“Ini Akun Layanan, Bodoh”: Mengapa Penyelesaian Penerapan PAM (hampir) Selamanya?

Solusi Manajemen Akses Istimewa (PAM) dianggap sebagai praktik umum untuk mencegah ancaman identitas terhadap akun administratif. Secara teori, konsep PAM sangat masuk akal: menempatkan kredensial admin di brankas, merotasi kata sandi mereka, dan memantau sesi mereka dengan cermat. Namun, kenyataan pahitnya adalah sebagian besar proyek PAM akan menjadi proyek yang memakan waktu bertahun-tahun, atau bahkan terhenti sama sekali, sehingga menghambat proyek tersebut untuk memberikan nilai keamanan yang dijanjikan.

Pada artikel ini, kita mengeksplorasi apa yang membuatnya akun layanan merupakan kendala utama dalam orientasi PAM. Kita akan mempelajari mengapa penyimpanan dan rotasi kata sandi pada akun layanan merupakan tugas yang hampir mustahil, sehingga menyebabkan akun tersebut rentan terhadap kompromi. Kami kemudian akan menyimpulkan dengan memperkenalkan bagaimana Silverfort memungkinkan tim identitas, untuk pertama kalinya, mengatasi tantangan ini dengan penemuan otomatis, pemantauan, dan perlindungan akun layanan, dan menyederhanakan proses orientasi PAM hanya dalam beberapa minggu.

Janji PAM: Perlindungan Bagi Seluruh Pengguna Administratif

Konsep PAM sangat sederhana. Karena musuh berusaha untuk mengkompromikan kredensial admin untuk menggunakannya untuk akses jahat, hal yang wajar untuk dilakukan adalah menempatkan rintangan dalam upaya mereka untuk berhasil dalam melakukan kompromi ini. PAM menyediakan lapisan keamanan tambahan yang mencakup pemantauan ketat koneksi admin melalui perekaman sesi, dan yang lebih penting, lapisan pencegahan proaktif dalam bentuk penyimpanan kredensial admin dan melakukan rotasi kata sandi secara berkala. Hal ini sangat mengurangi risiko keberhasilan serangan, karena bahkan jika musuh berhasil mengkompromikan kredensial admin, rotasi kata sandi akan menjadikannya tidak valid pada saat ia mencoba menggunakannya untuk mengakses sumber daya yang ditargetkan.

Jadi secara teori, semuanya baik-baik saja.

Membuat kebijakan MFA yang mudah diterapkan untuk semua akun istimewa Anda adalah satu-satunya cara untuk memastikan kebijakan tersebut tidak disusupi. Tanpa memerlukan penyesuaian atau ketergantungan segmentasi jaringan, Anda dapat aktif dan berjalan dalam hitungan menit dengan Silverfort. Temukan cara melindungi akun istimewa Anda dari penyusupan dengan cepat dan lancar dengan kebijakan akses adaptif yang menerapkan perlindungan MFA pada semua sumber daya lokal dan cloud saat ini.

Realitas PAM: Proses Orientasi yang Panjang dan Kompleks yang Dapat Membutuhkan Waktu Bertahun-tahun untuk Menyelesaikannya

Namun, apa yang ditemui tim identitas dan keamanan dalam praktiknya adalah hal tersebut penerapan solusi PAM adalah salah satu proses yang paling menghabiskan sumber daya. Faktanya adalah sangat sedikit proyek PAM yang berhasil mencapai target melindungi seluruh rekening administratif dalam lingkungan. Yang biasanya terjadi adalah tantangan muncul cepat atau lambat, dan tidak ada solusi yang mudah. Tantangan-tantangan ini hanya akan memperlambat proses orientasi, sehingga memakan waktu berbulan-bulan atau bahkan bertahun-tahun. Yang terburuk, mereka menghentikan keseluruhan proyek. Dengan begitu, implikasinya sangat buruk. Selain investasi waktu dan upaya yang besar, tujuan inti PAM tidak tercapai, dan akun admin tidak mendapatkan perlindungan yang diperlukan.

Meskipun terdapat berbagai alasan yang menyebabkan kesulitan dalam penerapan PAM, alasan yang paling menonjol adalah mengenai perlindungan akun layanan.

Rekap Akun Layanan: Akun Istimewa untuk Koneksi Mesin-ke-Mesin

Akun layanan adalah akun pengguna yang dibuat untuk komunikasi mesin-ke-mesin. Mereka diciptakan dalam dua cara utama. Yang pertama adalah personel TI yang menciptakannya untuk mengotomatiskan tugas pemantauan, kebersihan, dan pemeliharaan yang berulang, alih-alih melakukannya secara manual. Cara kedua adalah sebagai bagian dari penerapan produk perangkat lunak di lingkungan perusahaan. Misalnya, penerapan server Outlook Exchange memerlukan pembuatan berbagai akun yang melakukan pemindaian, pembaruan perangkat lunak, dan tugas lain yang melibatkan koneksi antara server Exchange dan mesin lain di lingkungan.

Dengan cara itu atau yang lain, akun layanan pada umumnya harus memiliki hak istimewa yang tinggi agar dapat membuat koneksi mesin-ke-mesin yang menjadi tujuan pembuatan akun tersebut. Artinya, perlindungan yang diperlukannya tidak berbeda dengan akun admin manusia mana pun. Sayangnya, memasukkan akun layanan ke solusi PAM adalah tugas yang hampir mustahilmenjadikannya hambatan terbesar dalam keberhasilan penerapan PAM.

Kesenjangan Visibilitas: Tidak Ada Cara Mudah untuk Menemukan Akun Layanan atau Memetakan Aktivitasnya

Kebetulan tidak ada cara mudah untuk mendapatkan visibilitas ke dalam inventaris akun layanan. Faktanya, di sebagian besar lingkungan, Anda tidak dapat mengetahui jumlah lengkap akun layanan kecuali pemantauan ketat dan dokumentasi pembuatan, penetapan, dan penghapusan akun layanan dilakukan selama bertahun-tahun – yang mana hal ini bukanlah praktik umum bagi kami. Artinya, penemuan penuh atas semua akun layanan di suatu lingkungan hanya dapat dicapai dengan upaya penemuan manual yang signifikan, yang tidak dapat dijangkau oleh sebagian besar tim identitas.

Terlebih lagi, meskipun tantangan penemuan telah teratasi, masih ada tantangan lain tantangan yang lebih berat yang masih belum terselesaikan, yaitu memetakan tujuan setiap akun dan ketergantungan yang diakibatkannya, yaitu proses atau aplikasi yang didukung dan dikelola akun ini. Ini ternyata merupakan pemblokir PAM yang utama. Mari kita pahami mengapa demikian.

Implikasi PAM: Memutar Kata Sandi Akun Layanan Tanpa Visibilitas ke dalam Aktivitasnya dapat Mengganggu Proses yang Dikelolanya

Cara umum akun layanan terhubung ke mesin yang berbeda untuk melakukan tugasnya adalah dengan skrip yang berisi nama mesin yang akan dihubungkan, perintah sebenarnya untuk dijalankan pada mesin tersebut, dan yang paling penting – nama pengguna dan kata sandi akun layanan yang digunakan untuk mengautentikasi ke mesin ini. Bentrokan dengan orientasi PAM terjadi karena saat PAM memutar kata sandi akun layanan di dalam brankas, tidak ada cara untuk secara otomatis memperbarui kata sandi yang dikodekan dalam skrip agar sesuai dengan kata sandi baru yang telah dibuat oleh PAM. Jadi, saat skrip pertama kali dijalankan setelah rotasi, akun layanan akan mencoba mengautentikasi dengan kata sandi lama – yang tidak lagi valid. Otentikasi akan gagal, dan tugas yang seharusnya dilakukan oleh akun layanan tidak akan pernah terjadi, sehingga merusak proses atau aplikasi lain yang mengandalkan tugas ini. Efek domino dan potensi kerusakannya sudah jelas.

Tangkapan Akun Layanan PAM: Terjebak di Antara Masalah Operasional dan Keamanan

Faktanya, sebagian besar tim identitas, dengan mempertimbangkan risiko ini, akan menghindari penyimpanan akun layanan sama sekali. Dan justru itulah kebuntuannya – menyimpan akun layanan akan menimbulkan risiko operasional, sementara tidak menyimpannya akan menimbulkan risiko keamanan yang sama besarnya. Sayangnya, hingga saat ini belum ada jawaban mudah atas dilema tersebut. Inilah sebabnya mengapa akun layanan menjadi penghambat orientasi PAM. Satu-satunya cara untuk memenuhi persyaratan keamanan dan operasional adalah dengan melakukan upaya manual yang melelahkan untuk menemukan semua akun layanan, skrip yang menggunakannya, serta tugas dan aplikasi yang dijalankannya. Ini adalah misi besar dan alasan utama proses orientasi PAM memakan waktu berbulan-bulan atau bahkan bertahun-tahun.

Mengatasi Tantangan dengan Penemuan dan Pemetaan Aktivitas Akun Layanan Otomatis

Akar masalahnya adalah kurangnya utilitas yang dapat dengan mudah menyaring semua akun layanan dan menghasilkan keluaran dari aktivitas mereka. Inilah tantangan yang ingin disederhanakan dan dipecahkan oleh Silverfort.

Silverfort memelopori Platform Perlindungan Identitas Terpadu pertama yang terintegrasi dengan Direktori Aktif untuk memantau, menganalisis, dan menerapkan kebijakan akses aktif pada semua akun pengguna dan sumber daya di lingkungan AD. Dengan adanya integrasi ini, AD meneruskan setiap upaya akses yang masuk ke Silverfort untuk analisis risiko dan menunggu keputusannya apakah akan memberikan akses atau menolaknya.

Memanfaatkan visibilitas dan analisis semua autentikasi, Silverfort dapat dengan mudah mendeteksi semua akun yang menampilkan perilaku berulang dan deterministik yang menjadi ciri akun layanan. Silverfort menghasilkan daftar rinci semua akun layanan dalam lingkungan, termasuk tingkat hak istimewa, sumber, tujuan, dan volume aktivitasnya.

Dengan tersedianya informasi tersebut, tim identitas dapat dengan mudah mengidentifikasi dependensi dan aplikasi setiap akun layanan, menemukan skrip yang menjalankannya, dan membuat keputusan yang tepat mengenai akun layanan dan memilih salah satu dari yang berikut:

Dengan cara ini, Silverfort mempersingkat proses orientasi PAM menjadi hanya beberapa minggu, menjadikannya tugas yang dapat dicapai bahkan untuk lingkungan dengan ratusan akun layanan.

Apakah Anda kesulitan untuk menyelesaikan proyek PAM Anda? Pelajari lebih lanjut tentang bagaimana Silverfort dapat membantu mempercepat proyek PAM di sini.

Apakah artikel ini menarik? Ikuti kami di Twitter  dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

Source link