Di organisasi mana pun, ada akun tertentu yang ditetapkan sebagai hak istimewa. Akun istimewa ini berbeda dari akun pengguna standar karena mereka memiliki izin untuk melakukan tindakan yang melampaui apa yang dapat dilakukan pengguna standar. Tindakan bervariasi berdasarkan sifat akun tetapi dapat mencakup apa saja mulai dari menyiapkan akun pengguna baru hingga mematikan sistem yang sangat penting.
Akun istimewa adalah alat penting. Tanpa akun ini, staf TI tidak akan dapat melakukan tugasnya. Pada saat yang sama, akun dengan hak istimewa dapat menimbulkan ancaman serius bagi keamanan organisasi.
Risiko tambahan dari akun istimewa
Bayangkan sejenak seorang hacker berhasil mencuri password pengguna standar dan bisa login sebagai pengguna tersebut. Meskipun peretas akan memiliki akses ke sumber daya tertentu pada saat itu, mereka akan dibatasi oleh hak istimewa pengguna (atau kekurangannya). Dengan kata lain, peretas akan dapat menjelajahi Internet, membuka beberapa aplikasi, dan mengakses email pengguna, tetapi hanya itu saja.
Jelas, akun pengguna yang disusupi adalah masalah besar, tetapi ada batasan untuk apa yang dapat dilakukan peretas menggunakan akun itu. Namun, hal yang sama tidak dapat dikatakan tentang situasi di mana seorang peretas memperoleh akses ke akun istimewa. Seorang peretas dengan akses ke akun istimewa mengontrol sumber daya TI korban.
Ini menghadirkan sedikit kebingungan bagi mereka yang ditugaskan untuk menjaga keamanan sumber daya TI organisasi. Di satu sisi, akun istimewa diperlukan untuk melakukan tugas administratif sehari-hari. Di sisi lain, akun yang sama tersebut mewakili ancaman eksistensial terhadap keamanan organisasi.
Membersihkan organisasi Anda dari akun istimewa
Salah satu cara organisasi bekerja untuk meniadakan bahaya yang terkait dengan akun istimewa adalah melalui penerapan keamanan tanpa kepercayaan. Keamanan tanpa kepercayaan adalah filosofi yang pada dasarnya menyatakan bahwa tidak ada apa pun di jaringan yang harus dipercaya kecuali terbukti dapat dipercaya.
Filosofi ini juga sejalan dengan filosofi TI lain yang disebut Least User Access (LUA). LUA mengacu pada gagasan bahwa pengguna hanya boleh memiliki hak istimewa minimum yang diperlukan bagi mereka untuk melakukan pekerjaan mereka. Filosofi yang sama ini juga berlaku untuk profesional TI.
Kontrol Akses Berbasis Peran sering digunakan untuk membatasi akun istimewa agar dapat melakukan satu fungsi istimewa yang sangat spesifik daripada memiliki akses penuh tak terbatas ke seluruh organisasi.
Opsi manajemen akses istimewa
Cara lain organisasi membatasi akun istimewa adalah dengan mengadopsi solusi Manajemen Akses Istimewa. Manajemen Akses Istimewa, atau PAM seperti yang sering disebut, dirancang untuk mencegah akun istimewa dieksploitasi oleh penjahat dunia maya.
Ada beberapa vendor teknologi berbeda yang menawarkan solusi PAM, dan semuanya bekerja sedikit berbeda. Namun, sering kali, akun yang biasanya memiliki hak istimewa dibatasi sedemikian rupa sehingga menyebabkan akun tersebut berperilaku seperti akun pengguna standar. Jika administrator perlu melakukan operasi dengan hak istimewa (tugas yang memerlukan hak istimewa yang lebih tinggi), admin harus meminta hak istimewa tersebut dari sistem PAM. Setelah melakukannya, akses istimewa diberikan, tetapi untuk waktu yang sangat terbatas dan akses hanya cukup untuk melakukan tugas yang diminta.
Meskipun PAM membatasi akun yang diistimewakan dengan cara yang mengurangi kemungkinan akun tersebut disalahgunakan, tetap penting untuk melindungi akun yang diistimewakan agar tidak disusupi.
Membawa lapisan keamanan tambahan
Baik Anda menerapkan zero-trust atau mengurangi kemungkinan penyalahgunaan untuk akun yang diistimewakan, helpdesk Anda adalah titik akhir berisiko yang membutuhkan lapisan keamanan tambahan. Salah satu cara untuk melakukan ini adalah dengan mengadopsi Specops Secure Service Desk, yang dirancang untuk mencegah peretas menghubungi meja layanan dan meminta pengaturan ulang kata sandi pada akun istimewa (atau akun lainnya) sebagai cara untuk mendapatkan akses ke akun itu.
Secure Service Desk memungkinkan pengguna untuk mengatur ulang kata sandi mereka sendiri, tetapi jika seseorang menghubungi meja bantuan untuk mengatur ulang kata sandi, perangkat lunak Secure Service Desk akan meminta identitas pemanggil untuk dibuktikan secara definitif sebelum pengaturan ulang kata sandi diizinkan. Bahkan, teknisi helpdesk tidak bisa mereset password pemanggil sampai proses verifikasi identitas selesai.
Proses ini melibatkan teknisi helpdesk yang mengirimkan kode satu kali ke perangkat seluler yang terkait dengan akun. Ketika penelepon menerima kode ini, mereka membacanya kembali ke teknisi helpdesk, yang memasukkannya ke dalam sistem. Jika kodenya benar, maka teknisi diberikan kemampuan untuk mereset password akun.
Perlu juga dicatat bahwa Specops Secure Service Desk selaras sempurna dengan inisiatif nol kepercayaan karena penelepon helpdesk yang meminta pengaturan ulang kata sandi diperlakukan sebagai tidak dipercaya sampai identitas mereka dikonfirmasi. Anda dapat menguji Specops Secure Service Desk secara gratis di Active Directory Anda di sini.