sementara itu, lembaga-lembaga mungkin akan terus membutuhkan solusi kata sandi sekali pakai (OTP), tetapi penting untuk disadari bahwa tidak semua solusi OTP diciptakan sama.
SecurID OTP yang diimplementasikan dengan aman menggunakan beberapa kontrol untuk mencegah penyerang mendapatkan akses ke OTP berbasis waktu (TOTP). Hal ini juga mencegah penggunaan TOTP jika penyerang berhasil mendapatkan akses. Tidak seperti SMS TOTP, yang memiliki jendela waktu yang biasanya 10-15 menit, jendela waktu kami hanya 60 detik. Selain itu, SMS OTP ditransmisikan melalui saluran yang tidak aman yang sering menjadi target penyalahgunaan penipuan-TOTP tidak.
Dengan membatasi masa berlaku OTP hanya satu menit, RSA mencegah pelaku kejahatan menyimpan faktor autentikasi untuk digunakan di kemudian hari. Dan bahkan ketika pelaku kejahatan mencoba menggunakan kembali OTP dalam jendela 60 detik tersebut, server autentikasi kami tidak akan menerima OTP yang sudah pernah dilihatnya. Penolakan ini menciptakan peristiwa yang dapat diaudit karena pengguna yang sebenarnya harus mengautentikasi untuk kedua kalinya untuk mendapatkan akses, atau pengguna tersebut akan ditolak. Hanya dapat menggunakan OTP sekali untuk mengautentikasi membuat phisher tidak dapat meniru atau menyimpan upaya autentikasi pengguna yang sah. OTP SecurID hanya bisa digunakan sekali, dan masa berlakunya sangat singkat.
Mesin risiko berbasis pembelajaran mesin kami juga mendeteksi anomali perilaku. Otentikasi berbasis risiko RSA menggunakan teknik dan teknologi untuk menilai risiko yang ditimbulkan oleh permintaan akses terhadap organisasi. Dengan menggunakan pembelajaran mesin, autentikasi berbasis risiko belajar dari penilaian dan menerapkan pengetahuan tersebut pada permintaan di masa mendatang.
RSA tidak hanya mengamankan autentikasi, tetapi juga seluruh siklus hidup identitas dengan manajemen kata sandi swalayan, sertifikasi akses yang mudah, dan proses penggabungan, pemindahan, dan pelepasan (JML) otomatis, yang memastikan akses yang tepat dan sesuai di seluruh siklus hidup pengguna. RSA mengelola penyediaan dan pencabutan autentikator dan menyediakan alat bantu untuk membantu menangani situasi seperti token yang hilang dan akses darurat.
RSA juga menggunakan metode kriptografi berbasis standar untuk melindungi semua komunikasi yang diperlukan untuk memproses upaya autentikasi. Kami menggunakan enkripsi end-to-end untuk PIN dan OTP, yang melampaui enkripsi lapisan transport, sehingga OTP tidak dapat didekripsi oleh proksi. Metode ini tidak hanya melindungi OTP dan PIN saat dikirimkan ke dalam, ke luar, dan melintasi jaringan, tetapi juga memastikan bahwa berbagai komponen perangkat lunak dapat mengautentikasi dirinya sendiri.
Phishing adalah masalah yang tidak akan hilang, Namun, penting untuk diingat bahwa teknologi tidak bekerja sendiri-sendiri. Keberhasilan serangan phishing bisa jadi lebih banyak dipengaruhi oleh psikologi manusia daripada teknologi. Tenaga kerja yang terdidik harus menjadi garis pertahanan pertama Anda. Karyawan yang waspada terhadap email phishing tidak akan mengklik tautan mencurigakan yang memberikan pijakan bagi penyerang.
Dengan menyediakan pilihan opsi autentikasi dan membangun model perilaku, lembaga pemerintah dapat mencapai solusi autentikasi tahan phishing yang memberikan pertahanan mendalam yang melampaui faktor autentikasi tertentu.
Penting juga untuk diingat bahwa teknologi apa pun hanya sebaik implementasinya. Solusi autentikasi yang baik perlu melakukan lebih dari sekadar menangani potensi ancaman phishing. Penyediaan yang tepat dan manajemen siklus hidup kredensial harus menjadi bagian holistik dari solusi autentikasi. RSA telah memelopori dan menetapkan praktik standar industri untuk mencapai tujuan-tujuan ini untuk otentikasi berbasis OTP.
RSA telah menawarkan inovasi dan solusi otentikasi praktis selama beberapa dekade. Teknologi kami yang telah terbukti telah dipercaya oleh pemerintah dan pelanggan komersial yang paling sensitif terhadap keamanan di seluruh dunia. IAM kami memberikan kemampuan yang dibutuhkan organisasi Anda untuk mencapai tujuan keamanan siber nasional yang penting. Solusi otentikasi kami telah teruji oleh waktu, dan kami terus berinovasi serta menyempurnakan implementasi kami seiring dengan perkembangan lanskap ancaman.
