Pendekatan keamanan siber Anda saat ini menciptakan sistem

Verizon baru-baru ini merilis Laporan Investigasi Pelanggaran Data 2022, yang memberikan wawasan penting kepada bisnis tentang keadaan keamanan siber di seluruh dunia. Berisi analisis lebih dari 23.000 insiden dan 5.200 pelanggaran yang dikonfirmasi selama 15 tahun, Verizon mengaitkan motif nomor satu serangan siber dengan keuntungan finansial. Hampir empat dari lima pelanggaran disebabkan oleh kejahatan terorganisir yang berusaha memeras bisnis sejumlah besar ransomware, yang didukung oleh pembayaran asuransi.

Verizon juga memperkirakan bahwa telah terjadi peningkatan 13 persen dalam pelanggaran ransomware — ini lebih dari gabungan 5 tahun terakhir. Selain itu, 82 persen pelanggaran dunia maya melibatkan elemen manusia, yaitu melalui kredensial yang dicuri, phishing, penyalahgunaan, atau sekadar kesalahan.

LIHAT JUGA: Bagaimana pendekatan FIDO untuk otentikasi mengungkapkan kebingungan antara identitas dan akses

Verizon menyatakan bahwa orang terus memainkan peran yang sangat besar dalam insiden dan pelanggaran. Tahun ini, 18 persen email phishing yang diklik juga dikatakan datang langsung dari ponsel, menyorotinya sebagai kelemahan keamanan bisnis. Verizon berpendapat bahwa statistiknya menyoroti pentingnya memiliki program kesadaran keamanan yang kuat.

Sangat jelas bahwa ada kebutuhan mendesak bagi bisnis swasta dan organisasi publik untuk mengubah pendekatan keamanan siber mereka. Meningkatkan kesadaran keamanan itu baik, tetapi secara langsung mengatasi masalah yang telah berlangsung tanpa perlawanan selama hampir dua dekade lebih baik.

Cacat sistemik dalam proses akses

Ada kepercayaan luas di komunitas dan media keamanan siber bahwa masalah keamanan siber utama adalah manusia. Ini didukung oleh penelitian seperti Laporan Investigasi Pelanggaran Data terbaru Verizon, yang menemukan lebih dari 80 persen serangan siber dan pelanggaran jaringan ditelusuri kembali ke kesalahan manusia atas kredensial, khususnya pencurian dan penyalahgunaan kredensial.

Namun, tuduhan itu salah tempat. Bayangkan jika ada persimpangan jalan di mana lebih dari 80 persen kecelakaan terjadi dan orang-orang mulai menyalahkan pengemudi, menyarankan agar mereka dilatih mengemudi dengan lebih baik. Yang perlu diubah adalah desain persimpangannya, bukan orangnya.

Penggunaan sistematis kata sandi yang lemah dan digunakan kembali

Dalam semua pelanggaran, manusia selalu dituduh menggunakan kata sandi yang lemah atau digunakan kembali. Masalah ini sebenarnya bukan kesalahan individu. Pertama-tama, tidak mungkin mengingat ratusan kata sandi acak seperti 9f64q3tfAT$Q£532W persen. Orang seharusnya tidak pernah berada dalam situasi ini sejak awal. Tetapi karena tidak punya pilihan di dunia digital, mereka harus menggunakan kata sandi, kalimat, atau pola yang mudah diingat seperti 123456 agar prosesnya berhasil bagi mereka.

Pelanggaran sistemik terhadap undang-undang privasi data

Kata sandi yang lemah dan digunakan kembali bukanlah penyebab utama pelanggaran. Masalah terbesar yang dihadapi perusahaan terjadi ketika mereka mengizinkan karyawan membuat kata sandi mereka sendiri. Ketika ini terjadi, perusahaan telah kehilangan kendali atas kunci mereka, oleh karena itu data dan jaringan mereka. Jika itu “bukan kunci Anda”, itu bukan “data Anda”. Itu berarti perusahaan tidak dapat mematuhi undang-undang privasi data, yang dapat menjelaskan mengapa pelanggaran data sangat umum akhir-akhir ini.

Pembongkaran ketahanan secara sistemik

Selain kehilangan kendali atas akses mereka, Dalam upaya untuk mengurangi jumlah kata sandi yang harus diingat, organisasi telah mengadopsi akses tunggal (Single Sign On, Identity Access Management, Privileged Access Management), tanpa disadari ini secara otomatis menghapus lapisan dan rintangan untuk penjahat, mengurangi jumlah langkah yang diperlukan begitu mereka masuk ke dalam jaringan mereka. Setelah menciptakan jalur emas bagi penjahat untuk mendapatkan akses, memindai, dan menemukan hak istimewa yang diperlukan untuk mengunci seluruh jaringan, mereka mengurangi 94,34 persen. keseluruhan waktu yang dibutuhkan antara akses awal ke ransomware — dari lebih dari dua bulan menjadi 3,85 hari antara 2019 dan 2021. Dalam proses yang sama, mereka telah memperburuk potensi efek negatif dari pelanggaran data apa pun dengan meletakkan semua data mereka di keranjang yang sama yang dapat diakses dari admin atau akun istimewa.

Lebih banyak alat atau pelatihan keamanan siber tidak akan menyelesaikan masalah

Tanpa memecahkan kesenjangan keamanan akses mereka, meningkatkan anggaran untuk alat atau pelatihan keamanan siber tidak akan menghentikan pelanggaran atau ransomware. Sama seperti memasukkan lebih banyak gadget ke dalam mobil dan memberikan lebih banyak pelajaran mengemudi tidak akan menghentikan kecelakaan di jalan jika infrastrukturnya dibangun dengan berbahaya. Tidak perlu melatih orang tentang kebersihan kata sandi ketika mereka seharusnya tidak membuat dan mengetahui kata sandi perusahaan sejak awal. Tidak perlu melatih orang tentang phishing ketika mereka tidak dapat memberikan kata sandi yang tidak mereka ketahui. Tidak perlu mencabut seluruh infrastruktur TI ketika Anda mencurigai adanya pelanggaran, ketika setiap sistem memiliki kata sandi yang berbeda dan tidak ada akses tunggal untuk mengunci atau mencuri semuanya.

Pergeseran mentalitas

Selama beberapa tahun terakhir, jumlah serangan siber telah meningkat seiring dengan meningkatnya anggaran keamanan siber, tanpa banyak orang bertanya mengapa. Meskipun lebih dari 80 persen pelanggaran terkait dengan kredensial berbasis manusia, sebagian besar anggaran keamanan siber dihabiskan untuk infrastruktur dan kerentanan sistem, yang sebagian besar tetap tidak terdeteksi. Tapi sekarang, risiko besar limpahan ke dunia fisik telah mendorong orang untuk menuntut perubahan dalam cara keamanan siber dilakukan. Sebagai contoh, Direktur Siber Nasional AS Chris Inglis baru-baru ini meminta pemerintah dan lembaga federal untuk mengubah cara mereka mendekati dan berinvestasi dalam keamanan siber, karena upaya sebelumnya jelas “tidak berhasil”.

Mengapa orang tidak boleh membuat kata sandi mereka sejak awal

Menginvestasikan miliaran dolar dalam keamanan siber tidak akan berpengaruh kecuali Anda dapat mengamankan pintu Anda. Dan itu dimulai dengan tidak membiarkan karyawan mereka mengontrol kredensial akses ke infrastruktur dan aset perusahaan. Saat orang lain membuat kunci digital untuk seluruh organisasi Anda, Anda kehilangan visibilitas dan kontrol atas apa yang terjadi pada mereka.

Sungguh, kata sandi hanyalah kunci

Untuk dapat memperoleh kembali kendali atas kata sandi mereka, perusahaan perlu memperlakukan kata sandi apa adanya: kunci. Sama seperti seorang karyawan baru memulai pekerjaan baru dan menerima kunci gedung dan kantor, dia menerima kunci digital saat memulai pekerjaan baru, bukan membuatnya sendiri.

Satu-satunya perbedaan antara kunci fisik dan digital adalah tidak adanya hambatan fisik di dunia digital. Untuk mencuri kunci fisik, Anda harus berada di dekat kunci. Kunci digital atau kata sandi dapat dicuri dari mana saja di dunia.

Enkripsi kunci Anda agar tidak dicuri

Dengan tidak adanya hambatan fisik terhadap pencurian kredensial, tindakan paling efektif untuk melindungi kunci adalah dengan menggunakan metode untuk melindungi rahasia: kriptografi. Perusahaan cukup mengenkripsi akses mereka dan mendistribusikan kredensial ke semua sistem kepada pengguna mereka di dalam tempat yang aman yang hanya dapat diakses oleh setiap pengguna. Logika ini memecahkan lebih dari 80 persen pelanggaran.

Kredit gambar: ArtemisDiana / depositphotos

Julia O’Toole adalah CEO dan Pendiri MyCena.

Perangkat Lunak