Saatnya Membuang Akun Kakak untuk Pemindaian Jaringan

Di hampir setiap jaringan, ada akun layanan istimewa yang terhubung dari jarak jauh ke semua komputer. Akun ini biasanya digunakan oleh solusi pencadangan, keamanan, atau pemantauan. Tetapi menggunakan akun tersebut untuk login jarak jauh ke sistem di jaringan menimbulkan risiko yang tidak perlu — ini adalah praktik yang buruk, dan penyerang yang dapat dihindari.

An dapat dengan mudah memanfaatkan akun istimewa ini, sebagai berikut.

Pertama, penyerang memperoleh akses ke komputer dalam jaringan. Ini dapat dilakukan dengan mengeksploitasi kerentanan, phishing, serangan rantai pasokan, dan banyak teknik lainnya. Kemudian penyerang menunggu akun layanan terhubung ke komputer yang disusupi. Ketika ini terjadi, penyerang mencuri kredensial akun layanan, dan dengan demikian memperoleh hak administrator domain. Mulai saat ini, menjadi sangat sulit untuk menghentikan penyerang dari pengambilalihan domain lengkap.

Penting untuk dicatat bahwa skenario ini tidak teoretis. Vektor serangan ini sangat umum, karena sangat mudah untuk dieksekusi.

Banyak organisasi menyadari ancaman ini, namun mereka terus mempertahankan akun layanan yang sangat istimewa ini. Bahkan perusahaan yang telah diserang dengan cara ini akan terus menggunakan akun layanan ini. Itu karena vendor pencadangan, pemantauan, dan keamanan tidak memberi mereka pilihan – mengklaim bahwa itulah satu-satunya cara solusi mereka bekerja.

Tetapi ada alternatif lain. Alternatif yang paling mudah adalah meminta agen di setiap komputer menghubungi server untuk mendapatkan instruksi, daripada mengizinkan server untuk terhubung ke setiap komputer.

Selain itu, instruksi yang diterima dari server harus dibatasi untuk tujuan agen. Misalnya:

<

ul>

  • Agen pencadangan harus dapat mengirim file terenkripsi, tetapi tidak dapat melakukan enkripsi itu sendiri;liu

    <

    ul>i Agen pemantau harus dapat mengirim penggunaan CPU komputer, tetapi tidak menginstal perangkat lunak di komputer; liu

      iA agen pembaruan perangkat lunak harus dapat menginstal perangkat lunak di komputer, tetapi hanya perangkat lunak yang ditandatangani oleh organisasi atau vendor tepercaya.

    Dengan cara ini, penyerang yang mengkompromikan server hanya akan dapat melakukan tindakan tertentu di jaringan daripada memiliki akses penuh, dan penyerang yang menyusupi komputer di jaringan tidak akan dapat mencuri kredensial server untuk bergerak secara lateral.

    Pendekatan ini berhasil. Ini sudah digunakan oleh banyak solusi berbasis cloud karena mereka secara inheren tidak memiliki akses ke lingkungan lokal. Karena “keterbatasan” ini, mereka dipaksa untuk menemukan cara yang lebih aman untuk mengelola perangkat dari jarak jauh.

    Cara Menghilangkan Efek Kakak

    Begitupun kita membutuhkan kemampuan pencadangan, keamanan, dan pemantauan, inilah saatnya untuk menghilangkan domain yang terlalu diistimewakan akun layanan. Berikut adalah beberapa praktik terbaik untuk mewujudkannya:

      Saat menilai suatu produk, tinjau secara menyeluruh izin yang digunakannya, dan apakah itu diperlukan;

      Juga tinjau bagaimana izin digunakan;

      Berikan preferensi pada solusi yang menarik konfigurasi dari lokasi pusat daripada solusi yang terhubung dari jarak jauh ke komputer untuk mengonfigurasinya;

      Batasi akun layanan ke akses minimum yang mereka perlukan untuk menjalankan peran mereka. Ini termasuk membatasi akses mereka ke alamat IP dan host tertentu. Jika mereka memerlukan akses ke semua komputer, batasi akses mereka hanya ke antarmuka yang relevan;

      Monitor akun layanan istimewa untuk setiap penyimpangan dari perilaku resmi mereka.

    Dengan mengatakan tidak untuk memberikan hak istimewa admin domain di tempat yang tidak diperlukan, organisasi dapat menutup dan celah keamanan berbahaya di permukaan serangan mereka.

    Yaron Kassner adalah CTO dan salah satu pendiri Silverfort.

    Nikmati wawasan tambahan dari komunitas Infosec Insider Threatpost dengan mengunjungi microsite kami.
    Tulis komentar
    Bagikan artikel ini:

  • InfoSec Insiderliu

    <

    ul>iVulnerabilities