Akun istimewa atau Privileged Account adalah jenis akun pengguna yang memiliki tingkat akses lebih tinggi dibandingkan pengguna biasa. Pengguna dengan akun ini mungkin bisa menghapus dan menginstal perangkat lunak, memperbarui sistem operasi, serta mengubah pengaturan sistem atau aplikasi. Akun ini juga berpotensi memberikan akses kepada file yang umumnya tidak dapat diakses oleh pengguna biasa.

Akun ini biasanya digunakan oleh para profesional di bidang TI yang memerlukan lebih dari sekadar kata sandi untuk melindungi data perusahaan dari ancaman siber yang mungkin terjadi. Saat ini, hampir semua perusahaan sangat bergantung pada teknologi serta tim TI yang mengelola dan menjalankan sistem serta keamanan dari belakang layar sebagai fondasinya.Para administrator TI memang diberikan hak istimewa untuk mengubah konfigurasi sistem atau aplikasi, melakukan instalasi atau penghapusan perangkat lunak, serta melakukan perubahan pada sistem operasi dan banyak hal lainnya.

Kebanyakan perusahaan hanya mengandalkan aplikasi manajemen kata sandi sederhana untuk mengelola semua kata sandi, termasuk untuk akun istimewa ini. Sayangnya, pendekatan ini tidak lagi memadai untuk melindungi mereka dari individu yang berniat jahat, penjahat cyber, serta peretas.

Alasan Mengapa Pengelolaan Kata Sandi Saja Tidak Mewadai

Sebelumnya mari kita bahas mengenai fitur utama dari solusi manajemen kata sandi. Kata sandi merupakan metode yang efektif dan mudah untuk melindungi akun umum seperti akun media sosial, rekening bank, alat pemasaran seperti Google Analytics, akun belanja online, dan aplikasi lainnya. Pendekatan ini memfasilitasi pengguna dalam mengkonsolidasikan kata sandi di dalam satu tempat yang aman, mengelola masuknya ke akun, serta mempermudah akses ke akun umum yang sering digunakan secara bersama.

Namun, dalam situasi pelanggaran data tingkat tinggi seperti yang dialami oleh Target, Marriott, dan Sony, para peretas cenderung menargetkan akun-akun dengan hak istimewa. Jenis akun tersebut bisa berupa akun admin lokal, akun pengguna khusus, akun administratif domain, atau akun layanan, yang umumnya tersebar di seluruh sistem TI internal perusahaan. Beberapa perusahaan, terutama yang beroperasi di sektor keuangan, teknologi canggih, atau pemerintahan, memilih untuk menggunakan kunci SSH untuk melindungi akun-akun dengan hak istimewa mereka alih-alih sekadar menggunakan otentikasi berbasis kata sandi.

Banyak perusahaan membiarkan akun dengan hak istimewa ini tanpa pengelolaan yang tepat dan hanya sedikit yang disimpan dalam aplikasi manajemen kata sandi. Verizon melaporkan dalam penyelidikan pelanggaran data pada tahun 2019 bahwa penyalahgunaan hak istimewa merupakan salah satu ancaman paling umum dalam kasus pelanggaran data. Melalui laporan ini, Verizon memberikan wawasan berharga mengenai risiko yang dihadapi organisasi.

Data yang digunakan dalam laporan ini berasal dari 41.686 insiden keamanan serta 2.013 pelanggaran data yang dikumpulkan dari 73 sumber, termasuk entitas publik dan swasta, yang mencakup 86 negara di dunia. Apabila seorang peretas mendapatkan akses ke akun dengan hak istimewa, mereka juga dapat menjangkau semua informasi sensitif organisasi, menggunakan alat akses jarak jauh, mencuri data dalam jumlah besar, dan bahkan melakukan penipuan finansial.

Mengenal 3 Jenis Privileged Account

• Local Account/Akun Lokal

Akun lokal hanya bisa diakses pada sistem tertentu dan berfungsi hanya untuk mengakses sistem, contohnya akun Administrator di komputer desktop. Dengan akun lokal ini, pengguna dapat memiliki nama akun yang serupa atau sama pada berbagai sistem dan umumnya memiliki kata sandi yang dikelola masing-masing. Kebanyakan akun yang tergabung dalam grup “Administrator” pada sistem operasi Windows dianggap memiliki status khusus.

Di lingkungan Unix/Linux, akun yang memiliki hak akses tingkat root dianggap istimewa, sedangkan untuk perangkat jaringan, unit yang memiliki izin untuk melakukan penulisan biasanya dianggap istimewa. Karena itu, memungkinkan untuk menggunakan akun lokal untuk mengakses file, sehingga akun yang memiliki akses ke data sensitif pun harus dianggap istimewa.

Alat pengelolaan akses khusus bisa digunakan untuk memonitor siapa saja yang dapat mengakses akun-akun tersebut serta untuk memutar kata sandi secara otomatis. Sebuah alat yang efektif dapat mengurangi risiko dari akun lokal dengan menetapkan agar setiap akun memiliki kata sandi yang berbeda.

• Directory Account/Akun Direktori

Akun direktori, yang juga dikenal sebagai akun domain, ditentukan di lokasi yang terpusat. Sebagai contoh, kita bisa memiliki pengguna bernama John.Smith yang kemudian terdaftar dalam Microsoft Active Directory. Setiap akun yang terdaftar dalam direktori harus memiliki nama dan kata sandi yang unik. Untuk dapat masuk atau menggunakan sistem tertentu, akun direktori harus didefinisikan satu per satu atau menjadi bagian dari grup yang memiliki izin pada sistem tersebut.

Akun bawaan Active Directory, seperti Administrator, harus dianggap istimewa, termasuk akun lain yang tergabung dalam grup Admin Domain. Yang sedikit lebih rumit adalah mengenai akun pengguna “bernama” standar. Akun standar “bernama” biasanya digunakan oleh pengguna untuk mengakses PC desktop mereka dan melakukan tugas sehari-hari seperti memeriksa email, dan umumnya tidak dianggap “istimewa,” kecuali jika mereka masuk ke grup “Administrator” lokal di server atau desktop.

Akan ada tantangan dalam mendeteksi atau melacak saat akun pengguna “bernama” tertentu ditambahkan ke grup “Administrator” di ratusan atau ribuan komputer dalam sebuah perusahaan, sehingga alat seperti DNA CyberArk diperlukan untuk mengidentifikasi kasus-kasus tersebut. Banyak organisasi membuat akun “bernama” sekunder untuk individu yang memerlukan akses administratif, misalnya, “John_Smith !,” di mana tanda seru menunjukkan bahwa akun tersebut memiliki status khusus.

Setelah proses penemuan dengan DNA CyberArk selesai, akun-istimewa perlu didefinisikan, diawasi, dan dikelola melalui suite PAM terpusat. Dalam beberapa situasi, akun direktori dibuat untuk menjalankan layanan atau aplikasi tertentu, seperti akun direktori “bind” untuk aplikasi yang memerlukan pencarian atau perubahan properti di domain.

Akun layanan direktori harus dianggap istimewa, terutama karena kata sandinya bersifat statis, dan mereka sering kali menjadi anggota grup “Administrator” lokal di server tempat mereka bekerja. Alat pengelolaan akses khusus, seperti CyberArk, dapat digunakan untuk memutar kata sandi dan “mendorong” kata sandi aplikasi ke layanan yang memerlukannya.

• Application Account/Akun Aplikasi

Akun aplikasi biasanya berjenis lokal dan berfungsi sebagai direktori, yang biasanya dipakai untuk mendapatkan izin memasuki aplikasi tertentu. Sebagai contoh, sebuah database Microsoft SQL bisa memiliki pengguna dinamakan SA. Terkadang, aplikasi menggunakan akun lokal atau domain untuk menjalankan fungsinya, Perbedaan utama dibandingkan jenis akun lainnya bahwa aplikasi tersebut tidak memerlukan login interaktif untuk berfungsi.

Kata sandi akun aplikasi sering kali disimpan di dalam aplikasi itu sendiri, atau di dalam dokumen konfigurasi luar. Penilaian tentang keistimewaan akun aplikasi sangat bergantung pada hak akses dan izin file yang dimiliki oleh akun dalam aplikasi tersebut. Sebuah solusi PAM yang sudah matang dapat membantu dalam merotasi kata sandi akun aplikasi, serta memberikan kata sandi secara langsung kepada aplikasi dari penyimpanan yang terpusat, yang mencegah perlunya menyimpannya dalam dokumen konfigurasi yang terbuka.

Alat yang Diperlukan Oleh Tim IT Perusahaan

Manajemen kata sandi dapat memberikan di berbagai bidang seperti pemasaran, keuangan, dan sumber daya manusia. Jika tim TI Anda membutuhkan platform pengelolaan akun istimewa yang menyeluruh untuk menjaga jaringan TI perusahaan Anda di tengah ancaman cyber yang ada saat ini.

Solusi manajemen akun istimewa yang Anda pilih dapat :

1. Secara otomatis mengidentifikasi dan mengelola semua akun istimewa di dalam jaringan dari panel admin pusat.
2. Menambahkan pengguna dan memberikan peran atau akses sesuai dengan tugas harian mereka.
3. Mendistribusikan kata sandi istimewa hanya berdasarkan dan sesuai dengan peran pengguna atau menggunakan metode peningkatan hak akses yang tepat waktu.
4. Melakukan reset kata sandi untuk server, perangkat jaringan, basis data, dan lainnya secara rutin sesuai dengan kebijakan TI internal yang ditetapkan oleh perusahaan.
5. Mengotomatiskan pengelolaan kunci SSH di seluruh jaringan.
6. Membuka koneksi langsung ke sumber daya, situs web, dan aplikasi TI jarak jauh tanpa mengungkapkan kata sandi yang sebenarnya dalam format teks biasa.
7. Merekam video dari setiap akses istimewa dan segera memotong sesi yang mencurigakan.
8. Memantau aktivitas istimewa yang tidak biasa dan memberikan peringatan kepada administrator TI.
9. Merekap semua operasi pada akun istimewa dan menyusunnya dalam laporan yang memberikan wawasan keamanan.

Kesimpulan

Perbedaan mendasar antara manajer kata sandi dan solusi PAM yang lengkap ini dapat menjadi kunci untuk melindungi data organisasi Anda. Sebuah perusahaan riset terkemuka seperti Gartner menyatakan bahwa pengelolaan akun istimewa menjadi prioritas utama dalam keamanan bagi kepala petugas keamanan informasi (CISO).

Sementara penerapan solusi PAM saja mungkin tidak sepenuhnya menjamin perlindungan dari peretas cyber, karena selalu perlu ada langkah pencegahan dan perbaikan yang harus dilakukan. Namun, solusi PAM dapat memeberikan dasar yang kuat untuk memperkuat pertahanan Anda terhadap pelanggaran dari pihak jahat cyber.