Di dunia TI yang berkembang pesat saat ini, sebagian besar organisasi sangat bergantung pada sistem TI untuk memperlancar operasi dan tetap kompetitif. Meskipun beberapa sistem ini dikelola dan diamankan oleh departemen TI dan keamanan, semakin banyak sistem yang tidak dikelola karena tidak disetujui secara resmi. Sistem ini sering disebut sebagai shadow IT, shadow cloud, shadow VPN, dan shadow password managers.
Dalam daftar “bayangan” ini, seharusnya ditambahkan shadow admins. Mereka adalah individu yang memiliki peran administratif atau istimewa dalam sistem TI tertentu—dan mereka belum secara resmi diberi wewenang untuk memiliki hak tersebut. Dalam postingan blog ini, kami akan membahas mengapa shadow admins sangat berisiko dan apa yang bisa Anda lakukan untuk menghadapinya.
Siapa itu shadow IT admins?
Shadow IT admins umumnya memiliki keahlian teknis atau fungsional. Mereka mungkin mengatur, mengonfigurasi, atau mengelola beberapa layanan. Seringkali, admin ini bertindak untuk memenuhi kebutuhan bisnis yang mendesak. Namun, mereka biasanya tidak memiliki rencana untuk pengelolaan jangka panjang, dan mereka tidak mempertimbangkan kebijakan tata kelola, risiko, dan kepatuhan (GRC) organisasi. Akibatnya, tindakan mereka dapat menimbulkan risiko signifikan bagi organisasi, terutama jika mereka tidak memahami praktik keamanan terbaik atau kebijakan GRC organisasi. Apa yang terjadi jika mereka mengelola sistem yang berisi data sensitif atau mendukung proses bisnis yang kritis?
Mengapa shadow IT admins ada?
Shadow IT admins biasanya muncul ketika orang merasa frustrasi dengan proses resmi dan prioritas dalam mengakuisisi dan mengelola TI. Berikut adalah beberapa masalah umum yang terjadi:
- Tanggapan TI yang lambat. Tim fungsional dalam organisasi mungkin membutuhkan solusi TI segera, tetapi menemukan bahwa departemen TI terhambat oleh persetujuan yang lambat atau antrean penerapan yang panjang.
- Kekurangan sumber daya. Departemen TI mungkin tidak memiliki cukup bandwidth untuk menangani setiap permintaan, sehingga individu atau departemen mengambil tindakan sendiri.
- Kebutuhan yang belum terpenuhi. Unit bisnis dan shadow admins mereka sering memperkenalkan layanan atau sistem yang mereka anggap lebih baik daripada apa yang bisa mereka akses melalui sistem yang disetujui dan didukung.
- Inovasi dan kelincahan. Dalam beberapa kasus, shadow IT admins didorong oleh keinginan untuk berinovasi. Mereka mungkin memperkenalkan alat atau teknologi baru yang bisa mendorong bisnis maju, tetapi melakukannya di luar struktur TI resmi. Sebagai bagian dari ini, mereka mengambil alih kepemilikan admin TI dari sistem yang tidak disetujui.
Risiko shadow IT admins
Meskipun shadow IT admins sering memiliki niat baik, mereka dapat tanpa sadar mengekspos organisasi terhadap berbagai risiko. Penyerang dapat mengeksploitasi akun-akun ini untuk melakukan tindakan istimewa, seperti membuat pintu belakang, mengubah pengaturan keamanan, mencuri data sensitif, atau bahkan merusak sistem. Penyerang juga dapat menggunakan akun-akun ini untuk menyembunyikan jejak mereka. Ini memungkinkan mereka menghindari deteksi sehingga mereka dapat mempertahankan kontrol atas sistem yang telah dikompromikan.
Ada juga risiko terkait dengan akun shadow admin di Active Directory. Pelaku ancaman dapat menggunakan akun shadow admin di Active Directory untuk mengendalikan layanan direktori, mereset kata sandi, dan meningkatkan hak istimewa mereka. Lebih jauh lagi, dengan mengidentifikasi akun-akun ini, penyerang dapat meningkatkan tingkat akses mereka—dan sering kali mereka tidak memerlukan eksploitasi tambahan untuk melakukannya. Salah satu alasan mengapa akun shadow admin sangat berisiko adalah karena mereka sering kali tidak terlihat sampai jauh setelah mereka dieksploitasi.
Untuk contoh terbaru dari pelanggaran yang melibatkan shadow IT dan akun shadow admin, lihat serangan Midnight Blizzard oleh Microsoft.
6 Cara shadow admins menambah risiko bagi organisasi
Berikut adalah enam area di mana shadow admins memberi dampak:
- Kerentanannya Keamanan Shadow IT admins sering melewati proses keamanan penting yang telah diatur oleh departemen TI. Hal ini dapat menimbulkan berbagai risiko keamanan, seperti:
- Kontrol akses yang lemah. Shadow IT admins mungkin memberi diri mereka sendiri atau orang lain izin yang berlebihan untuk aplikasi atau data, yang memungkinkan akses tidak sah ke sistem penting.
- Sistem yang tidak terkonfigurasi dengan baik. Ketika shadow IT admins tidak menggunakan konfigurasi keamanan yang benar, mereka dapat membuat sistem yang tidak terkonfigurasi dengan benar, meningkatkan risiko dieksploitasi oleh penyerang.
- Pelanggaran dan Kehilangan Data Banyak layanan shadow IT yang melibatkan penanganan data sensitif, seperti catatan keuangan, kekayaan intelektual, atau informasi pelanggan. Ketika shadow IT admins mengelola data ini tanpa pengawasan yang benar, hal itu meningkatkan kemungkinan:
- Kebocoran data. Sistem atau aplikasi yang dikonfigurasi oleh shadow IT admins mungkin tidak dienkripsi dengan benar, tidak memiliki kontrol akses yang tepat, atau tidak cukup dipantau, yang menyebabkan kebocoran data.
- Kehilangan data. Jika shadow IT admins tidak mencadangkan sistem dengan benar atau menyimpan data di lingkungan yang tidak aman, organisasi berisiko kehilangan data penting akibat kegagalan sistem atau serangan siber seperti ransomware.
- Ketidakpatuhan terhadap Regulasi Untuk organisasi yang perlu mematuhi standar regulasi—seperti GDPR, HIPAA, atau SOC 2—shadow IT admins dapat menyebabkan masalah kepatuhan yang signifikan. Karena sistem dan akun shadow IT sering kali tidak menjalani pemeriksaan dan audit yang ketat seperti sistem TI resmi, mereka mungkin gagal memenuhi persyaratan keamanan atau privasi yang diperlukan untuk mematuhi regulasi. Ini dapat mengakibatkan:
- Denda hukum dan finansial. Ketika organisasi tidak patuh dengan regulasi, mereka bisa dikenakan denda, mengalami masalah hukum, dan merusak reputasi mereka.
- Ketiadaan jejak audit. Sistem shadow IT mungkin tidak memiliki log atau pemantauan yang diperlukan, yang mempersulit untuk melacak pergerakan data dan perubahan yang terjadi.
- Inefisiensi Operasional Meskipun akun shadow IT admin mungkin menyelesaikan masalah segera, keberadaannya dapat menyebabkan inefisiensi operasional jangka panjang:
- Silo data. Shadow IT admins sering memperkenalkan sistem yang tidak terintegrasi dengan infrastruktur TI pusat, yang mengakibatkan penyimpanan data yang terfragmentasi dan kesulitan dalam menggunakan data antar departemen.
- Proses yang tidak konsisten. Ketika beberapa tim menggunakan alat yang berbeda dan tidak disetujui, sering kali terjadi inkonsistensi dalam alur kerja, yang membuat organisasi lebih sulit untuk merampingkan proses atau mendapatkan pandangan yang terintegrasi tentang operasi bisnis.
- Kesulitan dalam Respons Insiden Jika terjadi serangan siber atau pelanggaran data, mungkin akan membutuhkan waktu lebih lama bagi departemen TI untuk mengidentifikasi dan merespons jika shadow IT admins terlibat. Karena layanan dan akun shadow IT biasanya tidak didokumentasikan atau dipantau, tim TI mungkin bahkan tidak mengetahui sistem yang terpengaruh atau orang-orang yang perlu terlibat dalam respons. Ketidakmampuan untuk melihat secara jelas ini dapat sangat menunda upaya respons insiden dan pengendalian, yang pada gilirannya meningkatkan kerusakan yang disebabkan oleh insiden keamanan.
- Beban TI yang Meningkat Ketika shadow IT dan shadow admins yang terkait ditemukan, tim TI harus melalui proses yang memakan waktu untuk memasukkannya ke dalam sistem resmi. Ini termasuk audit, mengamankan, dan mengintegrasikan sistem ini ke dalam sistem TI resmi dan proses-prosesnya. Ini adalah beban yang tidak direncanakan yang ditambahkan pada pekerjaan tim TI. Selain itu, hal ini mengalihkan sumber daya yang berharga dari proyek yang lebih penting sambil meningkatkan biaya operasional.
Membawa shadow admins ke permukaan
Untuk mengatasi risiko shadow IT admins, tim TI dan keamanan harus menggunakan strategi proaktif berikut:
- Tingkatkan visibilitas dan pemantauan. Gunakan alat seperti manajemen keamanan dan postur SaaS (SSPM), pencegahan kehilangan data (DLP), dan deteksi serta respons ancaman identitas (ITDR) untuk melihat layanan yang tidak disetujui dan shadow admins.
- Tegakkan kontrol akses. Terapkan manajemen akses istimewa (PAM) dan layanan otentikasi terpusat dengan autentikasi multifaktor (MFA) dan SSO (layanan penyedia identitas) untuk memastikan hanya individu yang sah yang dapat bertindak sebagai admin TI.
- Buat kebijakan TI yang jelas. Kembangkan dan komunikasikan kebijakan yang jelas yang mendefinisikan layanan dan sistem TI mana yang disetujui untuk digunakan. Kemudian pastikan bahwa semua karyawan memahami risiko potensial dari shadow IT dan memiliki cara yang jelas untuk menyampaikan prioritas TI bisnis sehingga mereka tidak merasa perlu beralih ke shadow IT di masa depan. Namun, tetap realistis karena shadow IT dan shadow admins kemungkinan besar akan menjadi kenyataan yang harus dihadapi ke depan.
Kesimpulan
Meskipun shadow IT admins berpikir mereka bertindak demi kepentingan terbaik organisasi, mereka dapat membawa risiko signifikan yang membahayakan keamanan, kepatuhan, dan operasional organisasi. Dengan mengambil langkah proaktif untuk mengelola dan mengurangi risiko-risiko ini, organisasi dapat melindungi diri mereka dari potensi bahaya.
Proofpoint terus berinvestasi dalam produk dan layanan kami untuk membantu pelanggan kami menemukan dan memperbaiki shadow IT dan shadow admins sebelum mereka berdampak negatif pada bisnis. Berikut adalah dua solusi kami:
- Proofpoint Account Takeover Protection mengidentifikasi penggunaan aplikasi pihak ketiga yang tidak sah dan berbahaya, serta memperbaikinya sebagai bagian dari deteksi dan respons terhadap pengambilalihan akun.
- Proofpoint Identity Threat Defense adalah solusi ITDR kami. Ini menemukan dan memandu perbaikan akun shadow admin di Active Directory serta berbagai penyedia identitas cloud sebagai bagian dari kemampuan keseluruhannya.