Salah satu aturan keamanan siber yang paling membuat frustrasi adalah tidak peduli investasi yang dilakukan organisasi pada teknologi mereka atau seberapa canggih arsitektur mereka, biasanya lebih mudah untuk meretas seseorang atau suatu proses daripada merusak teknologi. Autentikasi multi-faktor (MFA) sangat efektif sehingga penyerang tidak perlu repot-repot menyerangnya secara langsung: sebagai gantinya, mereka mencari cara untuk menghindari MFA dan menargetkan lapisan bisnis atau pengguna lain untuk mendapatkan pijakan dalam suatu lingkungan.
Ketika menghindari MFA, penjahat siber menggunakan email, teks, dan notifikasi penipuan yang diduga berasal dari "akun email meja bantuan" untuk menargetkan pengguna di pengeboman yang cepat dan Kelelahan MFA serangan. Tetapi apa yang terjadi ketika peretas mengembangkan taktik mereka dan mengincar meja bantuan itu sendiri?
Ini bukan hanya sebuah pertanyaan teoritis. Caesars Entertainment dilaporkan membayar $15 juta setelah sebuah kelompok kejahatan siber "berhasil menyusup dan mengacaukan sistemnya." Organisasi melaporkan bahwa pelanggaran tersebut sebagian dimulai ketika "serangan rekayasa sosial terhadap vendor dukungan TI yang dialihdayakan." Tahun lalu, LAPSUS$ menelepon "meja bantuan organisasi dan berusaha meyakinkan personel dukungan untuk mengatur ulang kredensial akun istimewa.
Serangan terhadap Caesars Entertainment menunjukkan mengapa organisasi perlu memperkuat meja bantuan mereka. Namun, bicara saja tidak cukup-mengembangkan operasi yang mengutamakan keamanan membutuhkan dukungan kepemimpinan, investasi teknis dan karyawan, pelatihan, dan banyak lagi. Yang penting, meskipun beberapa serangan baru-baru ini menargetkan meja bantuan secara khusus, bukan berarti meja bantuan sangat rentan terhadap serangan, tidak aman, atau berisiko tinggi. Justru sebaliknya: organisasi perlu mengutamakan prinsip-prinsip keamanan untuk setiap proses bisnis. Mereka adalah semua beresiko.
Konon, Laba-laba yang tersebar dan ALPHV/BlackCat telah menempatkan meja bantuan dalam sorotan baru-baru ini. Jadi, mari kita tinjau beberapa praktik terbaik yang bisa dilakukan oleh tim keamanan dan meja bantuan serta pertanyaan yang harus mereka ajukan untuk mengembangkan meja bantuan Zero-Trust.
Meja bantuan (atau meja layanan) adalah bagian standar dari lanskap TI di sebagian besar perusahaan. Mereka melayani berbagai fungsi, tetapi sering kali mereka adalah titik kontak pertama bagi seseorang yang tidak dapat masuk ke komputer mereka atau mengalami masalah dalam mengakses sumber daya. Untuk mengatasi masalah tersebut, meja bantuan mungkin dapat melakukan beberapa tindakan berisiko tinggi, termasuk:
- Mengatur ulang kata sandi
- Menghapus MFA untuk pengguna yang terkunci
- Membuat akun baru
Itu baru permulaan: staf meja bantuan dapat menjadi pintu masuk untuk melakukan beberapa tindakan yang lebih berisiko, seperti membuat akun administratif atau menghapus MFA untuk sementara waktu untuk membantu menangani masalah di seluruh sistem. Meskipun staf meja bantuan tidak dapat melakukan tindakan tersebut secara langsung, mereka mungkin dapat membuka tiket untuk grup lain yang dapat melakukannya.
Tindakan-tindakan itulah yang dapat membuat meja bantuan menjadi target yang menarik bagi penyerang: meja bantuan dapat menangguhkan atau mengelabui kebijakan keamanan. Selain itu, karena organisasi ingin pengguna dan pelanggannya tetap terhubung, produktif, dan bahagia, maka akan mudah bagi pelaku ancaman untuk menemukan informasi kontak meja bantuan.
Kabar baiknya adalah, meskipun help desk dapat mewakili risiko yang signifikan, tim keamanan dapat meminimalkan bahaya tersebut dengan memprioritaskan identitas, dokumentasi proses, otomatisasi, dan mengembangkan pertahanan secara mendalam.
Mulailah dengan mengenal meja bantuan Anda: siapa yang menjadi stafnya? Apa yang biasanya mereka lakukan? Apa bisa yang mereka lakukan? Apa saja yang dapat mereka akses, dan mengapa mereka membutuhkan akses tersebut?
Setiap organisasi harus bertanya seberapa besar akses yang dimiliki meja bantuan mereka ke lingkungan mereka. Tim keamanan perlu meninjau jawaban tersebut secara teratur terhadap konsep hak istimewa yang paling sedikit. Untuk mendekati nol kepercayaan, meja bantuan Anda seharusnya hanya memiliki akses ke fungsi-fungsi yang mereka perlukan untuk melakukan pekerjaan mereka ketika mereka membutuhkannya. Akses administratif yang luas untuk personel meja bantuan tidak boleh diberikan.
Penengah yang baik untuk hal ini adalah katalog layanan meja bantuan: personel dukungan harus memiliki akses yang diperlukan untuk menjalankan layanan tersebut dan hanya layanan tersebut. Tim keamanan harus meninjau apakah staf meja bantuan memiliki lebih banyak hak daripada yang mereka butuhkan, terutama untuk tindakan yang dapat menyesuaikan pengaturan keamanan identitas pengguna - dan jika ya, pastikan kontrol yang tepat di sekitar hak tersebut.
Setelah Anda mengetahui apa yang biasanya dilakukan oleh meja bantuan dan apa yang dapat mereka lakukan, mintalah untuk melihat buku catatan dan dokumentasi proses mereka. Jika mereka tidak memilikinya, inilah saatnya untuk menulis beberapa, dan meninjaunya untuk praktik keamanan yang baik-termasuk verifikasi identitas.
Sementara Anda melakukannya, Tim Keamanan juga harus menekankan bahwa tindakan identitas yang berisiko lebih tinggi harus mengikuti proses manajemen perubahan standar: tindakan seperti menambahkan federasi baru atau penyewa baru ke direktori Anda harus mengikuti proses yang lebih ketat. Jika seseorang mencoba memulai tindakan berisiko tinggi tersebut di luar proses normal, maka sistem keamanan Anda harus mendeteksi upaya tersebut, memperingatkan pihak keamanan, dan memblokirnya.
Dan jangan berhenti pada tim meja bantuan. Meskipun tim meja bantuan memiliki banyak keleluasaan untuk membantu pengguna, terkadang mereka perlu melibatkan kelompok lain untuk menyelesaikan tugas-tugas yang kompleks atau berisiko. Jika Anda memiliki lebih dari satu kelompok yang bekerja bersama, pastikan setiap tim mengetahui tugas apa saja yang membutuhkan lebih dari satu fungsi, siapa yang memverifikasi permintaan, dan bagaimana mendokumentasikannya.
Penjahat siber akan mengeksploitasi asumsi apa pun yang Anda buat tentang tim mana yang bertanggung jawab atas tindakan apa. Jika seorang VIP mengatakan bahwa mereka telah mempekerjakan seorang manajer baru yang membutuhkan permintaan admin dengan segera, bagaimana meja bantuan menerima permintaan tersebut, memverifikasinya, dan berkoordinasi dengan tim lain? Anda perlu memeriksa semua asumsi untuk memastikan bahwa permintaan tersebut berasal dari dalam organisasi Anda-dan Anda tidak membantu orang jahat.
Karyawan meja bantuan perlu mendengar dari pimpinan dan tim keamanan mereka bahwa mereka harus mengikuti proses yang telah ditetapkan, memerlukan dokumentasi, dan memverifikasi pengguna-terutama untuk permintaan luar biasa-untuk mempertahankan praktik yang aman.
Meja bantuan Anda harus tahu bahwa tim keamanan dan pimpinan mendukung mereka. Ini bukan hanya perubahan teknis atau operasional-ini adalah nilai budaya yang harus dikembangkan oleh kepemimpinan di seluruh organisasi. Karena kemungkinan besar permintaan berisiko tinggi akan datang dari pimpinan internal, VIP eksternal, atau pelaku ancaman yang mungkin menghubungi tim Dukungan Pelanggan Anda dengan permintaan 'mendesak' untuk menyelesaikan masalah atau mendapatkan akses.
Dalam situasi seperti itu, karyawan meja bantuan tidak bisa selalu mengatakan "Tidak". Sebaliknya, kembangkan teknologi, proses, dan budaya yang memungkinkan mereka untuk mengatakan: "Ya, dan inilah yang saya ingin Anda lakukan untuk menyelesaikannya." Memiliki langkah-langkah yang ditulis sebelumnya-dan mengetahui bahwa pimpinan dan tim keamanan akan berada di samping meja bantuan saat langkah tambahan diperlukan-mungkin akan membuat perbedaan dalam mencegah pelanggaran.
Namun, ini bukan hanya proses dari atas ke bawah: organisasi harus menggunakan otomatisasi ketika masuk akal untuk membatasi eksposur Anda terhadap proses manual atau tekanan VIP. Otomatisasi tidak akan menjadi peluru perak: meja bantuan Anda mungkin masih perlu merespons panggilan yang meminta pengecualian dan merujuk penelepon kembali ke otomatisasi atau memiliki prosedur eskalasi yang memerlukan persetujuan tepercaya.
Katakanlah Anda sudah mengambil semua langkah di atas: Anda sudah bertemu dengan meja bantuan, memahami apa yang bisa mereka lakukan, membuat katalog tindakan berisiko lebih tinggi untuk diprioritaskan, membuat dokumentasi, dan tim kepemimpinan Anda secara rutin menjelaskan bahwa organisasi Anda akan selalu mengutamakan keamanan, meskipun itu berarti merepotkan pengguna.
Pertanyaan berikutnya yang perlu Anda jawab adalah bagaimana tim bantuan atau tim Dukungan Pelanggan Anda akan memverifikasi identitas? Mengotentikasi identitas pengguna sangatlah penting, karena sebaik apa pun keamanan dukungan Anda dirancang atau didokumentasikan, tidak akan efektif jika seseorang dalam tim Anda bekerja untuk memenuhi permintaan yang bukan hak pengguna.
Baru-baru ini, verifikasi visual telah dinominasikan sebagai salah satu cara untuk mengatasi masalah phishing. Organisasi dapat meninjau NIST 800.63A untuk melihat apakah kemampuan yang dibutuhkan untuk verifikasi kekuatan "Superior" masuk akal untuk situasi mereka. Mengingat persyaratan teknis yang dibutuhkan untuk mencapai verifikasi visual independen dan pelatihan yang dibutuhkan oleh meja bantuan Anda untuk mengimplementasikan mekanisme ini, hal ini harus dilakukan dengan hati-hati. Verifikasi visual masih rentan terhadap deepfakes, yang menjadi lebih mudah dilakukan, jika kita berbicara tentang meja bantuan jarak jauh yang tidak mengenal orang yang membuat permintaan. Karena tantangan-tantangan ini, saya skeptis bahwa verifikasi visual akan diimplementasikan secara efektif di sebagian besar situasi.
Sebagai gantinya, organisasi dapat menggunakan pendekatan pertahanan tradisional yang mendalam dan MFA untuk memverifikasi seseorang sesuai dengan apa yang diklaimnya. Metode permintaan dan verifikasi yang dibentuk dengan baik dapat dimulai dengan satu vektor kepercayaan awal-seperti email yang ditentukan atau login ke portal dukungan-tetapi juga harus mengintegrasikan faktor tambahan seperti kontak di luar jaringan menggunakan sistem tepercaya kedua. Metode untuk menggunakan kontak di luar jalur dapat mencakup:
- Persetujuan manajer: secara sistematis memverifikasi bahwa manajer menyetujui permintaan akses di sistem tiket Anda.
- Hubungi manajer (untuk karyawan) atau kontak yang ada di file (pelanggan) untuk memverifikasi apakah permintaan tersebut valid. Seorang manajer biasanya memiliki metode di luar jam kerja untuk menghubungi karyawan mereka.
- Lakukan panggilan konferensi yang dimulai dengan petugas meja layanan dan pengguna yang mengajukan permintaan. Kemudian mintalah orang ketiga untuk bergabung dalam panggilan tersebut-seperti manajer atau anggota tim-untuk memverifikasi pengguna dan permintaan mereka secara visual.
- Untuk mempercepat persetujuan, Anda juga dapat mengganti rekan kerja atau asisten yang diambil dari direktori perusahaan untuk memverifikasi permintaan.
Sistem verifikasi apa pun bisa ditembus, namun menggabungkan beberapa elemen yang tidak terkait untuk memvalidasi identitas sebelum melayani permintaan berisiko tinggi bisa membantu memastikan bahwa meja bantuan Anda sudah tangguh terhadap sebagian besar upaya phishing. Dalam contoh yang diberikan, pertimbangkan seberapa dekat atau jauhnya lanskap teknis elemen-elemen tersebut - misalnya, jika Anda adalah toko Microsoft yang menggunakan Active Directory, M365 untuk email dan Tim, Anda mungkin tidak ingin menggabungkan elemen-elemen yang saling terkait jika Anda menginginkan pendekatan MFA yang paling kuat.
Cara lain untuk memperkuat meja bantuan Anda dan operasi bisnis lainnya dari serangan rekayasa sosial seperti ini adalah melalui pemeriksaan identitas. Kami akan membahas lebih lanjut tentang pemeriksaan identitas segera - pantau terus laman ini.
