Selama bertahun-tahun, mengamankan sistem perusahaan sama artinya dengan mengamankan “perimeter” perusahaan. Ada yang aman “di dalam” dan ada yang tidak aman di dunia luar. Kami membangun firewall yang kokoh dan menerapkan sistem deteksi yang canggih, yakin bahwa menjaga orang-orang barbar tetap berada di luar tembok akan menjaga data dan sistem kami tetap aman.
Masalahnya adalah kami tidak lagi beroperasi dalam batasan instalasi fisik di lokasi dan jaringan yang terkontrol. Data dan aplikasi kini berada di lingkungan cloud terdistribusi dan pusat data, diakses oleh pengguna dan perangkat yang terhubung dari mana saja di dunia. Temboknya telah runtuh, dan perimeternya telah hancur, membuka pintu ke medan perang baru: identitas.
Identitas adalah inti dari apa yang dipuji oleh industri sebagai standar emas baru dalam keamanan perusahaan: “zero trust.” Dalam paradigma ini, kepercayaan eksplisit menjadi wajib dalam setiap interaksi antar sistem, dan kepercayaan implisit tidak boleh ada. Setiap permintaan akses, apapun asalnya, harus diautentikasi, diotorisasi, dan terus divalidasi sebelum akses diberikan.
Sifat Ganda Identitas
Identitas adalah konsep luas dengan realitas ganda. Di satu sisi, rakyat memerlukan akses ke email dan kalender mereka, dan beberapa (khususnya insinyur perangkat lunak) memiliki akses istimewa ke server atau database untuk melakukan pekerjaan mereka. Industri ini telah menyempurnakan pengelolaan identitas ini selama 20 tahun terakhir seiring dengan bergabungnya karyawan, mendapatkan hak istimewa untuk sistem tertentu, dan akhirnya meninggalkan perusahaan.
Di sisi lain, kami memiliki jenis identitas lain: identitas mesin, juga direferensikan sebagai identitas non-manusia (NHS)yang mencakup sebagian besar identitas (diperkirakan jumlahnya melebihi identitas manusia setidaknya dengan faktor 45 banding 1).
Berbeda dengan manusia, NHI—mulai dari server, aplikasi, atau proses—tidak terikat pada individu dan oleh karena itu menimbulkan masalah yang sangat berbeda:
- Mereka tidak memiliki langkah-langkah keamanan tradisional karena, tidak seperti pengguna manusia, kami tidak bisa begitu saja menerapkan MFA ke server atau kunci API.
- Mereka dapat dibuat kapan saja oleh siapa saja di perusahaan (misalnya Pemasaran yang menghubungkan CRM mereka ke klien email) dengan sedikit atau tanpa pengawasan. Mereka tersebar di berbagai alat, sehingga pengelolaannya menjadi sangat rumit.
- Benar sangat diistimewakan dan seringkali 'basi': tidak seperti identitas manusia, NHI cenderung bertahan lama setelah digunakan. Hal ini menciptakan situasi berisiko tinggi ketika kredensial yang diberikan secara berlebihan dengan izin luas tetap ada bahkan setelah tujuan penggunaannya telah berakhir.
Semua gabungan ini menghadirkan badai sempurna bagi perusahaan besar yang bergulat dengan lingkungan cloud yang luas dan rantai pasokan perangkat lunak yang rumit. Tidak mengherankan jika kesalahan pengelolaan identitas—yang merupakan gejala dari tersebarnya rahasia—kini menjadi penyebab utama sebagian besar insiden keamanan yang memengaruhi bisnis di seluruh dunia.
Tingginya Dampak Kelambanan: Pelanggaran di Dunia Nyata
Konsekuensi dari pengabaian keamanan NHI tidak bersifat teoritis. Berita ini penuh dengan contoh-contoh pelanggaran tingkat tinggi di mana NHI yang disusupi menjadi pintu masuk bagi para penyerang, yang menyebabkan kerugian finansial yang signifikan, kerusakan reputasi, dan terkikisnya kepercayaan pelanggan. Dropbox, Sisense, Microsoft, dan The New York Times adalah contoh perusahaan yang mengaku terkena dampak NHI yang dikompromikan pada tahun 2024 sendiri.
Bagian terburuknya, mungkin, adalah bahwa insiden-insiden ini mempunyai dampak yang besar. Pada bulan Januari 2024, sistem internal Atlassian Cloudflare dilanggar Karena token dan akun layanan— dengan kata lain, NHI—sebelumnya disusupi di Okta, sebuah platform identitas terkemuka. Hal yang paling menarik perhatian di sini adalah Cloudflare dengan cepat mendeteksi penyusupan dan merespons dengan merotasi kredensial yang dicurigai. Namun, mereka kemudian menyadari bahwa beberapa token akses belum dirotasi dengan benar, sehingga memberikan kesempatan lain bagi penyerang untuk menyusupi infrastruktur mereka.
Hal ini tidak hanya terjadi satu kali saja: 80% organisasi pernah mengalami pelanggaran keamanan terkait identitas, dan DBIR edisi tahun 2024 menempatkan “Kompromi Identitas atau Kredensial” sebagai vektor nomor satu untuk serangan siber.
Apakah Anda harus khawatir? Melihat kembali kisah Cloudflare, dampaknya belum diketahui. Namun, perusahaan mengungkapkan upaya perbaikannya termasuk melakukan rotasi semua 5.000 kredensial produksitriase forensik ekstensif, dan me-reboot semua sistem perusahaan. Pertimbangkan waktu, sumber daya, dan beban keuangan yang mungkin ditimbulkan oleh insiden semacam itu pada organisasi Anda. Bisakah Anda mengambil risiko itu?
Mengatasi identitas yang salah kelola, memperbaiki paparan saat ini dan risiko di masa depan, merupakan sebuah perjalanan panjang. Meskipun tidak ada obat ajaib, mengatasi salah satu risiko keamanan terbesar dan paling kompleks di zaman kita dapat dicapai. Organisasi dapat memitigasi risiko yang terkait dengan identitas non-manusia dengan menggabungkan tindakan segera dengan strategi jangka menengah dan panjang.
Mendampingi pelanggan Fortune 500 dalam proses ini selama 7 tahun terakhir itulah yang menjadikan GitGuardian pemimpin industri dalam keamanan rahasia.
Menguasai NHI, Dimulai dari Keamanan Rahasia
Organisasi harus menerapkan pendekatan proaktif dan komprehensif terhadap keamanan JKN, dimulai dengan keamanan rahasia. Mendapatkan kendali atas NHI dimulai dengan menerapkan kemampuan keamanan rahasia yang efektif:
1. Membangun Visibilitas yang Komprehensif dan Berkelanjutan
Anda tidak dapat melindungi apa yang tidak Anda ketahui. Keamanan rahasia dimulai dengan memantau berbagai aset dalam skala besar, mulai dari repositori kode sumber hingga sistem pesan dan penyimpanan cloud. Sangat penting untuk memperluas pemantauan Anda di luar sumber internal untuk mendeteksi rahasia terkait perusahaan di area yang sangat terbuka seperti GitHub. Hanya dengan cara ini organisasi dapat mulai memahami cakupan paparan informasi sensitif mereka dan mengambil langkah untuk memperbaiki kerentanan ini.
Deteksi Rahasia GitGuardian memiliki jumlah detektor terbesar dan jangkauan aset terluas yang dipantau di pasar, termasuk semua aktivitas publik GitHub selama 5 tahun terakhir.
2. Merampingkan Remediasi
Keamanan rahasia bukanlah tugas yang dilakukan satu kali saja, namun merupakan proses yang berkelanjutan. Ini harus diintegrasikan ke dalam pengembangan perangkat lunak dan alur kerja lainnya untuk menemukan dan memperbaiki (mencabut) rahasia hardcode dan mencegah akar penyebab pelanggaran. Kemampuan remediasi yang tepat waktu dan efisien, membatasi kelelahan akibat kewaspadaan, dan menyederhanakan proses remediasi dalam skala besar sangatlah penting. Hal ini memungkinkan organisasi untuk mengatasi masalah sebelum penyerang dapat mengeksploitasinya, mengurangi risiko secara efektif dan terukur.
Platform GitGuardian menjadikan pemulihan sebagai prioritas nomor satu. Manajemen insiden terpadu, pedoman remediasi khusus, dan informasi insiden terperinci memungkinkan organisasi mengatasi ancaman penyebaran rahasia dalam skala besar.
3. Integrasikan dengan Sistem Identitas dan Rahasia
Menganalisis konteks rahasia yang bocor sangat penting untuk menentukan sensitivitas dan risiko yang terkait. Integrasi dengan manajemen identitas dan akses (IAM), sistem manajemen akses istimewa (PAM), dan Manajer Rahasia memberikan pandangan yang lebih komprehensif tentang jejak dan aktivitas NHI.
Kemitraan GitGuardian dengan CyberArk Conjur, pemimpin dalam manajemen rahasia dan keamanan identitas, merupakan yang pertama di industri. Kemitraan ini membawa keamanan rahasia ujung ke ujung ke pasar, membuka kasus penggunaan baru seperti deteksi paparan publik otomatis, penegakan kebijakan manajemen rahasia, dan rotasi otomatis setelah kebocoran.
Pergeseran Pola Pikir: Dari Perimeter ke Keamanan Rahasia
Pesatnya perkembangan identitas non-manusia telah menciptakan tantangan keamanan yang kompleks dan sering diabaikan. Langkah-langkah keamanan tradisional berbasis perimeter tidak lagi memadai di lingkungan yang terdistribusi dan berpusat pada cloud saat ini. Risiko yang terkait dengan salah urus NHI adalah nyata dan berpotensi merugikan, sebagaimana dibuktikan dengan pelanggaran tingkat tinggi yang mengakibatkan kerugian finansial dan reputasi yang signifikan.
Namun, masih ada harapan. Dengan mengalihkan fokus kami ke keamanan rahasia dan mengadopsi pendekatan komprehensif yang mencakup deteksi yang kuat, remediasi otomatis, dan integrasi dengan sistem identitas, organisasi dapat secara signifikan mengurangi permukaan serangan dan meningkatkan postur keamanan mereka secara keseluruhan.
Hal ini mungkin tampak menakutkan, namun ini merupakan evolusi penting dalam pendekatan kita terhadap keamanan siber. Saatnya untuk bertindak sekarang—pertanyaannya adalah, apakah kamu siap untuk mengambilnya kendali keamanan rahasia Anda? Mulailah hari ini dengan GitGuardian.