Mengenal Insider Threat Dan Privileged Access Management

Salah satu risiko keamanan suatu perusahaan adalah insider threat. Artikel ini akan membahas hal tersebut mulai dari pengertian, kategori, solusi dan lain-lain.

Apa Itu Insider Threat?

Insider Threat adalah

Insider threat adalah istilah yang merujuk tentang adanya potensi ancaman terhadap keamanan atau data sebuah sistem yang berasal dari aktivitas orang dalam. Secara sederhana, istilah ini dapat dibagi menjadi:

  • Insider:individu yang memiliki otorisasi/izin untuk melakukan akses terhadap system yang berjalan dalam sebuah perusahaan/institusi. Dalam hal ini individu yang dimaksud mengarah pada karyawan, mantan karyawan atau pihak ketiga (kontraktor atau pengembang sistemnya).
  • Threat:apapun yang berpotensi menjadi gangguan serius, kerusakan, kehilangan pada asset yang dikelola oleh perusahaan/institusi.

Secara umum resiko yang dapat ditimbulkan dari insider threat adalah pencurian terhadap data yang sensitif, penyalahgunaan hak akses dan aktivitas penipuan yang akan berdampak pada reputasi dan brand image dari perusahaan/institusi tersebut.

Kategori Insider Threat

Kategori insider threat adalah istilah yang digunakan untuk menggolongkan jenis-jenis ancaman insider berdasarkan tingkat risiko dan dampak yang ditimbulkan. Beberapa kategori yang sering dikenal dalam dunia keamanan informasi secara umum adalah sebagai berikut:

  1. Ancaman internal: ancaman ini berasal dari karyawan organisasi atau kontraktor yang memiliki akses ke sistem dan informasi organisasi.
  2. Ancaman eksternal: ancaman ini berasal dari luar organisasi, seperti hacker atau pengguna yang mencoba menyusup ke dalam sistem organisasi.
  3. Ancaman fisik: ancaman ini mencakup berbagai risiko fisik yang dapat mengancam keamanan sistem organisasi, seperti serangan fisik atau sabotase.
  4. Ancaman digital: ancaman ini mencakup berbagai risiko digital yang dapat mengancam keamanan sistem organisasi, seperti serangan cyber atau pencurian data.
  5. Ancaman kombinasi: ancaman ini mencakup gabungan dari beberapa kategori ancaman, seperti serangan cyber yang dilakukan oleh karyawan organisasi.

Sedangkan, Menurut data Haystax 3 jenis data yang sering menjadi target dari pelaku insider threats adalah data customer, data yang berkaitan dengan finansial serta data yang dilindungi atau memuat hak intelektual. Terdapat tiga katagori insider threat, yaitu:

1. Negligent Insider

Seseorang yang secara tidak sadar atau tidak sengaja mengkompromikan data karena buruknya security awareness yang bersangkutan, misalnya menjadi korban phising, melakukan delete file penting serta human error yang sifatnya tidak sengaja (Accidental).

2. Malicious Insider

Seseorang yang berbahaya karena ada niat jahat dari orang dalam tersebut sehingga beberapa hal dapat dilakukan oleh yang bersangkutan.

Menurut laporan dari Securonix aktivitas exfiltration adalah aktivtas yang paling banyak dilakukan oleh pelaku insider threat. Exfiltration adalah sebuah upaya untuk melakukan copy data atau dokumen internal kepada pihak luar.

Hal ini dapat dilakukan dengan mudah melalui forwarding email penting ke email pribadi atau email lainnya di luar email resmi perusahaan, melakukan copy data atau dokumen penting kepada situs eksternal ataupun device yang tidak memiliki authorisasi, memberikan hak akses kepada pihak lain untuk kolaborasi dokumen perusahaan.

3. Compromised Account (Resident Insider)

Seseorang yang tidak sadar kalau dirinya atau akunnya telah dimanfaatkan oleh pihak tertentu yang berniat jahat terhadap perusahaan tersebut.

Insider Threat adalah ancaman keamanan yang sama bahayanya dengan serangan dari luar/eksternal. Hal yang paling buruk yang dapat dilakukan oleh pelaku insider threat adalah melakukan aksi sabotase terhadap system sehingga alert system atau system keamanan yang telah dirancang tidak dapat bekerja dan menjadi jalan bagi terbukanya pihak eksternal melakukan aksi attack terhadap system.

Hal lainnya adalah terkait dengan kebocoran data yang sensitif. Termasuk didalamnya adalah aktivitas yang mengarah pada kegiatan spionase industry. Aktivitas Fraud termasuk salah satu bentuk hal buruk yang dapat dilakukan melalui keberadaan insider threat.

Jenis-Jenis Insider Threat

Menurut Dtex Systems, vendor solusi keamanan global, terdapat lima jenis insider threat yang paling sering ditemui, yaitu:

1. Hacking

Sebanyak 75% dari penilaian menemukan para staff menggunakan alat hacking yang tidak diperlukan oleh pekerjaan mereka.

Dari 75% tersebut 40%-nya menjalankan alat sniffing network seperti Wireshark dan PCAP sniffing. Sebanyak 25% menjalankan alat peretas sandi seperti Kon-Boot dan Ophcrack.

29% meneliti dan menggunakan alat eksploitasi seperti Metasploit dan Process Hacker. 21% menggunakan metode enkripsi yang tidak diperkenankan.

2. Bypass

Sebanyak 96% dari penilaian menemukan para staf aktif melanggar aturan keamanan. Dari 96% tersebut 82% telah mengkonfigurasi filter web.

43% ditemukan menggunakan software proxy dan VPN untuk melewati web filtering. 18% melanggar tata cara penggunaan USB, whitelisting, dan lockdown admin user. Sebanyak 14% terlihat karyawan menggunakan aplikasi Torrent untuk berbagi aplikasi/media.

3. Pirated

Sebanyak 75% dari penilaian menemukan para staf menggunakan aplikasi dan media bajakan. Sayangnya, temuan ini tida terbatas pada film dan music bajakan saja.

Dtex juga menemukan produk hasil peretasan dan Salinan tanpa izin dari perangkat lunak dari berbagai perusahaan seperti Adobe, Microsoft dan Cisco—yang dalam beberapa kasus mengandung malware.

4. Cloud/USB

Sebanyak 93% dari penilaian menemukan data sensitif baik di cloud USB yang tidak terenkripsi. Temuan ini meliputi file teks biasa dan spreadsheet dengan kredensial administrative, backup seluruh akun email, backup seluruh database perusahaan dan file yang mengandung hak kekayaan intelektual yang sangat sensitif dalam jumlah yang cukup besar.

5. Lainnya

Sebanyak 36% dari penilaian menghasilkan temuan yang segera memicu investigasi bahkan dalam beberapa kasus dapat menyebabkan pemberhatian, sanksi, dan tindakan hukum.

Penyelidikan mengungkap ditemukan aktivitas kriminal, pencurian hak kekayaan intelektual, kolusi dengan pelaku eksternal dan pemaparan yang disengaja terhadap serangan dari pelaku eksternal.

Solusi Insider Threat

Insider threat adalah ancaman yang datang dari individu atau kelompok yang memiliki akses ke dalam sistem atau organisasi tertentu. Solusi untuk mengatasi ancaman insider ini dapat dilakukan dengan beberapa cara, antara lain:

  1. Menetapkan kebijakan dan standar keamanan yang ketat untuk mengontrol akses ke informasi sensitif dan sistem penting.
  2. Melakukan pelatihan keamanan untuk semua staf agar mereka menyadari pentingnya menjaga keamanan informasi dan mengenali tanda-tanda ancaman insider.
  3. Melakukan pemantauan aktivitas internal secara teratur untuk mengidentifikasi kegiatan yang tidak biasa atau mencurigakan.
  4. Menetapkan prosedur dan mekanisme untuk melaporkan potensi ancaman insider kepada otoritas yang berwenang.
  5. Menggunakan teknologi otomasi untuk membantu mengidentifikasi dan menangani ancaman insider secara efektif.
  6. Menjalin kerja sama dengan pihak-pihak terkait seperti lembaga keamanan dan pemerintah untuk membantu mengatasi ancaman insider.

PAM (Privileged Access Management) & Application Control

Dengan menggunakan EPDR+, Anda akan mendapatkan modul tambahan selain modul-modul utama dalam EPDR regular, yakni HeimdalTM PAM and Application Control.

Modul ini melindungi secara efektif tiga area vital dari infrastruktur akses perangkat anda, serta memastikan semua sistem berjalan dengan lancar dan terlindungi dari bahaya dengan cara Management of privileges, App control dan Auditing. Fitur manajemen pada modul ini adalah:

  • Membuka atau memblokir akses request untuk eskalasi dalam satu klik
  • Passive Mode untuk indexing sistem
  • Auto-approval flow dengan pengaturan yang sudah ditetapkan dan de-eskalasi ancaman otomatis
  • Sistem berbasis aturan yang mudah digunakan dan diatur oleh admin
  • Mengatur hak izin individu per AD group
  • Membuka atau memblokir akses aplikasi berbasis File Path, MD5, Publisher, sertifikat atau kriteria nama Software
  • Kemampuan untuk menggunakan histori akses untuk semua keputusan membuka atau memblokir akses di masa mendatang
  • Melihat aplikasi yang dijalankan pengguna dalam Passive, Allowed atau Blocked mode
  • Menyaring tampilan log sesuka hati, berdasarkan pengguna, aplikasi yang diminta dan lainnya
  • Retensi data 90 hari untuk semua log

Manfaat yang diperoleh jika kedua modul dijalankan:

  • Menentukan daftar aplikasi yang hanya dapat akses saat hak izin akses diangkat
  • Membuka akses ke aplikasi terlarang saat hak izin akses diangkat
  • Memblokir akses terhadap beberapa aplikasi ketika hak izin akses diangkat
  • Membuka akses untuk menyalakan aplikasi tertentu tanpa perlu mengangkat hak izin akses