Mengapa MFA Baik, tapi Tidak Cukup Baik: Perlunya Pertahanan Mendalam untuk Memerangi Bypass MFA

MFA Tidak Cukup: Pentingnya Pendekatan Pertahanan Berlapis untuk Keamanan Siber

Dalam dekade terakhir, otentikasi multifaktor (MFA) telah menjadi pilar penting dalam keamanan siber modern. Namun, seiring dengan meningkatnya kecanggihan otentikasi pengguna, taktik yang digunakan oleh penjahat dunia maya juga semakin berkembang. Salah satu contoh jelas adalah teknik untuk melewati MFA.

Meskipun penyerang dapat melewati MFA, masih ada kepercayaan yang beredar mengenai kesempurnaan perlindungan MFA. Penelitian terbaru dari Proofpoint menunjukkan bahwa hampir setengah dari semua akun yang diretas oleh pelaku jahat memiliki MFA yang dikonfigurasi. Namun, 89% profesional keamanan tetap menganggap MFA sebagai perlindungan yang sempurna terhadap pengambilalihan akun. Jelas ada ketidaksesuaian pemahaman di sini.

Oleh karena itu, pendekatan pertahanan berlapis (defense-in-depth) kini lebih penting daripada sebelumnya. Keamanan berlapis dapat membantu mengurangi risiko bypass MFA dan mengurangi kemungkinan terjadinya pelanggaran besar yang berasal dari pengambilalihan akun. Dalam artikel ini, kami akan mengeksplorasi mengapa MFA saja tidak cukup dan memberikan beberapa tips untuk melindungi organisasi Anda dengan lebih baik.

Teknik Bypass MFA

MFA efektif karena mengharuskan pengguna untuk melakukan otentikasi menggunakan beberapa faktor. Ini menggabungkan sesuatu yang mereka ketahui (biasanya kata sandi mereka) dengan sesuatu yang mereka miliki (aplikasi autentikator atau token) atau dengan sesuatu yang mereka miliki (seperti pemindaian wajah). Meskipun ini terdengar sangat aman, para penjahat dunia maya telah menemukan berbagai cara untuk mengelabui MFA. Banyak dari taktik ini sangat canggih:

1. Serangan Phishing: Dalam serangan ini, pengguna dibohongi oleh penjahat dunia maya untuk memasukkan kode MFA atau kredensial login mereka ke situs yang dikendalikan oleh penyerang.
2. Serangan Kelelahan MFA (MFA Fatigue): Setelah penjahat dunia maya mencuri kata sandi pengguna, mereka memulai serangkaian notifikasi MFA. Hal ini dapat membingungkan pengguna, yang mungkin menyetujui permintaan akses hanya untuk menghentikan notifikasi yang terus muncul.
3. Pembajakan Sesi (Session Hijacking): Dalam teknik ini, penyerang mencuri cookie sesi setelah otentikasi. Ini membuat otentikasi berbasis MFA sebelumnya menjadi tidak relevan.
4. SIM-Swapping: Teknik ini mengkompromikan MFA berbasis SMS dengan memindahkan nomor telepon target ke penyerang. Untuk melakukannya, penyerang perlu merekayasa sosial dengan operator seluler atau memiliki orang dalam di organisasi.
5. Rekayasa Sosial Murni (Pure Social Engineering): Banyak organisasi memiliki cara bagi pekerja jarak jauh untuk mereset kata sandi dan konfigurasi MFA mereka tanpa harus datang langsung. Namun, tanpa verifikasi identitas yang tepat, helpdesk TI bisa direkayasa secara sosial untuk menyerahkan kredensial palsu karyawan kepada penyerang.
6. Serangan Adversary-in-the-Middle: Alat penyerang seperti kit phishing Evilginx, dapat mengintersep token sesi yang kemudian diteruskan ke layanan yang sah, memberikan akses kepada penyerang.

Mengapa MFA Saja Tidak Cukup

MFA jelas menambah lapisan keamanan yang berharga dalam otentikasi pengguna, membuatnya lebih sulit bagi penjahat dunia maya untuk masuk. Namun, teknik bypass MFA yang dijelaskan di atas menunjukkan mengapa sangat berisiko mengandalkan hanya satu mekanisme pertahanan keamanan. Meningkatnya serangan bypass MFA yang berhasil hanya menunjukkan bahwa penyerang yang gigih dapat beradaptasi untuk mengatasi perlindungan yang diterapkan secara luas.

Meskipun mungkin terdengar jelas, penting untuk selalu diingat bahwa MFA hanya harus menjadi bagian dari program keamanan yang lebih besar. MFA bukanlah pertahanan yang definitif. Konsep pertahanan berlapis mengajarkan bahwa menerapkan lapisan keamanan tambahan mengurangi kemungkinan serangan yang berhasil, bahkan jika satu lapisan dilanggar.

Menerapkan Strategi Pertahanan Berlapis

Pendekatan pertahanan berlapis melibatkan berbagai langkah keamanan yang saling melengkapi. Ini menciptakan redundansi dan mengurangi kemampuan penyerang untuk mengeksploitasi kerentanannya. Berikut adalah beberapa cara organisasi dapat memperkuat pertahanannya terhadap bypass MFA:

1. Perkuat Perlindungan Endpoint: Terapkan alat deteksi dan respons endpoint (EDR) untuk mengidentifikasi dan mengatasi akses yang tidak sah di level host.
2. Investasi dalam Pertahanan Terhadap Phishing Kredensial: Sebagian besar penyerang lebih suka menggunakan serangan phishing yang ditargetkan dan direkayasa secara sosial untuk menargetkan kredensial pengguna Anda. Oleh karena itu, Proofpoint terus berinvestasi besar-besaran pada platform keamanan email kami.
3. Adopsi MFA yang Tahan Phishing: Beralih ke metode MFA yang lebih aman, seperti kunci keamanan perangkat keras (FIDO2) atau biometrik, yang lebih sulit terkena serangan phishing dan bypass MFA.
4. Gunakan Sistem Keamanan Khusus untuk Pengambilalihan Akun: Terapkan alat seperti Proofpoint Account Takeover Protection untuk mendeteksi, menyelidiki, dan merespons pengambilalihan akun cloud secara otomatis, mencegah kerusakan lebih lanjut.
5. Edukasi Pengguna: Latih pengguna Anda untuk mengenali serangan phishing dan taktik rekayasa sosial lainnya yang menargetkan kredensial MFA mereka. Di sinilah pelatihan kesadaran keamanan Proofpoint dapat membantu.
6. Rencanakan Respons dan Pemulihan Insiden: Siapkan skenario terburuk. Pastikan Anda memiliki rencana respons insiden yang jelas yang mencakup cara untuk cepat mencabut token akses dan menyelidiki login yang mencurigakan.

Keamanan Siber Masa Depan: Pertahanan Berlapis yang Proaktif

Pertempuran melawan teknik bypass MFA adalah contoh dinamis dari ancaman siber masa kini. Ketika Anda mengadopsi strategi pertahanan berlapis, Anda memastikan bahwa meskipun satu lapisan keamanan gagal, lapisan lain dapat menyerap dampaknya.

Dengan berinvestasi dalam langkah-langkah keamanan yang komprehensif dan proaktif, Anda dapat tetap unggul dalam menghadapi penyerang dan melindungi aset berharga Anda. Keamanan siber bukan tentang membangun tembok yang tak terkalahkan; ini adalah tentang membuat setiap langkah lebih sulit bagi penyerang.