Lebih sering daripada tidak, reaksi langsung terhadap insiden keamanan seperti serangan ransomware yang menghantam kasino Las Vegas di awal musim gugur ini adalah mencari penyebabnya. Saya memahami dorongan tersebut. Dampak dari serangan tersebut-para tamu yang harus check-out menggunakan pena dan kertas, hingga $100 juta dalam kerugian untuk satu korban-menunjukkan tingginya biaya kegagalan keamanan. Tidak ada yang ingin menjadi korban pelanggaran data berikutnya.
Namun dalam keamanan siber, biasanya tidak hanya ada satu penyebab. Pada sebagian besar insiden keamanan, penyerang mengambil keuntungan dari rantai kerentanan yang secara bertahap memberi mereka lebih banyak akses dan kendali atas suatu lingkungan. Tidaklah produktif untuk mencari sebab dan akibat ketika biasanya tidak ada. Sebaliknya, tim keamanan perlu melihat lingkungan mereka secara keseluruhan, arsitekturnya, dan cara teknologinya beroperasi serta proses dan budaya bisnis dan mendekatkan mereka ke arsitektur zero-trust.
Seperti kasino yang terkena serangan ini, baik serangan siber maupun keamanan siber cenderung bermain dengan peluang. Biasanya bukan hanya satu kelemahan yang membahayakan keamanan siber organisasi. Sebaliknya, itu adalah peluang statistik dan risiko yang saling bertumpuk. Tim keamanan tidak harus mencari peluru perak - sebaliknya, mereka harus memahami kondisi yang dapat mengubah kepingan salju menjadi longsoran salju.
Meskipun kita mungkin tidak akan pernah tahu cerita lengkap tentang bagaimana ALPHV/BlackCat melancarkan serangan mereka, kita tahu tentang beberapa kondisi yang membantu mereka menembus korban mereka dan bagaimana kondisi tersebut menciptakan risiko yang menguntungkan para penyerang.
Dalam pernyataan, ALPHV mengatakan bahwa kasino tersebut "menutup setiap server Okta Sync mereka setelah mengetahui bahwa kami telah mengintai server Okta Agent mereka dan mengendus kata sandi orang-orang yang kata sandinya tidak dapat dibobol."
ALPHV dapat melakukan hal ini karena Sinkronisasi kata sandi Aplikasi Okta, yang "menggunakan API standar untuk menyinkronkan kata sandi dan aplikasi di tempat ketika tersedia." Dokumentasi produk melanjutkan: "Ketika Okta to Application - Sinkronisasi Kata Sandi Okta diaktifkan, perilaku defaultnya adalah menyinkronkan kata sandi yang ada. Kata sandi Okta adalah kata sandi yang digunakan untuk masuk ke Okta."
Maksudnya dalam bahasa Indonesia adalah Okta memiliki kata sandi Direktori Aktif penggunanya. Hal ini sebagian besar karena arsitektur cloud-first dari vendor ini: menyinkronkan kata sandi membantu proses runtime mereka dan membuat penerapan dan peluncuran sistem MFA yang cepat menjadi lebih mudah dilakukan.
Meskipun pilihan tersebut membantu organisasi menerapkan solusi lebih cepat, pilihan ini disertai dengan pengorbanan keamanan yang besar yang bertentangan dengan prinsip keamanan siber inti: Penghindaran data atau, dengan kata lain: tidak menyimpan atau mengirimkan data yang tidak perlu disimpan atau dikirimkan.
Ini adalah aturan yang sudah lama berlaku karena jika sebuah organisasi mentransmisikan sesuatu, maka akan lebih mudah bagi penyerang untuk mencurinya. Itulah yang terjadi pada BlackCat dan ALPHV: mereka kemungkinan besar membobol server tempat Okta Agent AD berjalan. Dari sana, mereka dapat mengatur keran vampir untuk menyalin kata sandi, menyuntikkan DLL, membuang segmen memori, atau melakukan tindakan lainnya. Dan itulah intinya: tidak terlalu penting tindakan spesifik apa yang dilakukan para penyerang ketika mereka berada di server yang disusupi.
Sebaliknya, risiko dimulai dengan menerapkan arsitektur yang menyinkronkan kata sandi. Pilihan itu menetapkan kondisi yang memungkinkan segala sesuatu yang lain mengikuti. Keputusan itu setara dengan keamanan siber yang memilih untuk membangun di atas pasir daripada batuan dasar: apa yang Anda bangun mungkin bisa bertahan, tetapi mengapa harus mengambil risiko?
Serangan BlackCat/ALPHV menggarisbawahi betapa sulitnya mengamankan server. Beberapa pembaruan, kata sandi admin, dan pengulangan kata sandi menambah permukaan serangan yang besar, kompleks, dan rapuh. Jenis konfigurasi seperti itu biasanya menguntungkan para penyerang.
Alternatifnya adalah membangun Secure by Design dan Secure by Default prinsip-prinsip, yang memprioritaskan keamanan di semua fitur produk, operasi, dan proses serta membawa organisasi lebih dekat ke arah zero trust.
Seperti banyak hal lainnya, Secure by Design dan Secure by Default adalah tentang detail. Sangat mudah untuk mengklaim bahwa suatu produk memprioritaskan keamanan-sulit untuk benar-benar memberikan sesuatu yang benar-benar memenuhi tolok ukur itu.
RSA mengembangkan solusi yang mengutamakan keamanan yang dimulai dengan prinsip-prinsip ini. Kami tidak menyinkronkan kata sandi Active Directory atau LDAP-kami tidak memiliki kredensial tersebut. Sebagai gantinya, kami mengharuskan pelanggan untuk menggunakan alat virtual yang diperkuat yang terhubung ke repositori pengguna lokal dan memvalidasi kata sandi secara real-time, alih-alih mengendus dan menyinkronkannya ke cloud.
Pilihan ini memiliki beberapa pengorbanan: dibutuhkan lebih banyak waktu dan upaya untuk menerapkan alat virtual yang diperkuat dan router identitas virtual kami. Tetapi itu adalah biaya yang menurut pelanggan dan tim kami sepadan, karena dengan tidak menyinkronkan kata sandi, kami meminimalkan permukaan serangan dan bukan memperbesarnya. Jika kami tidak menyinkronkannya, kami tidak dapat kehilangannya-dan penyerang tidak dapat mengeksploitasinya. Kami juga berpendapat bahwa solusi vendor lain membutuhkan lebih banyak waktu dan usaha dalam jangka panjang, karena solusi yang 'lebih cepat' menghasilkan permukaan serangan yang jauh lebih besar dengan biaya yang lebih besar.
RSA® Kunci Ponsel, yang membangun kepercayaan pada perangkat yang tidak dikelola dan membantu mengamankan BYOD, juga mencontohkan prinsip-prinsip Secure by Design dan Secure by Default. Mobile Lock hanya mencari ancaman ketika pengguna mencoba mengautentikasi menggunakan RSA Authenticator untuk iOS dan Android, dan hanya membatasi autentikasi ketika mendeteksi adanya ancaman. Dia juga hanya meminta data minimum mutlak untuk menjalankan fungsinya, dan mitra kami Zimperium tidak pernah melihat informasi pribadi tentang pengguna akhir. Keuntungan keamanan dari melakukan sesuatu yang lebih - seperti memindai perangkat pengguna secara terus-menerus - akan sangat kecil, terutama dibandingkan dengan kemungkinan penyerang dapat menargetkan layanan latar belakang yang selalu aktif.
Sama halnya dengan agen otentikasi multi-faktor (MFA) kami. Jika terjadi pemadaman internet, agen MFA kami akan tetap aman pada penerapan di lokasi daripada gagal membuka atau masuk ke mode offline di mana validasi OTP terjadi pada agen MFA itu sendiri. Artinya, pelaku ancaman tidak dapat menghindari MFA hanya dengan memutuskan sambungan dari internet atau membuat layanan backend MFA tampak offline, yang pada dasarnya adalah apa yang dilakukan oleh aktor yang disponsori negara terhadap LSM tahun lalu.
Keamanan sejati tidak pernah direkayasa secara berlebihan: keamanan sejati bergantung pada perpaduan yang masuk akal antara solusi sederhana jika memungkinkan dan solusi yang lebih kompleks jika diperlukan. Setiap komponen layanan perlu dirancang untuk membatasi permukaan serangan jika memungkinkan. Ini berarti hanya mengumpulkan informasi minimum yang benar-benar dibutuhkan oleh sebuah sistem dan hanya menggunakan informasi tersebut saat dibutuhkan. Hal ini juga berarti membuat keputusan arsitektur yang meminimalkan permukaan serangan daripada memperluasnya secara tidak perlu.
Keamanan siber cenderung tentang memainkan peluang. Tingkatkan kemampuan Anda dengan bermain cerdas dan bertaruh pada vendor yang mengutamakan keamanan.
