Seorang penyerang tidak lagi membutuhkan kata sandi Anda. Mereka bahkan tidak perlu meretas MFA Anda. Mereka hanya perlu menguasai sesi Anda. Dan begitu mereka mendapatkannya, mereka sudah menjadi Anda.
Organisasi telah fokus pada pengamanan akses selama dua dekade, awalnya mengandalkan kata sandi. Ketika kata sandi terbukti lemah dan tidak cukup, otentikasi multi-faktor (MFA) muncul sebagai standar baru. Itu adalah peningkatan yang signifikan, menambahkan lapisan keamanan tambahan untuk memverifikasi pengguna. Namun, seiring dengan semakin bergantungnya organisasi pada identitas digital untuk memungkinkan akses, melindungi otentikasi saja tidak lagi cukup. Penyerang telah beradaptasi, mengalihkan fokus mereka melampaui keamanan login.
Mereka tidak lagi hanya mencuri kata sandi atau menghindari MFA. Sebaliknya, mereka sedang mencari cara untuk menghindari kontrol ini sama sekali.
Identitas: Perimeter Terakhir?
Selama bertahun-tahun, organisasi membangun keamanan di sekitar perlindungan perimeter yang terdefinisi dengan baik. Tetapi dengan adopsi cloud, pekerjaan jarak jauh, dan serangan yang semakin canggih, perimeter tradisional telah menghilang. Jaringan atau endpoint tidak lagi menjadi titik kontrol utama—identitaslah yang menjadi titik kontrol utama. Begitu seorang penyerang menguasai identitas yang sah, mereka dapat bergerak tanpa terdeteksi melalui lingkungan.
Jadi, banyak yang sekarang menyebut identitas sebagai perimeter keamanan baru. Tetapi, benarkah itu?
Memikirkan Kembali Identitas sebagai Perimeter Keamanan
Perimeter keamanan mengimplikasikan batas yang terdefinisi di mana langkah-langkah keamanan dimulai dan berakhir. Namun identitas tidak bekerja seperti itu. Menganggap identitas sebagai pendekatan keamanan satu lapis adalah keliru. Melihat kembali, Anda akan menyadari bahwa kita (pembela keamanan siber) telah melakukan kesalahan ini sebelumnya baik untuk kontrol jaringan maupun endpoint. Menyadari bahwa kita perlu memperkenalkan pola pikir pasca-penyusupan, kami menambahkan praktik deteksi dan respons, mengetahui bahwa tidak ada satu kontrol pun yang dapat menjaga para penjahat tetap menjauh.
Awalnya, firewall mengandalkan konsep masuk/keluar dan “tembok yang tidak dapat ditembus”, tetapi pendekatan ini akhirnya dibongkar. Demikian pula, solusi antivirus tradisional bergerak melampaui gagasan “pencegahan 100%” pada endpoint. Keamanan identitas harus mengikuti evolusi ini, beralih dari kontrol berbasis perimeter yang statis ke perlindungan pertahanan mendalam yang terus-menerus dan adaptif.
Dan… penyerang modern telah beradaptasi.
Alih-alih mencoba mencuri kredensial, mereka membajak sesi yang sudah terautentikasi. Alih-alih meretas MFA, mereka mengeksploitasi mekanisme otentikasi berbasis token. Tujuannya sederhana: bertindak sebagai pengguna sah tanpa memicu peringatan.
Pada kenyataannya, identitas meluas jauh melampaui satu perimeter—itu adalah jaringan yang saling terhubung dari otentikasi, otorisasi, dan kontrol akses yang membutuhkan perlindungan berkelanjutan.
Menghindari Otentikasi: Taktik Serangan di Dunia Nyata
Pembajakan sesi tidak lagi hanya tentang mencuri cookie dari browser web. Seiring dengan penyesuaian penyerang terhadap langkah-langkah otentikasi yang lebih kuat seperti MFA, mereka semakin menargetkan mekanisme otentikasi berbasis sesi di berbagai lingkungan, termasuk API, komunikasi mesin-ke-mesin (M2M), dan akses berbasis OAuth.
Teknik seperti MITRE ATT&CK T1539 (Mencuri Cookie Sesi Web) dan T1528 (Mencuri Token Akses Aplikasi) menyoroti bagaimana penyerang mengekstraksi bahan otentikasi untuk menyamar sebagai pengguna. Ancaman ini tidak hanya terbatas pada pengguna yang memiliki hak istimewa—itu meluas ke pengguna tenaga kerja dengan hak istimewa yang lebih tinggi yang mengakses aplikasi berisiko tinggi atau melakukan kegiatan penting.
Beberapa pelanggaran dunia nyata menyoroti teknik yang berkembang ini:
- Pelanggaran Okta (2023): Penyerang mengkompromikan sistem dukungan pihak ketiga dan mencuri token sesi, memungkinkan mereka untuk menyamar sebagai pengguna tanpa perlu kredensial atau MFA.
- Serangan MGM Resorts (2023): Rekayasa sosial mengarah pada pijakan awal, tetapi ketekunan datang dari pembajakan mekanisme otentikasi—kemungkinan melalui cookie sesi yang dicuri.
- Serangan Lapsus$ (2022): Kelompok ini menggunakan teknik seperti mencuri token sesi dan rekayasa sosial pada tim dukungan untuk mengambil alih akun, sepenuhnya melewati perlindungan MFA.
Panduan Serangan: Bagaimana Penyerang Membajak Sesi
Memahami bagaimana penyerang membajak sesi sangat penting untuk meningkatkan langkah-langkah keamanan. Langkah-langkah berikut menggambarkan proses tipikal yang diikuti penyerang untuk melewati kontrol otentikasi, mendapatkan akses yang tidak sah, dan meningkatkan hak istimewa mereka dalam suatu sistem:
- Akses awal: Penyerang mendapatkan akses ke endpoint pengguna melalui phishing, malware, atau mengeksploitasi kerentanannya. Mereka mungkin menggunakan infostealer untuk mengambil cookie sesi yang disimpan di browser atau menerapkan malware untuk mengekstraksi token otentikasi dari memori, menggunakan teknik seperti T1003.001 (Pembuangan Kredensial OS: Memori LSASS).
- Pencurian sesi: Menggunakan alat seperti Mimikatz atau RedLine Stealer, penyerang mengekstraksi cookie sesi atau token aktif, dengan efektif menangkap sesi yang sudah terautentikasi.
- Serangan pemutaran: Penyerang menyuntikkan token sesi yang dicuri ke dalam sesi baru—tidak ada permintaan kata sandi atau MFA. Penyerang sekarang beroperasi sebagai pengguna sah, mewarisi izin mereka.
- Gerakan lateral dan ketekunan: Penyerang meningkatkan akses dengan beralih ke sistem yang lebih kritis, menggunakan sesi yang dikompromikan untuk menghasilkan token tambahan atau membangun mekanisme ketekunan baru.
Pembajakan Sesi dan Pencurian Token: Vektor Serangan Baru
Setelah terautentikasi, pengguna menerima cookie sesi atau token yang memberi mereka akses ke aplikasi dan layanan. Token ini seharusnya aman—tetapi penyerang telah menemukan cara untuk mencuri dan menggunakannya kembali:
- Mencuri cookie sesi: Malware seperti RedLine Stealer dan Raccoon Stealer secara aktif mengekstraksi cookie sesi browser, memungkinkan penyerang untuk sepenuhnya melewati permintaan login. MITRE ATT&CK T1539 (Mencuri Cookie Sesi Web).
- Pencurian token dari memori: Penyerang menggunakan alat untuk mengekstraksi token otentikasi langsung dari memori, seperti yang terlihat dalam serangan yang memanfaatkan malware infostealer yang dipetakan ke MITRE ATT&CK T1528 (Mencuri Token Akses Aplikasi).
- Pemalsuan dan manipulasi sesi: Penyerang mendapatkan akses sebagai pengguna yang terautentikasi dengan menyuntikkan atau memutar ulang token sesi, metode yang sering dieksploitasi di bawah ATT&CK T1550.004 (Menggunakan Bahan Otentikasi Alternatif: Cookie Sesi Web).
Mengapa MFA Saja Tidak Cukup
MFA adalah teknologi yang baik, namun hanya itu tidak cukup untuk bertahan dari taktik dan teknik yang berkembang, dalam kasus ini, serangan yang sepenuhnya menghindari MFA.
Meskipun MFA memperkuat otentikasi, ia tidak melindungi terhadap pembajakan sesi. Penyerang yang mencuri token sesi yang sah dapat melewati MFA sepenuhnya. Kerentanannya ini menyoroti kebutuhan untuk lapisan keamanan tambahan, seperti:
- Pemantauan sesi dan deteksi anomali: Mengidentifikasi pola login yang tidak biasa, sesi bersamaan, dan risiko berbasis lokasi.
- Token berumur pendek dan akses just-in-time (JIT): Mengurangi paparan dengan membatasi umur bahan otentikasi.
- Otentikasi berkelanjutan dan akses berbasis risiko: Menyesuaikan langkah-langkah keamanan secara dinamis berdasarkan perilaku pengguna dan sinyal risiko.
Pendekatan ini diperlukan untuk pengguna dengan hak istimewa dan pengguna tenaga kerja yang menangani aplikasi berisiko tinggi atau melakukan kegiatan sensitif. Risiko tidak berhenti pada admin—setiap pengguna dengan akses yang lebih tinggi bisa menjadi target.
Meningkatkan Analisis Sesi dengan AI
Berbeda dengan keputusan biner benar/salah pada otentikasi awal atau otentikasi tingkat lanjut, analisis sesi jauh lebih kompleks. Mengidentifikasi ancaman berarti mendeteksi anomali, penyimpangan perilaku, dan sinyal halus yang mungkin menunjukkan adanya kompromi.
Kompleksitas inilah yang dapat diatasi dengan AI. Analisis sesi berbasis AI memungkinkan organisasi untuk memantau sesi secara terus-menerus dalam skala besar. Agen berbasis AI yang didedikasikan dapat melacak semua sesi, secara otomatis mengidentifikasi perilaku abnormal dan menyoroti aktivitas yang berpotensi mencurigakan. Alih-alih mengandalkan penyelidikan manual untuk setiap sesi, AI membantu tim keamanan fokus pada hal-hal yang benar-benar penting, hanya memberi tanda pada sesi yang memerlukan pemeriksaan lebih lanjut, mengurangi kebisingan, dan meningkatkan waktu respons.
Perlindungan di Luar Otentikasi
MFA sangat penting, tetapi itu tidak cukup. Penyerang tidak lagi meretas masuk; mereka login—dengan mengambil alih sesi yang sah. Organisasi perlu memikirkan kembali keamanan identitas di luar hanya otentikasi.
Langkah-langkah utama untuk membantu meningkatkan keamanan:
- Otentikasi berkelanjutan: Memantau perilaku sesi secara real-time, bukan hanya saat login.
- Kontrol sesi adaptif: Mendeteksi anomali—seperti akses dari perangkat atau lokasi yang tidak biasa—dan memaksa otentikasi ulang atau penghentian sesi.
- Perlindungan token: Mengamankan dan memutar token otentikasi untuk mencegah penggunaan kembali di luar cakupan yang dimaksudkan.
- Pola pikir Zero Trust: Menganggap ada kompromi dan memverifikasi setiap tindakan, bukan hanya login awal.
Anda telah melakukan pekerjaan untuk mengamankan login, tetapi apa yang terjadi setelah itu? Jika Anda tidak melindungi sesi aktif, Anda membiarkan pintu terbuka lebar.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. CyberArk menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di cyberark.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!