Semakin banyak profesional TI berurusan dengan masalah yang berkembang yang mengintai di dalam organisasi mereka sendiri. Dengan kisah pelanggaran data profil tinggi baru-baru ini menjadi berita utama, risiko yang ditimbulkan oleh ancaman orang dalam telah menjadi perhatian utama tim TI, dengan insiden semacam itu meningkat 44 persen selama dua tahun terakhir menurut Biaya Ponemon 2022 dari Ancaman Orang Dalam Global Laporan.
Sementara ancaman orang dalam dirasakan oleh masyarakat umum sebagai karyawan yang tidak puas secara aktif menyabotase sistem atau mencuri data untuk dijual ke pesaing, masalahnya jauh lebih kompleks dari itu. Karena meningkatnya biaya hidup di seluruh dunia, lebih banyak karyawan akan menjadi rentan terhadap permintaan pelaku jahat yang mencari kaki tangan potensial untuk menyebarkan ransomware. Selain itu, menyalahgunakan akses orang dalam tidak hanya terbatas pada pelepasan ransomware, karena pengguna mungkin merasa terdorong untuk juga menjual kredensial mereka dalam upaya untuk menghasilkan uang dengan mudah. Risiko ini menimbulkan kekhawatiran besar bagi organisasi mana pun, karena hak istimewa pengguna dapat dengan mudah dimanfaatkan dan ditingkatkan untuk mengambil alih sumber daya TI yang penting. Faktanya, penilaian keamanan Quest kami menemukan bahwa sebagian besar akun pengguna — sekitar 70–100 persen — memiliki hak akses yang dapat dengan mudah ditingkatkan oleh peretas untuk mendapatkan akses ke aset Tier Zero, termasuk domain Active Directory .
Sayangnya, ancaman tidak berhenti sampai di situ, karena peretas selalu siaga untuk setiap peluang yang menimbulkan kekacauan — termasuk mengeksploitasi kesalahan ceroboh yang dibuat oleh karyawan. Peretas dapat menggunakan kecelakaan ini untuk mendapatkan kendali atas kredensial di lingkungan Anda, mengubah diri mereka dari penyerang luar menjadi ancaman orang dalam.
Kami tahu bahwa memiliki visibilitas atas akun pengguna organisasi Anda bisa jadi sulit. Dengan begitu banyak perusahaan yang memiliki ratusan, bahkan ribuan, akun pengguna dengan berbagai tingkat hak istimewa — dari mana Anda memulai?
Anda dapat memulai dengan melihat tiga praktik terbaik berikut yang akan membantu Anda memitigasi ancaman orang dalam dan meningkatkan postur keamanan siber perusahaan Anda.
Memahami hak istimewa kontrol organisasi Anda
Langkah pertama dalam mengurangi ancaman orang dalam adalah mendapatkan gambaran yang jelas tentang siapa yang memiliki akses ke apa. Untuk sebagian besar perusahaan, itu berarti memahami pengguna dan grup Active Directory Anda serta izin yang diberikan kepada mereka. Area fokus umum untuk banyak organisasi adalah grup seperti Admin Domain, Admin Perusahaan, dan Operator Akun. Keanggotaan di salah satu grup yang kuat ini memberikan hak istimewa yang sangat besar atas suatu lingkungan, jadi sangat penting untuk menjaga mereka tetap di bawah kendali ketat.
Sayangnya, peretas sering mengetahui bahwa grup ini sangat diawasi, jadi mereka mencari cara lain untuk meningkatkan hak istimewa mereka. Misalnya, pelaku jahat dapat mencoba mendapatkan akses admin lokal di server database dengan data yang mereka incar atau menyusupi akun yang memiliki akses ke data yang mereka inginkan, baik itu akun admin atau akun pengguna. Selain itu, seperti disebutkan sebelumnya, ini tidak memerlukan kredensial istimewa atau niat jahat untuk menyebabkan masalah serius — pengguna yang tergesa-gesa atau admin yang ceroboh mungkin saja membuat kesalahan yang membahayakan data Anda.
Memiliki kontrol yang tepat atas GPO Anda
Objek Kebijakan Grup (GPO) adalah kumpulan pengaturan kebijakan yang dapat Anda gunakan untuk mengontrol persyaratan kerumitan kata sandi, mencegah pengguna mengakses bagian sistem, mengganti nama akun Administrator atau mengatur ulang kata sandinya, menerapkan nilai registri khusus, dan banyak lagi. Sulit untuk melebih-lebihkan kekuatan Kebijakan Grup di lingkungan Microsoft mana pun. Hanya satu modifikasi dalam GPO oleh aktor jahat yang dapat dengan cepat mengunci pengguna dari aplikasi penting bisnis, atau bahkan menyebabkan ransomware atau malware lainnya berjalan saat sistem dinyalakan, yang mungkin menyebabkan hilangnya data yang melumpuhkan atau waktu henti sistem.
Menyiapkan hak admin yang memadai
Prioritas utama terakhir Anda harus berfokus pada pengurangan kemampuan peretas untuk mendapatkan kendali atas akun pengguna pada contoh pertama. Dalam sebagian besar kasus, workstation pengguna menjadi sasaran pertama. Setelah penyerang mendapatkan pijakan di workstation pengguna, mereka mencari kredensial yang dapat mereka gunakan untuk berpindah secara lateral ke sistem lain dan dengan jahat meningkatkan hak istimewa mereka. Sudah cukup buruk jika mereka mengumpulkan kredensial pengguna, tentu saja, tetapi jauh lebih buruk jika mereka berhasil mengambil kredensial admin yang memberikan hak istimewa yang lebih kuat. Oleh karena itu, sangat penting untuk mengontrol di mana kredensial admin digunakan.
Tidak ada peluru ajaib untuk menghilangkan ancaman orang dalam sepenuhnya. Namun, memastikan tingkat hak istimewa yang tepat untuk pengguna dan admin Anda wajib jika Anda ingin meminimalkan akses yang tidak diinginkan ke sistem Anda. Dengan menerapkan ketiga praktik sederhana ini, organisasi Anda akan berada di tempat yang jauh lebih baik untuk merespons dan melindungi diri dari risiko ancaman orang dalam yang terus-menerus.
Kredit Gambar: LeoWolfert/Shutterstock
Bryan Patton adalah Konsultan Sistem Strategis Utama, Quest.
