Privileged Account atau Akun istimewa adalah akun pengguna yang memiliki lebih banyak hak istimewa daripada pengguna biasa. Akun yang diistimewakan ini bisa saja dapat menghapus perangkat lunak atau menginstal, meningkatkan sistem operasi, memodifikasi konfigurasi sistem atau aplikasi. Jenis akun ini mungkin juga memiliki akses ke file yang biasanya tidak dapat diakses oleh pengguna biasa.
Akun ini lebih sering dipakai pengguna yang bergelut di bidang IT yang membutuhkan lebih dari sebuah akar sandi untuk menyimpan data perusahaan dari kemungkinan cyber threat. Semua perusahaan saat ini kebanyakan bergantung pada teknologi dan tim IT yang menjalankan juga menggerakkan sistem serta keamanan dari belakang layar sebagai tulang belakangnya.
Para administrator IT ini tentu saja memiliki hak istimewa untuk memodifikasi konfigurasi sistem atau aplikasi, menginstal atau menghapus perangkat lunak, juga mampu membuat perubahan pada sistem operasi dan banyak lagi. Sebagian besar perusahaan hanya menggunakan aplikasi manajemen kata sandi sederhana untuk mengelola semua kata sandi, termasuk untuk privileged account ini. Sayangnya cara ini tidak lagi cukup untuk melindungi mereka dari orang yang berniat jahat, penjahat cyber dan peretas.
Daftar Isi
Mengapa Pengelolaan Kata Sandi Saja Tidak Cukup
Sebelum kita membahas mengapa memakai kata sandi tidak cukup, mari kita bicara tentang kemampuan khas dari solusi manajemen kata sandi. Kata sandi adalah cara yang baik dan sederhana untuk mengamankan akun umum seperti akun sosial media, rekening bank, alat pemasaran seperti Google Analytics, akun belanja online dan aplikasi lainnya. Cara ini membantu pengguna untuk mengkonsolidasikan kata sandi ke dalam vault yang terpusat, mengelola login dan merampingkan akses ke akun umum yang dipakai bersama.
Namun apabila ada kasus pelanggaran data profil tingkat tinggi seperti yang terjadi di kasus Target, Marriott dan Sony, para penjahat cyber ini lebih memilih target yang mempunyai privileged account. Tidak masalah jenis akunnya bisa berupa akun admin lokal, akun pengguna istimewa, akun administratif domain, atau akun layanan, yang semuanya biasanya tersebar di seluruh infrastruktur IT internal perusahaan.
Selain menggunakan otentikasi berbasis kata sandi untuk sistem IT, beberapa perusahaan (terutama yang bergerak di bidang keuangan, teknologi tinggi, atau pemerintahan) lebih memilih menggunakan kunci SSH (secure shell) untuk melindungi privileged account mereka. Sebagian besar perusahaan meninggalkan privileged account ini tidak dikelola dan hanya segelintir akun semacam ini yang disimpan dalam aplikasi manajemen kata sandi. Verizon melaporkan mengenai investigasi pelanggaran data pada 2019 tentang adanya penyalahgunaan hak istimewa yang menjadi salah satu ancaman paling umum dalam pelanggaran data.
Laporan Verizon ini menawarkan perspektif penting tentang ancaman yang dihadapi organisasi. Hasil laporan ini didapat dari data dunia nyata yang berasal dari 41.686 insiden keamanan dan 2.013 pelanggaran data yang disediakan oleh 73 sumber data, baik entitas publik maupun swasta, yang mencakup 86 negara di seluruh dunia. Jika seorang penjahat cyber mendapatkan akses ke privileged account, mereka juga dapat memperoleh akses ke semua informasi sensitif organisasi, menggunakan alat akses jarak jauh, mencuri data sebanyak mungkin juga bahkan dapat melakukan penipuan finansial.
Baca Juga : Mengenal Apa Itu Serangan DDOS (DDOS Attact) Serta Cara Mengatasinya
Mengenal 3 Jenis Privileged Account
-
Local Account/Akun Lokal
Local account didefinisikan pada sistem tertentu saja dan hanya dapat digunakan untuk masuk ke sistem seperti akun Administrator pada PC desktop. Dengan local account ini pengguna dapat memiliki nama akun yang identik atau sama pada sistem yang berbeda dan biasanya memiliki kata sandi yang dikelola secara individual. Sebagian besar, akun yang termasuk ke dalam anggota grup “Administrator” pada sistem berbasis Windows dianggap istimewa. Pada Unix / Linux, akun yang memiliki akses tingkat root dianggap istimewa sedangkan pada peralatan jaringan, perangkat yang memiliki kemampuan menulis biasanya dianggap istimewa.
Dengan ini maka dimungkinkan untuk menggunakan local account untuk mengakses file, jadi akun apa pun yang memiliki akses ke data yang sangat sensitif juga harus dianggap istimewa. Alat manajemen akses istimewa dapat digunakan untuk melacak siapa saja yang memiliki akses ke akun tersebut dan untuk memutar kata sandi secara otomatis. Sebuah alat yang baik adalah dapat mengurangi risiko local account dengan mengatur masing-masing akun tersebut untuk memiliki kata sandi yang berbeda. -
Directory Account/Akun Direktori
Directory account juga dikenal sebagai akun domain yang didefinisikan di lokasi pusat. Misalnya, kita dapat memiliki pengguna bernama John.Smith yang nanti didefinisikan ke dalam Microsoft Active Directory. Akun yang ditentukan dalam direktori harus memiliki nama dan kata sandi yang unik. Untuk masuk atau menggunakan sistem tertentu, akun direktori harus ditentukan secara individual atau menjadi bagian dari grup yang diotorisasi pada sistem.
Akun Active Directory bawaan, seperti Administrator, harus dianggap istimewa, serta akun apa pun yang ditambahkan ke grup Admin Domain. Hanya saja yang agak sedikit rumit adalah dengan akun pengguna “bernama” standar. Akun standar “bernama” biasanya digunakan oleh pengguna akhir untuk masuk ke PC desktop mereka dan melakukan fungsi rutin seperti memeriksa email dan tidak dianggap “istimewa,” kecuali mereka ditambahkan ke grup “Administrator” lokal di server atau desktop.
Mungkin akan ada kesulitan untuk mendeteksi atau melacak ketika akun pengguna “bernama” tertentu ditambahkan ke grup “Administrator” ke salah satu dari ratusan / ribuan komputer di suatu perusahaan dan alat seperti DNA CyberArk perlu digunakan untuk menemukan contoh-contoh ini. Banyak perusahaan membuat akun “bernama” sekunder untuk pengguna yang perlu memiliki akses administratif, misalnya, “John_Smith !,” di mana tanda seru berarti atau menunjukkan bahwa akun tersebut istimewa. Setelah proses penemuan DNA CyberArk selesai maka akun istimewa harus didefinisikan, dimonitor, dan dikendalikan melalui suite PAM pusat.
Dalam beberapa kasus, akun direktori dapat dibuat untuk menjalankan layanan atau aplikasi tertentu, contohnya adalah akun direktori “bind” untuk aplikasi yang perlu mencari dan / atau mengubah properti di domain. Akun layanan direktori harus dianggap istimewa, terutama karena kata sandinya statis dan sering kali mereka adalah anggota grup “Administrator” lokal di server tempat mereka beroperasi. Alat manajemen akses istimewa, seperti CyberArk, dapat digunakan untuk memutar kata sandi dan “mendorong” kata sandi aplikasi ke layanan yang perlu menjalankannya. -
Application Account/Akun Aplikasi
Akun aplikasi cenderung akun lokal dan direktori, dan biasanya digunakan untuk otorisasi ke dalam aplikasi tertentu. Misalnya, database Microsoft SQL mungkin memiliki pengguna yang disebut SA. Terkadang aplikasi menggunakan akun lokal atau domain untuk menjalankan, pembeda utama dari jenis akun lain adalah bahwa aplikasi tidak memerlukan login interaktif untuk dapat berfungsi. Kata sandi untuk akun aplikasi sering disimpan dalam aplikasi, atau dalam file konfigurasi eksternal. Dimana akun aplikasi dianggap istimewa sangat tergantung pada izin dan akses file yang akan dimiliki akun dalam aplikasi. Solusi PAM yang matang dapat membantu merotasi kata sandi akun Aplikasi, dan bahkan memberikan kata sandi langsung ke aplikasi dari sentral vault, mencegah perlunya menyimpannya dalam file konfigurasi teks yang jelas.
Alat yang Dibutuhkan Oleh Tim IT Perusahaan
Pengelolaan kata sandi dapat bekerja dengan baik untuk banyak bidang termasuk pemasaran, keuangan, dan sumber daya manusia. Bila tim IT Anda memerlukan solusi manajemen akun istimewa (PAM) yang komprehensif untuk melindungi infrastruktur jaringan IT perusahaan Anda di era serangan cyber ini. Solusi manajemen akun istimewa Anda yang khas dapat :
- Secara otomatis menemukan semua akun istimewa dalam jaringan dan mengelolanya dari konsol admin pusat.
- Dapat menambahkan pengguna dan memberikan peran atau akses kepada mereka berdasarkan pekerjaan sehari-hari mereka.
- Membagikan kata sandi istimewa hanya berdasarkan dan mengikut peran pengguna atau manfaatkan metode peningkatan hak istimewa tepat waktu.
- Menyetel ulang kata sandi untuk server, perangkat jaringan, basis data dan lainnya secara berkala berdasarkan kebijakan IT internal yang dibuat perusahaan.
- Mengotomatiskan manajemen kunci SSH di seluruh jaringan.
- Meluncurkan koneksi langsung ke sumber daya, situs web, dan aplikasi IT jarak jauh tanpa harus mengungkapkan kata sandi aktual dalam teks biasa.
- Merekam video semua akses istimewa dan memotong kemunculan sesi mencurigakan secara instan.
- Melacak aktivitas istimewa yang tidak biasa dan memberi peringatan kepada administrator IT.
- Menangkap semua operasi akun yang diistimewakan dan mengubahnya sebagai laporan wawasan keamanan.
Baca Juga : Mengenal Apa Itu Backdoor Dan Cara Menghindarinya
Kesimpulan dan penutup
Perbedaan penting yang ada antara pengelola kata sandi dan solusi PAM berfitur lengkap ini bisa menjadi kunci untuk melindungi informasi organisasi Anda. Perusahaan riset terkemuka Gartner mengatakan bahwa manajemen privileged account juga merupakan prioritas keamanan nomor satu untuk kepala petugas keamanan informasi (CISO).
Memang menerapkan solusi PAM saja mungkin tidak menjamin membantu Anda mencegah peretas siber sepenuhnya, karena tentunya selalu step pencegahan dan koreksi yang wajib dilakukan. Tetapi solusi PAM cukup mampu memberi Anda sebuah dasar dan pijakan yang kuat untuk terus membangun pertahanan Anda terhadap penjahat cyber.
