2020 Tahun Penyalahgunaan Akses dan Kredensial

Setiap tahun, industri keamanan pada umumnya menunggu rilis Laporan Investigasi Pelanggaran Verizon (DBIR). Sekarang di tahun ketiga belas, DBIR secara luas dianggap sebagai salah satu sumber data keamanan siber yang paling dihormati di industri ini.

Verizon DBIR 2019 berdasarkan hasil analisis 32.002 insiden keamanan dan 3.950 pelanggaran yang dikonfirmasi bersumber dari kasus di 81 negara dan 16 sektor.

Laporan 119 halaman tahun ini mencakup banyak hal, tetapi tentu saja, ada hal yang cukup menarik perhatian yakni hal yang terkait dengan akses istimewa dan penyalahgunaan kredensial. Berikut adalah lima tema yang menonjol:

  1. Tren Keamanan Dunia Makro: Uang Adalah Motivator Nomor Satu

Sebagian besar pelanggaran data (86%) adalah untuk keuntungan finansial, dan karenanya, 72% melibatkan bisnis besar. Tujuh puluh persen pelanggaran disebabkan oleh aktor eksternal, dengan kejahatan terorganisir terhitung lebih dari setengahnya (55%). Para penjahat dunia maya ini menggunakan data pribadi 58% dari pelanggaran ini, hampir dua kali lipat dari tahun lalu.

Ketika bicara serangan siber, tiga metode merupakan 67% dari semua pelanggaran: pencurian kredensial, serangan sosial (seperti phising) dan hman error. Apa yang paling menarik tentang “serangan trifecta” ini adalah bahwa 17% dari semua pelanggaran data disebabkan oleh kesalahan manusia yang tampaknya tidak berbahaya, melonjak 50% dari 2019.

Ketika bisnis beradaptasi dengan realitas baru, peretas beralih dari serangan berbasis malware ke ransomware yang sangat tertarget yang menawarkan kemampuan pergerakan lateral yang kuat, dan pada akhirnya pembayaran uang tebusan besar-besaran.

“Jenis serangan lain seperti peretasan dan pelanggaran sosial diuntungkan dari pencurian kredensial, yang membuatnya tidak perlu lagi menambahkan malware.” Menurut laporan itu, 27% dari insiden malware adalah ransomware dan ancaman semakin meningkat karena ransomware-as-a-service sangat mudah untuk dibeli dan digunakan.

Tapi DBIR bukanlah malapetaka dan kesuraman. Ada beberapa perkembangan yang menggembirakan. Sebagai contoh, organisasi menjadi jauh lebih baik dan lebih cepat dalam mendeteksi pelanggaran: 81% ditemukan dalam beberapa hari atau kurang.

  1. Penyalahgunaan Privilege oleh Orang Dalam

Tahun ini, Verizon menganalisis “penyalahgunaan hak istimewa” melalui lensa spesifik orang dalam yang berwenang. DBIR mendefinisikan penyalahgunaan hak istimewa sebagai “tindakan yang disengaja yang dilakukan oleh karyawan internal yang mengakibatkan beberapa bentuk insiden keamanan.”

Meskipun analisis ini tidak memperhitungkan penyalahgunaan akses istimewa yang dikaitkan dengan aktor eksternal yang bertanggung jawab atas 70% dari semua pelanggaran atau pihak ketiga di seluruh rantai pasokan, analisis ini menjabarkan potensi bahaya dalam jajaran organisasi itu sendiri.

Delapan persen dari semua pelanggaran disebabkan oleh penyalahgunaan hak istimewa oleh karyawan. Healthcare tetap menjadi sorotan dengan jumlah aktor jahat internal terbanyak, karena akses yang lebih besar ke kredensial. Sektor manufaktur dan keuangan mengikuti di belakang.

  1. Phising dan Kredensial Merajalela di Era Kerja dari Rumah

Menurut laporan itu, phising tetap menjadi bentuk utama pelanggaran sosial dan “skema semakin canggih dan jahat” ketika pekerjaan jarak jauh melonjak.

Sementara itu, penggunaan kredensial curian oleh aktor eksternal meningkat pesat. Lebih dari 80% pelanggaran yang terkait dengan peretasan melibatkan penggunaan kredensial atau brute force dari perangkat yang hilang atau dicuri.

Meskipun temuan ini bukan hal baru atau mengejutkan, DBIR mengingatkan kita bahwa peretas hampir selalu mengambil jalan dengan resistensi paling rendah dengan menggunakan pendekatan yang sudah terbukti selalu berhasil, dimulai dengan penipuan phishing (96% melalui email) yang menargetkan titik akhir pengguna.

Kemudian dengan mudah memecahkan kata sandi yang lemah atau mencuri kredensial yang tersimpan di perangkat. Dengan menggunakan kredensial ini, pelaku dapat berpindah dari workstation ke workstation untuk mencari data sensitif untuk mencuri dan kredensial istimewa (seperti hak admin lokal) yang memungkinkan peningkatan ke aset dan informasi bernilai lebih tinggi.

  1. Data Berbasis Cloud Diserang

Pencurian kredensial adalah masalah yang meluas di mana-mana dan cloud tidak terkecuali. DBIR menyoroti peningkatan aplikasi web dua kali lipat dari tahun ke tahun menjadi 43%. Kredensial yang dicuri digunakan di lebih dari 80% kasus ini.

Seiring percepatan adopsi cloud, peretas beralih ke data berbasis cloud sebagai “rute cepat dan mudah ke para korban.” Aset cloud terlibat dalam hampir seperempat dari semua pelanggaran dimana 77% melibatkan kredensial yang dilanggar.

  1. Kesalahan Konfigurasi Membuat Cloud Berisiko

Human error menjadi faktor utama masalah ini (kedua setelah peretasan). Manusia selalu melakukan kesalahan, tetapi laporan itu menunjukkan bahwa keadaan semakin memburuk karena “pengguna akhir internal dan admin sistem membuat kesalahan seolah-olah mereka dibayar untuk melakukannya.”

Khususnya, lebih dari 40% dari semua pelanggaran terkait kesalahan manusia melibatkan kesalahan konfigurasi. Ini terjadi ketika seseorang (biasanya admin sistem atau seseorang dengan akses istimewa) memutar datastore di cloud tanpa ada langkah-langkah keamanan yang tepat untuk melindungi data dari akses istimewa yang tidak sah.

Peretas dapat menyalahgunakan konfigurasi yang salah untuk membahayakan satu pengguna istimewa, kemudian beralih untuk kompromi konsol manajemen cloud, atau lebih buruk lagi, mengambil kendali penuh dari lingkungan cloud organisasi.

Melindungi diri dari pencurian kredensial sebenarnya cukup sederhana dan melibatkan mengikuti praktik keamanan kata sandi yang sama yang telah direkomendasikan oleh pakar keamanan selama bertahun-tahun. Tidak ada solusi ajaib, hanya melaksanakan semua praktik kata sandi yang baik. Berikut saran ESET terkait perlindungan kredensial:

  • Hindari Menggunakan Kembali Kata Sandi. Gunakan kata sandi unik untuk setiap akun yang Anda gunakan secara online. Dengan begitu, meskipun bocor, sandi tidak dapat digunakan untuk masuk ke situs web lain. Peretas dapat mencoba memasukkan kredensial Anda ke dalam formulir login lain, tetapi mereka tidak akan berhasil.

  • Gunakan Password Manager. Mengingat kata sandi unik yang kuat adalah tugas yang hampir mustahil jika memiliki akun di beberapa situs web, dan hampir semua orang memilikinya. ESET merekomendasikan penggunaan Password Manager untuk mengingat kata sandi. Ia bahkan dapat menghasilkan kata sandi yang kuat.

  • Aktifkan Otentikasi Dua Faktor. Dengan otentikasi dua faktor, pengguna harus memberikan sesuatu yang lain, seperti kode yang dibuat oleh aplikasi atau dikirimkan kepada Anda melalui SMS setiap kali masuk ke situs web. Meskipun peretas memiliki nama pengguna dan kata sandi Anda, mereka tidak akan dapat masuk ke akun Anda jika tidak memiliki kode itu.

  • Dapatkan Pemberitahuan Kata Sandi yang Bocor: Dengan layanan seperti Have I Been Pwned ?, Anda bisa mendapatkan pemberitahuan ketika kredensial Anda bocor.

Bagaimana Layanan Dapat Melindungi Terhadap Pencurian Kredensial

Sementara di mana setiap individu perlu bertanggung jawab untuk mengamankan akun mereka, ada banyak cara bagi layanan online untuk melindungi dari serangan pencurian kredensial. Berikut kiat dari ESET:

  • Pindai basis data untuk kata sandi pengguna: Facebook dan Netflix telah memindai basis data yang bocor untuk kata sandi, mereferensikannya dengan kredensial masuk pada layanan mereka sendiri. Jika ada yang cocok, Facebook atau Netflix dapat meminta penggunanya sendiri untuk mengubah sandinya. Ini adalah cara untuk mengalahkan orang-orang yang memiliki kredensial.

  • Menawarkan Otentikasi Dua Faktor: Pengguna harus dapat mengaktifkan otentikasi dua faktor untuk mengamankan akun online mereka. Layanan yang sangat sensitif dapat mewajibkan ini. Mereka juga dapat meminta pengguna mengklik link verifikasi login di email untuk mengonfirmasi permintaan login.

  • Memerlukan CAPTCHA: Jika upaya masuk tampak aneh, layanan dapat meminta memasukkan kode CAPTCHA yang ditampilkan dalam gambar atau mengeklik formulir lain untuk memverifikasi manusia dan bukan bot yang mencoba masuk.

  • Batasi upaya masuk berulang: Layanan harus berupaya memblokir bot agar tidak mencoba masuk dalam jumlah besar dalam waktu singkat. Bot modern yang canggih mungkin mencoba masuk dari beberapa alamat IP sekaligus untuk menyamarkan upaya pencurian kredensial mereka.

Praktik sandi yang buruk dan, sejujurnya, sistem online yang tidak diamankan dengan baik yang seringkali terlalu mudah untuk disusupi membuat pencurian kredensial menjadi bahaya serius bagi keamanan akun online. Tidak heran jika banyak perusahaan di industri teknologi ingin membangun dunia yang lebih aman tanpa kata sandi.