Apa itu keamanan identitas?

Ketika organisasi mengadopsi layanan cloud, mendukung pekerjaan jarak jauh, dan mengelola beragam titik akhir dan aplikasi, perimeter jaringan menjadi lebih kabur, dan pertahanan berbasis perimeter menjadi kurang efektif. Identitas digital—profil berbeda yang mewakili pengguna, perangkat, atau aplikasi dalam sistem—telah menjadi aspek penting untuk menjaga keamanan data.

Menurut Laporan Biaya Pelanggaran Data dari IBM, kredensial yang dicuri atau disusupi adalah vektor serangan awal yang paling umum, yang bertanggung jawab atas 16% pelanggaran data. Ketika peretas mendapatkan kredensial pengguna, mereka menggunakannya untuk mengambil alih akun yang valid dan menyalahgunakan hak istimewa mereka. 

Keamanan identitas membantu memastikan bahwa hanya pengguna berwenang yang dapat mengakses sumber daya tertentu selagi meminimalkan risiko serangan berbasis identitas dan kredensial.

Dengan keamanan identitas yang efektif, organisasi dapat mengurangi kerentanan, meningkatkan efisiensi operasional, dan melindungi dari ancaman siber seperti serangan phishing dan pelanggaran data.

Secara historis, organisasi melindungi sistem dan data mereka dengan membangun perimeter jaringan aman yang dilindungi oleh alat-alat seperti firewall, jaringan pribadi virtual (VPN) dan perangkat lunak antivirus. “Pagar digital” ini mengasumsikan bahwa semua yang ada di lokasi merupakan pihak tepercaya, sementara semua yang ada di luar harus diblokir.

Tetapi dengan transformasi digital, perimeter rapi itu menghilang. Ketika organisasi mengadopsi kerja jarak jauh, lingkunganhybrid dan multicloud dan perangkat lunak pihak ketiga sebagai alat layanan (SaaS), jaringan perusahaan menjadi terlalu tersebar untuk keamanan berbasis perimeter.

Strategi keamanan juga bergeser dari mengamankan aset jaringan ke mengamankan akses, menempatkan identitas digital di pusat keamanan siber. Pertanyaannya bukan “Jaringan apa yang Anda gunakan?” tetapi “Siapa Anda, dan haruskah Anda mengakses ini?”

Aktor ancaman juga beradaptasi. Alih-alih melanggar firewall, mereka mulai menargetkan identitas secara langsung dengan menggunakan phishing, pencurian kredensial, dan pembajakan sesi untuk menyamar sebagai pengguna dan meningkatkan hak istimewa. Menurut IBM® X-Force Threat Intelligence Index, penyalahgunaan akun yang valid adalah salah satu cara paling umum yang dilakukan peretas untuk membobol jaringan perusahaan, yang menyumbang 30% dari serangan siber.

Dalam lingkungan ini, keamanan identitas muncul sebagai disiplin keamanan siber yang berbeda, yang berfokus pada perlindungan identitas digital dan hak akses terkait dari pencurian, penyalahgunaan, dan pelanggaran. 

Keamanan identitas dibangun di atas manajemen identitas dan akses (IAM), kerangka kerja keamanan untuk mengelola identitas pengguna dan mengendalikan akses ke sistem dan data. Ini menambahkan kemampuan perlindungan, deteksi, dan respons yang difokuskan secara khusus pada mengamankan identitas digital.

Dengan kata lain, keamanan identitas tidak menggantikan IAM—ini memperluas kemampuannya dengan kemampuan seperti pemantauan berkelanjutan, penegakan akses kontekstual, dan respons otomatis terhadap aktivitas yang mencurigakan. Jika IAM menentukan siapa yang mendapatkan akses, keamanan identitas membantu memastikan akses tetap aman.

Bersama-sama, keamanan identitas dan IAM membentuk fondasi solusi keamanan identitas modern, yang membantu organisasi mengamankan identitas digital, mengelola izin pengguna, dan mempertahankan diri dari ancaman siber berbasis identitas.

Keamanan identitas adalah sebuah disiplin ilmu yang menyatukan beberapa alat dan praktik yang berbeda ke dalam sebuah program yang kohesif untuk melindungi identitas digital di sepanjang siklus hidupnya. Kerangka kerja keamanan yang komprehensif ini memungkinkan organisasi untuk menyederhanakan manajemen akses selagi mempertahankan perlindungan data yang kuat.

Komponen utama keamanan identitas meliputi:

• Identitas digital
• Mekanisme autentikasi
• Kontrol akses
• Tata kelola dan administrasi identitas (IGA)
• Deteksi dan respons ancaman identitas (ITDR)

Identitas digital adalah landasan keamanan identitas. Identitas ini mewakili pengguna, perangkat, dan aplikasi dalam sistem perusahaan.

Keamanan identitas melindungi entitas digital ini dari akses yang tidak sah sehingga pihak-pihak yang berniat jahat tidak dapat menyalahgunakan izin mereka untuk mencuri data, merusak aset, atau menyebabkan kerusakan lainnya. 

Jenis identitas yang umum meliputi:

• Identitas pengguna: Representasi digital dari pengguna manusia, yang berisi atribut seperti nama, peran, departemen, dan hak istimewa akses.

• Identitas mesin: Identitas yang dilekatkan pada entitas seperti aplikasi, layanan, dan perangkat IoT.

• Akun layanan: Akun tujuan khusus yang digunakan oleh aplikasi untuk berinteraksi dengan sistem dan layanan lain. Sebagai contoh, solusi pemulihan bencana dapat menggunakan akun layanan untuk menarik cadangan dari basis data setiap malam.   

Ketika organisasi mengadopsi lebih banyak layanan cloud dan meningkatkan upaya otomatisasi, identitas mesin dan akun layanan telah melebihi jumlah akun pengguna manusia di banyak jaringan. Satu perkiraan menempatkan rasio identitas bukan manusia terhadap manusia dalam perusahaan tipikal pada 10:1.¹ Pertumbuhan AI generatif dan agen AI dapat mempercepat tren ini lebih jauh. 

Keamanan identitas membantu menjaga visibilitas dan kontrol di seluruh lingkungan identitas yang berkembang ini, sehingga memfasilitasi akses aman bagi pengguna yang berwenang sekaligus mengurangi permukaan serangan organisasi.

Autentikasi memverifikasi bahwa pengguna adalah orang yang mereka klaim—titik pemeriksaan penting pertama dalam keamanan identitas. Autentikasi yang kuat sangat penting untuk mengurangi risiko akses tidak sah ke akun pengguna dan data sensitif.

Metode autentikasi utama meliputi:

• Autentikasi multifaktor (MFA): Mengharuskan pengguna menunjukkan dua atau lebih faktor verifikasi untuk membuktikan identitas mereka. Persyaratan ini mempersulit peretas untuk menyamar sebagai pengguna karena mereka perlu mencuri atau membuat banyak faktor untuk mengakses akun.

• Autentikasi biometrik: Menggunakan karakteristik fisik yang unik seperti sidik jari atau pengenalan wajah untuk memverifikasi pengguna. Faktor biometrik lebih sulit dicuri daripada kata sandi. 

• Autentikasi tanpa kata sandi: Menghilangkan kerentanan kata sandi tradisional demi faktor yang lebih aman, seperti kunci kriptografi atau biometrik.

• Sistem masuk tunggal (SSO): Memungkinkan pengguna untuk mengautentikasi sekali dan mengakses beberapa aplikasi. SSO tidak hanya meningkatkan pengalaman pengguna tetapi juga mendukung keamanan identitas dengan mengurangi kelelahan kata sandi, menurunkan risiko kata sandi yang lemah atau digunakan kembali dan memusatkan penegakan kontrol akses. 

• Autentikasi adaptif: Secara dinamis menyesuaikan persyaratan autentikasi berdasarkan faktor risiko kontekstual seperti lokasi, postur keamanan perangkat, dan pola perilaku pengguna. Misalnya, seseorang yang masuk dari perangkat yang sama dengan yang selalu mereka gunakan mungkin hanya perlu memasukkan kata sandi. Jika pengguna yang sama masuk dari perangkat baru, mereka mungkin perlu memasukkan kata sandi dan pemindaian sidik jari untuk membuktikan identitas mereka.

Kontrol akses menentukan akses apa yang dapat dilakukan oleh pengguna terautentikasi dan tindakan apa yang boleh mereka lakukan dalam suatu sistem.

Kerangka kerja keamanan identitas mendukung kebijakan akses yang kuat berdasarkan prinsip hak istimewa paling rendah. Artinya, pengguna hanya memiliki akses yang diperlukan untuk melakukan fungsi pekerjaan mereka—tidak lebih, tidak kurang.

Pendekatan kontrol akses yang umum meliputi: 

• Kontrol akses berbasis peran (RBAC): Menetapkan izin kepada pengguna berdasarkan peran organisasi. Sebagai contoh, peran keuangan dapat mengizinkan pengguna untuk melakukan pembelian, sementara peran sumber daya manusia dapat mengizinkan pengguna untuk melihat file personalia.

• Kontrol akses berbasis atribut (ABAC): Menetapkan izin akses berdasarkan atribut pengguna, sumber daya, tindakan, dan lingkungan. Sebagai contoh, jika kepala bagian keuangan (pengguna) ingin mengakses sistem pembayaran (sumber daya) untuk menyetujui pembayaran (tindakan), ABAC akan menganalisis faktor-faktor ini secara bersamaan dan mengotorisasi aktivitas tersebut.  

• Kontrol akses berbasis kebijakan (PBAC): Menerapkan keputusan akses pengguna berdasarkan kebijakan terpusat dan dinamis yang dapat menggabungkan konteks. Misalnya, pengguna mungkin diizinkan untuk mengakses basis data pelanggan hanya jika postur keamanan mereka memenuhi standar perlindungan titik akhir perusahaan dan mereka berada di wilayah geografis yang ditentukan. 

• Penyediaan tepat waktu (JIT): Memberikan izin yang lebih tinggi kepada pengguna hanya jika diperlukan dan untuk periode terbatas, menghilangkan risiko yang dapat timbul jika memberikan hak istimewa tetap kepada pengguna. Misalnya, jika pengguna perlu melakukan pemeliharaan terjadwal pada server produksi, penyediaan JIT dapat memberi mereka akses admin sementara dan mencabutnya saat jendela pemeliharaan berakhir.

• Manajemen akses istimewa (PAM): PAM berfokus secara khusus pada perlindungan akun istimewa (seperti akun admin) dan aktivitas istimewa (seperti bekerja dengan data sensitif). Kemampuan PAM yang umum mencakup penyimpanan kredensial, pemantauan sesi, penyediaan akses tepat waktu, dan rotasi kredensial otomatis.

IGA membantu memastikan bahwa identitas digital memiliki tingkat akses yang tepat dan akses tersebut dilacak untuk memenuhi persyaratan internal dan peraturan. 

Sementara solusi IAM mengontrol siapa saja yang bisa mengakses sistem dan data, IGA berfokus pada apakah akses tersebut sesuai, dibenarkan, dan dipantau secara aktif. IGA menyediakan kerangka kerja operasional untuk mengelola siklus hidup identitas dan hak akses, mengurangi risiko terkait akses, serta menerapkan kebijakan keamanan.

IGA juga merupakan bagian penting dalam mematuhi standar peraturan seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), Sarbanes-Oxley (SOX), dan General Data Protection Regulation (GDPR). Ini membantu organisasi membuktikan bahwa akses ke sistem dan data sensitif ditetapkan dengan benar dan diulas secara teratur. Ini juga menghasilkan jejak audit untuk mendukung ulasan internal dan audit eksternal.

Fungsi utama IGA meliputi:

• Penyediaan dan pencabutan identitas digital: Mengelola hak akses di seluruh siklus hidup identitas untuk merampingkan proses penerimaan dan mengurangi risiko penolakan. Misalnya, jika seorang karyawan berganti peran, alat bantu IGA dapat secara otomatis mencabut izin yang sudah kedaluwarsa atau menetapkan izin baru berdasarkan tanggung jawab mereka yang diperbarui. 

• Meninjau izin akses: Melakukan audit berkala atas izin pengguna untuk mengidentifikasi dan memperbaiki tingkat akses yang berlebihan atau tidak sesuai. Audit rutin membantu organisasi menegakkan prinsip hak istimewa paling sedikit dan mengurangi risiko penyalahgunaan hak istimewa. 

• Penegakan dan pelaporan kebijakan keamanan: Menerapkan kebijakan keamanan secara konsisten—seperti pemisahan tugas (SoD) dan hak istimewa yang paling sedikit—dan mengidentifikasi pelanggaran. Misalnya, jika pengguna mencoba untuk mendapatkan akses ke sistem pembayaran dan sistem persetujuan—yang melanggar aturan SoD—perangkat tata kelola identitas dapat menandai atau memblokir transaksi.  

ITDR meningkatkan keamanan identitas dengan kemampuan canggih untuk melindungi infrastruktur identitas dan mengatasi serangan berbasis identitas. Meskipun tidak selalu disertakan dalam solusi keamanan identitas standar, ITDR menjadi lebih umum karena organisasi mencari langkah-langkah keamanan yang kuat terhadap ancaman serangan berbasis identitas yang terus meningkat.

Kemampuan utama ITDR meliputi:

• Pemantauan berkelanjutan: Pengawasan aktivitas identitas secara real-time—termasuk upaya autentikasi, permintaan akses, dan eskalasi hak istimewa—untuk mendeteksi aktivitas yang mencurigakan. Sebagai contoh, ITDR dapat menandai pengguna yang masuk dari lokasi baru atau mencoba mengakses informasi sensitif yang biasanya tidak mereka gunakan.

• Analisis perilaku: Algoritme tingkat lanjut yang menetapkan garis dasar perilaku pengguna normal dan menandai penyimpangan yang mungkin menandakan potensi ancaman keamanan, seperti peretas yang membajak akun yang sah.

• Respons otomatis: Kontrol keamanan adaptif yang mengambil tindakan segera setelah deteksi ancaman untuk meminimalkan potensi kerusakan. Sebagai contoh, jika pengguna menunjukkan tanda-tanda penyalahgunaan kredensial, ITDR dapat mencabut sesi mereka, memaksa autentikasi ulang, atau memblokir sementara akses ke data sensitif.
  

Keamanan identitas menambah kontrol IAM inti untuk memberikan manfaat utama:

• Peningkatan postur keamanan

• Kepatuhan terhadap peraturan

• Efisiensi Operasional

Keamanan identitas dapat membantu mengurangi kemungkinan dan dampak pembajakan akun, pencurian kredensial, akses tidak sah, dan serangan berbasis identitas lainnya.

Alat keamanan identitas dapat membantu organisasi memelihara—dan membuktikan—kepatuhan terhadap aturan yang relevan.

Sistem keamanan identitas dapat membantu menyederhanakan operasi organisasi sehari-hari.

Kemajuan dalam kecerdasan buatan (AI) memengaruhi keamanan identitas sebagai ancaman dan peluang.

Sebagai sebuah ancaman, AI generatif (gen AI) membantu penyerang melancarkan serangan berbasis identitas yang efektif dalam jumlah yang lebih besar dan waktu yang lebih singkat. Menurut X-Force Threat Intelligence Index, analis X-Force telah melihat peretas menggunakan gen AI untuk menghasilkan suara dan video deepfake, membuat email phishing yang meyakinkan dan bahkan menulis kode berbahaya.

Sebagai peluang, alat deteksi dan pencegahan ancaman identitas didukung AI semakin umum, memungkinkan organisasi mendeteksi dan menghentikan serangan dengan lebih cepat. Misalnya, dengan menggunakan machine learning, solusi ITDR dapat membuat model dasar perilaku pengguna normal, yang mereka gunakan untuk mengidentifikasi penyimpangan mencurigakan yang mungkin merupakan ancaman.