Minggu depan menandai peringatan satu tahun pengungkapan pertama peretasan SolarWinds. Pada tanggal 13 Desember 2020, FireEye pertama kali mengungkapkan SUNBURST, sebuah "kampanye penyusupan global" yang pada akhirnya mempengaruhi lebih dari 18.000 organisasi, termasuk Departemen Perdagangan, Keamanan Dalam Negeri, dan Departemen Keuangan AS, serta Microsoft, Deloitte, dan banyak perusahaan swasta lainnya. Para peretas mungkin memiliki akses hingga 14 bulan.
Pelanggaran SolarWinds mengakibatkan perubahan kebijakan besar dan kemungkinan besar informasi Perintah eksekutif Presiden Biden untuk semua sistem informasi federal untuk meningkatkan keamanan siber.
Namun setahun kemudian, Wakil Presiden Gartner untuk risiko keamanan dan privasi Peter Firstbrook mengatakan bahwa sebagian besar perusahaan belum memahami salah satu hal penting dari serangan tersebut: "infrastruktur identitas itu sendiri adalah sebuah target utama untuk para peretas," kata Kyle Alspach dari VentureBeat.
Firstbrook mengulas pelajaran-pelajaran tersebut pada KTT Keamanan & Manajemen Risiko Gartner bulan lalu, dengan mencatat bahwa "implikasi keamanan identitas dari serangan tersebut harus menjadi perhatian utama bagi bisnis."
Setelah hampir setahun sejak berita SUNBURST pertama kali muncul, sekarang adalah saat yang tepat untuk meninjau kembali beberapa pelajaran penting yang telah kita pelajari sejak pembobolan SolarWinds-dan mengapa para pemimpin harus memprioritaskan identitas untuk mencegah hal serupa terulang kembali.
Dalam merangkum kampanye SolarWinds, Firstbrook mengatakan bahwa para penyerang "terutama berfokus pada serangan terhadap infrastruktur identitas."
Berbicara kepada para pemimpin bisnis, Firstbrook mengatakan: "Anda telah menghabiskan banyak uang untuk identitas, namun sebagian besar adalah bagaimana caranya agar orang-orang yang baik bisa masuk. Anda benar-benar harus mengeluarkan uang untuk memahami ketika infrastruktur identitas tersebut terganggu, dan mempertahankan infrastruktur tersebut."
Sistem manajemen identitas dan akses (IAM) SolarWinds merupakan "peluang target yang kaya bagi para penyerang," kata Firstbrook. Para peretas menghindari otentikasi multi-faktor dengan mencuri cookie web yang sudah ketinggalan zaman; mencuri kata sandi menggunakan kerberoasting, menggunakan sertifikat SAML untuk "mengaktifkan autentikasi identitas oleh layanan cloud;" dan membuat akun baru di Direktori Aktif.
Para penyerang memprioritaskan identitas karena identitas memberikan semua yang mereka butuhkan: akses, kemampuan untuk menghindari otentikasi, dan kemampuan untuk bergerak melampaui pelanggaran awal mereka. "Identitas adalah jaringan ikat yang digunakan penyerang untuk bergerak secara lateral dan melompat dari satu domain ke domain lainnya," kata Firstbrook.
Serangan rantai pasokan seperti pelanggaran SolarWinds "memanipulasi produk atau mekanisme pengiriman produk" untuk menginfeksi target di bagian hilir. Sebagai bentuk serangan yang lebih tidak langsung, mereka menggunakan kaki tangan yang tidak disadari - yang pada akhirnya membuat mereka lebih sulit dideteksi.
Ketika ditanya bagaimana cara mencegah serangan ini terjadi, Firstbrook menjawab bahwa "kenyataannya, Anda tidak bisa."
Alspach merinci sinisme Firstbrook, mencatat bahwa "manajemen identitas digital terkenal sulit bagi perusahaan, dengan banyak yang menderita akibat penyebaran identitas-termasuk identitas manusia, mesin, dan aplikasi (seperti dalam otomatisasi proses robotik)."
Masalahnya meluas ke vendor bisnis: saat ini, bahkan bisnis skala menengah pun menggunakan ratusan dari aplikasi SaaS.
Daripada mencoba mencegah serangan rantai pasokan (atau eksploitasi spesifik lainnya), Firstbrook menyarankan perusahaan untuk mempersiapkan diri menghadapi ancaman dengan mengalihkan fokus mereka. "Anda perlu memantau infrastruktur identitas Anda untuk mengetahui teknik serangan yang diketahui - dan mulai berpikir lebih banyak tentang infrastruktur identitas Anda sebagai perimeter Anda."
Firstbrook sangat tepat. Saat ini, bisnis harus mengakomodasi vendor yang tak terhitung jumlahnya, karyawan yang bekerja dari rumah, pengguna eksternal, dan pihak ketiga lainnya yang mengakses ekosistem mereka. Dengan pengguna dan kasus penggunaan yang berkembang secara eksponensial, identitas adalah satu hal yang harus dapat dikendalikan oleh organisasi dalam semua kasus. Baik itu ransomware, serangan rantai pasokan, atau kejahatan siber yang sedang tren, identitas telah menjadi batas baru.
Praktik terbaik untuk keamanan identitas pasca-SolarWinds:
- Membangun menuju nol kepercayaan: Tidak ada kepercayaan adalah cara berpikir baru tentang keamanan siber yang menghilangkan kepercayaan implisit. Cara ini memperlakukan setiap pengguna, perangkat, permintaan, dan aplikasi sebagai ancaman yang mungkin terjadi dan secara terus-menerus memverifikasi setiap hak untuk akses dan izin. Ini bukan produk atau vendor, tetapi cara berpikir tentang sikap keamanan siber Anda - dan satu-satunya cara untuk mulai membangun menuju nol kepercayaan adalah memulai dengan identitas. Bisnis harus mulai dengan mengetahui siapa pengguna mereka, bagaimana mereka akan mengautentikasi mereka dan apa yang mereka perlukan untuk diakses. Dengan memiliki fondasi tersebut, bisnis dapat menciptakan keamanan yang mengutamakan identitas.
- Otentikasi dari setiap platform, ke setiap platform: Pada titik ini, otentikasi multi-faktor (MFA) seharusnya menjadi persyaratan bagi setiap organisasi. Ketiadaan MFA merupakan komponen utama dalam Serangan ransomware Colonial Pipeline dan merupakan bagian penting dari Perintah keamanan siber dari Presiden Biden. Tapi MFA perlu bekerja di mana pun pengguna Anda bekerja-dari Windows dan macOS, hingga kunci FIDO dan kode sandi sekali pakai-dan bahkan ketika pengguna Anda sedang offline.
- Semua kata sandi cacat: Beberapa laporan awal mengenai pembobolan SolarWinds berfokus pada kata sandi tertentu: 'solarwinds123'. Anggota parlemen bahkan mengecam SolarWinds atas kredensial sederhana itu; kemudian, terungkap bahwa kata sandi tersebut adalah untuk sebuah situs FTP dan tidak ada hubungannya dengan pembobolan tersebut. Tetapi fokus pada 'solarwinds123' melewatkan poin yang lebih luas, yaitu bahwa semua kata sandi terlalu mudah untuk dibobol oleh penjahat siber dan terlalu sulit untuk diingat oleh pengguna. Kata sandi tersebut tidak aman, mahal dan menciptakan gesekan bagi para pengguna yang sah. Untuk bisnis, solusinya bukan dengan membuat kata sandi yang lebih rumit. Sebaliknya, bisnis harus menghilangkan kata sandi sama sekali dan membuat lingkungan bebas kata sandi di mana pengguna tidak perlu memikirkan, memasukkan, atau mengelola kata sandi.
- Ketahui siapa yang memiliki akses ke apa: Jika autentikasi menentukan siapa yang mendapatkan akses di dalam jaringan, maka tata kelola dan administrasi identitas (IGA) mengontrol apa yang dapat dilakukan pengguna dengan akses tersebut: IGA memungkinkan perusahaan untuk mengatur hak akses ke sumber daya yang tepat dan untuk sumber daya yang tepat. Ini adalah cara untuk mencegah pengguna - atau pelaku kejahatan - bergerak secara lateral atau di luar peran yang telah ditentukan sebelumnya (SolarWinds pertama kali menyalahkan seorang pekerja magang di 'solarwinds123' - program tata kelola identitas akan mengungkap apa yang dapat diakses oleh pekerja magang tersebut dan apa yang pada akhirnya dapat mereka lakukan dengan akses tersebut). The solusi terbaik akan mengontrol "penyebaran identitas" dengan mengotomatiskan sertifikasi akses dan memprioritaskan anomali dan pelanggaran kebijakan.
Setahun kemudian, bisnis masih berusaha memahami "salah satu pelanggaran keamanan siber terbesar di abad ke-21." Hal ini sebagian besar disebabkan oleh banyaknya tren yang pada awalnya berkontribusi pada pelanggaran SolarWinds-termasuk penyebaran identitas, meningkatnya ketergantungan pada sumber daya cloud, konfigurasi jarak jauh dan hibrida permanen, serta meningkatnya ketergantungan antara pengguna, sumber daya, dan perangkat-yang semakin meningkat sejak 13 Desember 2020.
Ke mana kita melangkah dari sini? Satu-satunya jalan ke depan adalah mengenali (atau mengakui) betapa kompleksnya lingkungan operasi kita dan memprioritaskan untuk mempertahankan atribut yang selalu ada di setiap lingkungan tersebut. Kita harus menjadikan identitas sebagai batas baru kita-dan mengutamakan identitas.
