Pencegahan Ransomware Berdasar Persyaratan Keamanan Kata Sandi

Menanggulangi ransomware perlu dilakukan pencegahan ransomware berdasar persyaratan keamanan kata sandi dari mengaji peraturan dan standar umum yang dikeluarkan oleh CISA, NIST, HIPAA, FedRAMP, dan ISO 27002 serta membahas pentingnya mengikuti praktik terbaik keamanan kata sandi.

Ransomware selalu menjadi momok paling menakutkan di dunia maya, beban serangan yang ditanggung akibat serangan ini berkali-kali lipat dari ancaman lainnya.

Karena serangan ransomware terus mendatangkan malapetaka pada perusahaan di seluruh dunia, banyak standar dan peraturan resmi telah dibuat untuk mengatasi masalah mendesak ini.

Jelajahi apakah standar yang diatur ini sudah cukup atau apakah perusahaan harus mengupayakan langkah-langkah keamanan yang lebih kuat.

Baca juga: Panduan Ransomware Singkat

Dampak Kata Sandi Lemah pada Serangan Ransomware

Kata sandi yang lemah dapat secara signifikan meningkatkan kerentanan perusahaan terhadap serangan ransomware. Menurut Laporan Investigasi Pelanggaran Data Verizon 2022, 63% data yang disusupi disebabkan oleh pencurian atau penyusupan kredensial.

Di sisi lain pelaku sering mengeksploitasi kata sandi yang lemah atau dicuri untuk mendapatkan akses tidak sah ke sistem perusahaan, membuka jalan bagi infeksi ransomware.

Kemudian berdasar studi State of Passwordless Security tahun 2023 oleh HYPR menemukan bahwa 3 dari 5 perusahaan memiliki pelanggaran terkait autentikasi dalam 12 bulan terakhir.

Selain itu, biaya rata-rata pelanggaran siber terkait autentikasi dalam 12 bulan terakhir naik menjadi $2,95 juta. Statistik ini menggarisbawahi pentingnya praktik keamanan kata sandi yang kuat untuk melindungi dari serangan ransomware.

Panduan dari CISA, NIST, HIPAA, FedRAMP, dan ISO 27002

Dengan mengikuti dan melampaui panduan kata sandi yang disediakan oleh CISA, NIST, HIPAA, FedRAMP, dan ISO 27002, organisasi dapat meningkatkan pertahanan mereka terhadap akses tidak sah dan mengurangi kerentanan mereka terhadap serangan ransomware.

CISA – Memperkuat Pertahanan Ransomware

Cybersecurity and Infrastructure Security Agency (CISA) telah merilis panduan untuk membantu perusahaan melindungi diri dari serangan ransomware. Pedoman CISA menekankan pentingnya menerapkan program keamanan siber yang komprehensif, termasuk pencadangan rutin, manajemen patch, dan pelatihan pengguna, untuk meminimalkan risiko infeksi ransomware.

Walau CISA tidak memberikan rekomendasi kata sandi khusus dalam panduan ransomware, CISA merekomendasikan untuk mengikuti panduan keamanan kata sandi NIST.

CISA mendorong perusahaan untuk mengadopsi autentikasi multi-faktor (MFA) dan kontrol akses kuat lainnya untuk meminimalkan risiko akses tidak sah yang dapat menyebabkan infeksi ransomware.

Baca juga: Serangan Multi Vektor Ransomware

NIST – Kerangka Komprehensif untuk Identitas Digital

Institut Nasional Standar dan Teknologi (NIST) telah menerbitkan Publikasi Khusus 800-63B, yang menguraikan praktik terbaik untuk identitas dan autentikasi digital. Dokumen ini memberikan panduan penting tentang keamanan kata sandi, seperti merekomendasikan penggunaan kata sandi yang panjang dan rumit, serta menerapkan autentikasi multi-faktor (MFA) untuk meningkatkan keamanan akun.

Publikasi Khusus NIST 800-63B memberikan panduan kata sandi terperinci. Rekomendasi utama termasuk yang berikut:

• Panjang kata sandi – Dorong penggunaan kata sandi yang panjang, dengan minimal 8 karakter untuk kata sandi yang dipilih pengguna dan minimal 6 karakter untuk kata sandi yang dibuat secara acak.
• Kompleksitas – Jangan memaksakan aturan kompleksitas, seperti membutuhkan karakter khusus atau campuran jenis karakter.
• Kedaluwarsa kata sandi – Mencegah perubahan kata sandi secara berkala kecuali ada bukti penyusupan.
• Penggunaan ulang kata sandi – Dorong pengguna untuk menghindari penggunaan ulang kata sandi di akun yang berbeda.
• MFA – Penggunaan autentikasi multi-faktor untuk keamanan yang ditingkatkan sangat disarankan

HIPAA – Melindungi Data Kesehatan dari Ransomware

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) telah mengeluarkan panduan keamanan siber untuk membantu perusahaan layanan kesehatan melindungi data sensitif pasien dari serangan ransomware.

Pedoman tersebut menekankan perlunya proses manajemen risiko yang kuat, pelatihan kesadaran keamanan yang berkelanjutan, dan kepatuhan terhadap aturan keamanan HIPAA untuk melindungi informasi kesehatan yang dilindungi secara elektronik (ePHI).

Aturan Keamanan HIPAA mewajibkan entitas tertutup untuk menerapkan kebijakan dan prosedur kata sandi untuk memverifikasi identitas individu yang mengakses informasi kesehatan yang dilindungi secara elektronik (ePHI). Panduan kata sandi khusus tidak disediakan, tetapi HIPAA mendorong praktik terbaik industri berikut, seperti panduan NIST.

Baca juga: 3 Fase Serangan Ransomware

FedRAMP – Mengamankan Layanan Berbasis Cloud

Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) telah menetapkan kerangka kerja untuk memastikan keamanan layanan berbasis cloud yang digunakan oleh agen federal. Kerangka kerja ini mencakup penilaian keamanan yang ketat, otorisasi, dan pemantauan berkelanjutan untuk memitigasi risiko serangan ransomware pada layanan cloud.

Kontrol keamanan FedRAMP didasarkan pada Publikasi Khusus NIST 800-53. Rekomendasi kata sandi termasuk:

• Panjang kata sandi – Minimal 12 karakter untuk sistem berdampak tinggi dan 8 karakter untuk sistem berdampak sedang.
• Kompleksitas – Dorong penggunaan campuran huruf besar dan kecil, angka, dan karakter khusus.
• Kedaluwarsa kata sandi – Wajibkan perubahan kata sandi setiap 60 hari untuk sistem berdampak tinggi dan 90 hari untuk sistem berdampak sedang.
• MFA – Mandat otentikasi multi-faktor untuk akses jarak jauh ke sistem informasi federal.

ISO 27002 – Kontrol Informasi Otentikasi

Perusahaan Internasional untuk Standardisasi (ISO) telah menerbitkan standar ISO 27002, yang menyediakan pedoman sistem manajemen keamanan informasi (ISMS). Di antara rekomendasinya, standar menyoroti pentingnya kontrol autentikasi yang kuat, termasuk kata sandi yang kompleks dan MFA.

ISO 27002 merekomendasikan perusahaan untuk menetapkan kebijakan kata sandi yang mencakup hal berikut:

• Panjang kata sandi – Dorong penggunaan kata sandi yang cukup panjang tanpa menentukan panjang yang tepat.
• Kompleksitas – Merekomendasikan campuran berbagai jenis karakter, seperti huruf besar dan kecil, angka, dan karakter khusus.
• Kedaluwarsa kata sandi – Tetapkan periode yang sesuai berdasarkan penilaian risiko perusahaan.
• Penggunaan ulang kata sandi – Membatasi penggunaan ulang kata sandi yang digunakan sebelumnya.
• MFA – Mendorong penggunaan autentikasi multi-faktor bila perlu.

Pentingnya Praktik Terbaik Keamanan Kata Sandi

Meskipun peraturan dan standar ini memberikan dasar yang kuat untuk pencegahan ransomware, perusahaan tidak boleh hanya mengandalkannya. Dalam satu analisis ditemukan 83% dari kata sandi yang dikompromikan memenuhi panjang kata sandi dan persyaratan kompleksitas standar kata sandi peraturan. Area utama keamanan dunia maya yang dapat ditingkatkan perusahaan adalah keamanan kata sandi.

Menurut sebuah studi, kata sandi harus terdiri dari 12 karakter atau lebih untuk memberikan keamanan yang memadai. Namun, banyak standar yang diatur masih merekomendasikan panjang minimum hanya delapan karakter. Kata sandi yang lebih pendek dapat lebih mudah diretas oleh pelaku, berpotensi membahayakan seluruh jaringan perusahaan.

Baca juga: Ransomware Rebranding dan Pemerasan Tiga Kali Lipat

Melampaui Standar yang Diatur

Saat serangan ransomware berkembang dalam kecanggihan, perusahaan harus tetap berada di depan dan menerapkan langkah-langkah keamanan yang lebih kuat. Ini mungkin melibatkan:

1. Secara teratur memperbarui dan memperkuat kebijakan kata sandi, seperti memberlakukan panjang kata sandi yang lebih panjang, persyaratan kompleksitas, dan perubahan kata sandi secara teratur.
2. Meningkatkan kesadaran keamanan karyawan melalui program pelatihan, memastikan bahwa semua anggota staf berpengalaman dalam mengidentifikasi dan menghindari upaya phishing dan vektor serangan lainnya.
3. Menerapkan alat keamanan canggih, seperti solusi endpoint detection and response (EDR), untuk memantau dan merespons potensi ancaman secara real time.
4. Melakukan penilaian keamanan dan uji penetrasi secara teratur untuk mengidentifikasi dan memulihkan kerentanan dalam infrastruktur perusahaan.
5. Berkolaborasi dengan rekan industri dan pakar keamanan untuk berbagi pengetahuan dan tetap mengikuti tren ransomware dan teknik serangan terbaru.

Bertujuan untuk Standar Keamanan yang Lebih Tinggi

Walaupun standar yang diatur untuk pencegahan ransomware berdasar persyaratan keamanan kata sandi di atas, memberikan panduan berharga dan titik awal yang solid untuk perusahaan.

Sangat penting untuk menyadari bahwa standar ini mungkin tidak cukup. Dengan melampaui standar yang diatur, perusahaan dapat secara signifikan mengurangi risiko menjadi korban serangan ransomware.

Ketika ancaman ransomware berevolusi dan tumbuh dalam kecanggihan, perusahaan harus tetap proaktif dan waspada dalam upaya keamanan siber mereka. Ini termasuk mematuhi standar yang diatur dan berusaha untuk melampauinya,

Terutama dalam keamanan kata sandi dan pelatihan karyawan. Dengan mengambil pendekatan komprehensif dan adaptif untuk pencegahan ransomware, perusahaan dapat melindungi data dan aset penting mereka dengan lebih baik dari ancaman serangan yang selalu ada.

Sumber berita:

WeLiveSecurity