Meskipun kampanye kesadaran publik telah dilakukan selama bertahun-tahun, pelanggaran tingkat tinggi yang berulang kali terjadi, dan pengawasan peraturan yang terus-menerus, penggunaan kata sandi yang lemah dan mudah ditebak seperti “admin” dan “123456” masih terus terjadi di Inggris. Masalah ini merupakan simbol dari permasalahan yang lebih mendalam dan sistemik di negara ini keamanan siber sikap.
Namun, hal ini bukanlah kegagalan dalam hal kesadaran atau pendidikan, namun kegagalan dalam pengelolaan kredensial, penguatan budaya, dan penegakan kebijakan di tingkat organisasi.
CEO dan Salah Satu Pendiri Keeper Security.
Pada awal bulan Desember, Pusat Keamanan Siber Nasional (NCSC) menerbitkan panduan terbaru tentang manajemen kredensial. Secara khusus, panduan ini “menganjurkan ketergantungan yang lebih besar pada pertahanan teknis dan proses organisasi, dengan kata sandi hanya merupakan satu bagian dari kontrol akses dan pendekatan manajemen identitas Anda yang lebih luas.”
Hal ini menunjukkan pergeseran dari model keamanan yang berpusat pada pengguna dan memberikan tanggung jawab pada organisasi untuk mengamankan kredensial pengguna dan, pada akhirnya, sistem yang diandalkan oleh organisasi untuk beroperasi.
Di antara saran yang digariskan oleh pemerintah Inggris adalah seruan yang jelas untuk mengurangi ketergantungan pada kata sandi, membantu pengguna mengatasi kelebihan kata sandi, dan mengelola akses bersama. Tantangan bagi Inggris keamanan Para pemimpin tidak lagi memikirkan apakah panduan ini tepat, namun bagaimana menerapkannya secara efektif di seluruh organisasi mereka.
Mengapa bimbingan itu penting dan perlu
Panduan terbaru NNCSC merupakan langkah maju yang penting karena panduan ini mengubah pengelolaan kata sandi bukan sebagai beban pengguna, namun sebagai kontrol keamanan yang harus diotomatisasi, terpusat, dan dilindungi sesuai desain.
Penelitian terbaru menunjukkan bahwa hampir satu dari lima organisasi masih beroperasi tanpa kontrol kredensial formal dan bergantung pada kontrol bersama spreadsheetkata sandi yang dikodekan secara keras atau tidak ada sistem manajemen sama sekali. Dengan latar belakang ini, tidak mengherankan jika kata sandi yang lemah masih tersebar luas baik di lingkungan konsumen maupun perusahaan.
Masalah kelebihan kata sandi
Kelebihan kata sandi adalah gejala masyarakat digital kita. Penelitian menunjukkan rata-rata orang memiliki sekitar 250 akun, dengan 168 kata sandi untuk akun pribadi dan 87 kata sandi untuk akun bisnis.
Ada risiko, seperti yang diungkapkan NCSC, bahwa persyaratan untuk membuat kata sandi dalam jumlah besar dapat mengakibatkan ‘kelebihan kata sandi’ dan memaksa pengguna akhir untuk merancang mekanisme penanggulangannya sendiri, seperti penggunaan kembali kata sandi, menuliskan kata sandi, dan kata sandi yang dapat diprediksi.
Mekanisme penanggulangan lain yang mungkin diandalkan oleh sebagian pengguna adalah penggunaan perambanpengelola kata sandi berbasis.
Meskipun pengelola kata sandi berbasis browser menawarkan kemudahan, namun mereka tidak pernah dirancang untuk mendukung kontrol akses atau persyaratan tata kelola tingkat perusahaan. Mereka juga menimbulkan risiko operasional melalui visibilitas yang terbatas, penegakan kebijakan yang tidak konsisten, dan penguncian vendor.
Bagi individu, pengelola kata sandi pihak ketiga yang bereputasi baik tetap menjadi salah satu perlindungan paling sederhana – mendukung kredensial yang kuat dan unik sekaligus mengurangi ketergantungan pada memori. Namun, pada tingkat organisasi, pengelolaan kata sandi harus diatur dan ditegakkan sebagai bagian dari strategi identitas yang lebih luas.
Hal ini memenuhi kehati-hatian pemerintah terhadap ‘kelebihan kata sandi’ dan, pada akhirnya, membuat seluruh organisasi lebih aman, dengan biaya atau gangguan minimal.
Mengurangi ketergantungan pada kata sandi
Kata sandi tidak mungkin hilang dalam semalam – namun perannya semakin berkurang seiring dengan semakin banyaknya penyerang yang mengeksploitasinya dalam skala besar.
Permasalahan seputar kata sandi tetap sama, namun cara kredensial disusupi dan dieksploitasi berubah dengan cepat. AI-percepatan cracking, pengisian kredensial, dan phishing terus menurunkan hambatan untuk berkompromi, sementara praktik organisasi yang tidak konsisten terus memberikan titik masuk yang mudah.
Maraknya kunci sandi dan tanpa kata sandi otentikasi mencerminkan peralihan industri ke arah kontrol yang lebih kuat dan terintegrasi yang menghilangkan ketergantungan pada perilaku manusia pada saat kredensial masih menjadi target utama penyerang.
Akses bersama terkelola
Bagi organisasi di Inggris, mengelola akses bersama melalui Privileged Access Management (PAM) sangat penting untuk mengurangi risiko di lingkungan TI yang semakin kompleks. Bagi dewan direksi dan tim eksekutif, akses istimewa yang tidak dikelola menunjukkan paparan keamanan dan kegagalan tata kelola.
Di Inggris, risiko ini semakin diperparah oleh ekspektasi peraturan seputar akuntabilitas, auditabilitas, dan ketahanan operasional. Akun bersama dan akun dengan hak istimewa tetap menjadi target utama penyerang, terutama jika kredensial digunakan kembali, tidak dipantau dengan baik, atau dikelola secara manual di seluruh tim.
PAM membantu mengatasi hal ini dengan menerapkan akses dengan hak paling rendah, menyimpan dan merotasi kredensial bersama secara aman, serta memberikan visibilitas dan kemampuan audit yang jelas mengenai siapa yang mengakses apa, kapan, dan mengapa.
Jika terjadi pelanggaran, solusi PAM dapat secara signifikan membatasi pergerakan lateral dengan membatasi hak istimewa yang tidak perlu dan mengisolasi akun berisiko tinggi, sehingga membantu organisasi mengatasi insiden dengan lebih cepat.
Selain keamanan, PAM juga memberikan manfaat operasional yang nyata, termasuk berkurangnya insiden terkait kredensial, perlindungan data sensitif yang lebih kuat, dan efisiensi TI yang lebih rendah. meja bantuan beban, menjadikannya sebagai kendali dasar bagi organisasi-organisasi di Inggris dalam menghadapi tekanan peraturan dan lanskap ancaman yang terus berkembang.
Identitas sebagai perimeter baru
Bagi organisasi, prioritas utama adalah perawatan identitas sebagai perimeter baru dan menerapkan manajemen siklus hidup kredensial end-to-end.
Hal ini berarti mengamankan setiap tahapan identitas digital pengguna, mulai dari orientasi dan penyediaan akses hingga autentikasi berkelanjutan, perubahan hak istimewa, dan pencabutan akses tepat waktu ketika peran berubah atau karyawan keluar.
Dengan mengelola kredensial secara holistik, bukan secara terpisah, organisasi dapat mengurangi permukaan serangan, membatasi pergerakan lateral, dan memastikan bahwa akses terus selaras dengan kebutuhan bisnis nyata.
Dalam lingkungan di mana pengguna, perangkat, dan aplikasi beroperasi jauh melampaui batas-batas jaringan tradisional, tata kelola identitas yang kuat menjadi landasan keamanan yang efektif.
Kata sandi yang lemah bukanlah suatu keniscayaan. Hal ini disebabkan oleh pengendalian yang tidak memadai, penegakan kebijakan yang tidak konsisten, dan perilaku yang ketinggalan jaman.
Dengan pengelolaan kata sandi yang kuat, pengawasan akses istimewa yang kuat, dan pola pikir zero-trust, organisasi dapat mengurangi paparan mereka secara signifikan dan, dengan melakukan hal tersebut, melemahkan salah satu vektor serangan yang paling banyak dieksploitasi yang dihadapi bisnis di Inggris saat ini.
Kami telah menampilkan browser pribadi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
