3 Hal yang Dapat Dipelajari oleh Pelanggaran Deloitte Tentang Menguasai Keamanan TI

Perkenalan

Tahun 2017 merupakan tahun yang penuh dengan pelanggaran data tingkat tinggi dan minggu ini, firma akuntansi global Deloitte telah bergabung dalam daftar mereka yang terkena dampaknya (laporan The Guardian).

Jika Anda tidak tahu siapa Deloitte, yang perlu Anda ketahui adalah bahwa mereka dilaporkan menghasilkan rekor pendapatan $37 miliar tahun lalu. Mereka juga memberikan nasihat audit, konsultasi pajak, dan keamanan siber kelas atas kepada beberapa organisasi terbesar di dunia. Ironisnya, mereka menjadi korban pelanggaran keamanan siber yang sebenarnya bisa dengan mudah dihindari…

Seperti halnya pelanggaran data tingkat tinggi lainnya, melihat ke belakang adalah hal yang indah. Namun, berapa banyak lagi peristiwa seperti ini yang akan terjadi sebelum organisasi mulai belajar dari peristiwa tersebut? Saya akan membawa Anda melalui tiga pelajaran singkat yang dapat diterapkan oleh tim TI mana pun, terlepas dari ukuran keseluruhan bisnis Anda, untuk segera meningkatkan keamanan TI.

Mengapa pelanggaran Deloitte terjadi?

Sebelum kita mempelajari lebih dalam cara menghindari pelanggaran data seperti yang dialami Deloitte, kita perlu mempelajari lebih lanjut alasan terjadinya pelanggaran data.

Dalam istilah yang paling sederhana, email ke dan dari staf Deloitte (yang jumlahnya hampir seperempat juta orang) disimpan di layanan cloud Azure milik Microsoft. Seorang peretas yang pandai kemudian mendapatkan akses ke server email ini melalui akun administratif yang memberi mereka tingkat akses penuh dan istimewa terhadap informasi sensitif. Sumber yang dekat dengan pelanggaran tersebut mengindikasikan bahwa akun ini hanya memerlukan satu kata sandi untuk mengaksesnya, namun akan dibahas lebih lanjut nanti…

Tidak hanya itu, Guardian juga menyatakan bahwa peretas memiliki akses ke nama pengguna, kata sandi, alamat IP, dan masih banyak lagi. Penyelidikan lebih lanjut mengenai hal ini mengonfirmasi bahwa Deloitte telah membiarkan server Active Directory perusahaannya di internet dengan protokol desktop jarak jauh terbuka - yang secara praktis mengundang serangan sistem email internal.

Kesalahan besar dalam praktik terbaik keamanan TI ini ditemukan oleh peneliti keamanan Dan Tentler, yang menggambarkan masalahnya tanpa menahan apa pun yang dia pikirkan: “Masalahnya adalah mereka memasang server direktori aktif langsung di internet dengan RDP terekspos. . [Ini adalah] tempat di mana semua kredibilitas berada… di internet. Dengan RDP terbuka.”

Banyak orang mengemukakan alasan mengapa Deloitte melakukan hal ini. Namun, terlepas dari apakah ini diatur sebagai server hanya baca, ini memberikan beberapa info penting kepada setiap calon peretas; termasuk fakta bahwa Deloitte menjalankan Direktori Aktifnya pada versi Windows Server 2012, R2 yang belum dipatch.

Deloitte menemukan pelanggaran email pada bulan Maret tahun ini. Namun kini diketahui bahwa penyerang mungkin telah memiliki akses sejak Oktober 2016.

Bisakah hal itu dihindari?

Ada perbaikan yang jelas untuk masalah AD tersebut… cukup perketat kontrol keamanan. Untuk keperluan artikel ini kami akan fokus pada beberapa cara lain, namun tidak kalah mencoloknya, cara Deloitte dapat meningkatkan keamanan TI mereka.

Saya pikir mungkin perlu untuk menyatakan bahwa tidak mungkin untuk sepenuhnya menghilangkan kemungkinan pelanggaran data di era modern. Meski begitu, pelanggaran khusus ini tentu saja bisa dihindari. Beberapa perubahan sederhana dalam pola pikir organisasi, serta beberapa penerapan praktik terbaik keamanan, mungkin akan berhasil dalam hal ini. Mari kita bahas beberapa di antaranya:

1. Diperlukan otentikasi yang lebih baik

Akun istimewa yang memberikan akses tanpa henti ke informasi sensitif Deloitte hanya mengharuskan peretas untuk melewati satu kata sandi. Di zaman sekarang ini, kontrol akses multi-faktor, seperti autentikasi dua faktor, merupakan suatu keharusan ketika berhubungan dengan akun yang memiliki hak istimewa. Beberapa metode kontrol akses multifaktor yang lebih umum adalah:

Menggunakan nomor kartu dan pin secara bersamaan
Memasukkan nomor pin unik yang dihasilkan serta kata sandi biasa (biasanya dikirim ke perangkat seluler atau alamat email)
Menjawab pertanyaan keamanan serta kata sandi

Menerapkan salah satu kontrol keamanan ini dengan segera membantu mencegah peretas mendapatkan akses mudah. Tentu saja peretas yang canggih dan gigih mungkin menemukan cara untuk menghindari kontrol ini, namun yang jelas akun yang memiliki hak istimewa harus menjadi yang paling sulit untuk mendapatkan akses (bahkan secara sah).

2. Diperlukan visibilitas yang lebih besar terhadap sistem dan data penting

Pelanggaran khusus ini terjadi melalui Microsoft Azure, namun hal itu tidak berarti organisasi Anda aman jika Anda menggunakan penyedia email lokal, seperti Exchange. Serangan ini dapat terjadi, dan tidak diketahui begitu lama, karena kurangnya visibilitas terhadap perubahan penting yang terjadi pada server dan data sensitif.

Keamanan sistem penting Anda dapat segera ditingkatkan jika Anda memiliki solusi yang memberi Anda wawasan instan tentang perubahan yang terjadi di Direktori Aktif dan server email Anda. Faktanya, server mana pun yang menyediakan akses ke data penting harus dipantau secara proaktif dan terus menerus untuk memastikan bahwa tidak ada perubahan yang tidak sah atau tidak diinginkan yang tidak terdeteksi.

3. Prinsip Keistimewaan Terkecil harus mendapat perhatian lebih

Secara kebetulan, kami menulis artikel tentang cara menguasai Prinsip Least Privilege (PoLP) belum lama ini. Pada dasarnya, hal ini bertujuan untuk memastikan bahwa pengguna Anda hanya memiliki akses ke data yang mereka perlukan untuk pekerjaan mereka, tidak lebih.

Katakanlah, misalnya, pengguna diberikan hak istimewa yang sebenarnya tidak mereka perlukan. Akun ini pun langsung menjadi sasaran utama para penyerang. Pikirkan apa yang bisa mereka dapatkan jika mereka mendapatkan akses ke akun ini! Gabungkan ini dengan autentikasi satu faktor dan Anda pada dasarnya akan memiliki bom waktu dalam infrastruktur TI penting Anda.

Ada beberapa hal yang perlu Anda lakukan untuk membantu Anda mengimplementasikan PoLP:

Identifikasi siapa sebenarnya pengguna istimewa Anda
Pantau aktivitas mereka di server Anda dan periksa apa yang mereka lakukan dengan data Anda
Membalikkan perubahan yang tidak diinginkan kembali ke keadaan semula
Identifikasi perubahan apa pun pada izin yang tidak diinginkan atau tidak sah

Untuk informasi lebih lanjut mengenai poin-poin ini, Anda dapat mengunjungi halaman detail kami tentang mendeteksi dan mencegah penyalahgunaan hak istimewa.