Mengonfigurasi Microsoft Entra untuk Zero Trust: Melindungi identitas dan rahasia

Autentikasi dan otorisasi pengguna dan aplikasi adalah titik masuk ke dalam infrastruktur identitas dan rahasia Anda. Melindungi semua identitas dan rahasia adalah langkah dasar dalam perjalanan Zero Trust Anda dan pilar Secure Future Initiative.

Rekomendasi dan pemeriksaan Zero Trust yang merupakan bagian dari pilar ini membantu mengurangi risiko akses yang tidak sah. Melindungi identitas dan rahasia mewakili inti Zero Trust dalam Microsoft Entra. Tema termasuk penggunaan rahasia dan sertifikat yang tepat, batas yang sesuai pada akun istimewa, dan metode autentikasi tanpa kata sandi modern.

Rekomendasi keamanan Zero Trust

Aplikasi tidak memiliki rahasia klien yang dikonfigurasi

Aplikasi yang menggunakan rahasia klien mungkin menyimpannya dalam file konfigurasi, mengodekannya dalam skrip, atau mempersingkat paparannya dengan cara lain. Kompleksitas manajemen rahasia membuat rahasia klien rentan terhadap kebocoran dan menarik bagi penyerang. Rahasia klien, ketika diekspos, memberi penyerang kemampuan untuk memadukan aktivitas mereka dengan operasi yang sah, sehingga lebih mudah untuk melewati kontrol keamanan. Jika penyerang mengorbankan rahasia klien aplikasi, mereka dapat meningkatkan hak istimewa mereka dalam sistem, yang mengarah ke akses dan kontrol yang lebih luas, tergantung pada izin aplikasi.

Aplikasi dan perwakilan layanan yang memiliki izin untuk API Microsoft Graph atau API lain memiliki risiko yang lebih tinggi karena penyerang berpotensi mengeksploitasi izin tambahan ini.

Tindakan remediasi

• Memindahkan aplikasi dari rahasia bersama ke identitas terkelola dan mengadopsi praktik yang lebih aman.
  • Menggunakan identitas terkelola untuk sumber daya Azure
  • Menyebarkan kebijakan Akses Bersyar untuk identitas beban kerja
  • Menerapkan pemindaian rahasia
  • Menyebarkan kebijakan autentikasi aplikasi untuk menerapkan praktik autentikasi yang aman
  • Membuat peran kustom yang paling tidak istimewa untuk memutar kredensial aplikasi
  • Pastikan Anda memiliki proses untuk melakukan triase dan memantau aplikasi

Perwakilan layanan tidak memiliki sertifikat atau kredensial yang terkait dengannya

Perwakilan layanan tanpa kredensial autentikasi yang tepat (sertifikat atau rahasia klien) menciptakan kerentanan keamanan yang memungkinkan pelaku ancaman untuk meniru identitas ini. Ini dapat menyebabkan akses yang tidak sah, gerakan lateral dalam lingkungan Anda, eskalasi hak istimewa, dan akses persisten yang sulit dideteksi dan diremediasi.

Tindakan remediasi

• Untuk perwakilan layanan organisasi Anda: Menambahkan sertifikat atau rahasia klien ke pendaftaran aplikasi
• Untuk perwakilan layanan eksternal: Tinjau dan hapus kredensial yang tidak perlu untuk mengurangi risiko keamanan

Aplikasi tidak memiliki sertifikat dengan kedaluwarsa lebih dari 180 hari

Sertifikat, jika tidak disimpan dengan aman, dapat diekstrak dan dieksploitasi oleh penyerang, yang mengarah ke akses yang tidak sah. Sertifikat berumur panjang lebih mungkin diekspos dari waktu ke waktu. Kredensial, ketika diekspos, memberi penyerang kemampuan untuk memadukan aktivitas mereka dengan operasi yang sah, sehingga lebih mudah untuk melewati kontrol keamanan. Jika penyerang mengorbankan sertifikat aplikasi, mereka dapat meningkatkan hak istimewa mereka dalam sistem, yang mengarah ke akses dan kontrol yang lebih luas, tergantung pada hak istimewa aplikasi.

Tindakan remediasi

• Menentukan konfigurasi aplikasi berbasis sertifikat
• Tentukan otoritas sertifikat tepercaya untuk aplikasi dan perwakilan layanan di penyewa
• Menentukan kebijakan manajemen aplikasi
• Menerapkan standar rahasia dan sertifikat
• Membuat peran kustom yang paling tidak istimewa untuk memutar kredensial aplikasi

Sertifikat Aplikasi perlu diputar secara teratur

Jika sertifikat tidak diputar secara teratur, sertifikat dapat memberi pelaku ancaman jendela yang diperluas untuk mengekstrak dan mengeksploitasinya, yang mengarah ke akses yang tidak sah. Ketika kredensial seperti ini diekspos, penyerang dapat memadukan aktivitas berbahaya mereka dengan operasi yang sah, sehingga lebih mudah untuk melewati kontrol keamanan. Jika penyerang mengorbankan sertifikat aplikasi, mereka dapat meningkatkan hak istimewa mereka dalam sistem, yang mengarah ke akses dan kontrol yang lebih luas, tergantung pada hak istimewa aplikasi.

Kueri semua perwakilan layanan dan pendaftaran aplikasi Anda yang memiliki kredensial sertifikat. Pastikan tanggal mulai sertifikat kurang dari 180 hari.

Tindakan remediasi

• Menentukan kebijakan manajemen aplikasi untuk mengelola masa pakai sertifikat
• Tentukan rantai kepercayaan sertifikat tepercaya
• Membuat peran kustom dengan hak istimewa paling sedikit untuk memutar kredensial aplikasi
• Pelajari selengkapnya tentang kebijakan manajemen aplikasi untuk mengelola kredensial berbasis sertifikat

Menerapkan standar untuk rahasia dan sertifikat aplikasi

Tanpa kebijakan manajemen aplikasi yang tepat, pelaku ancaman dapat mengeksploitasi kredensial aplikasi yang lemah atau salah dikonfigurasi untuk mendapatkan akses tidak sah ke sumber daya organisasi. Aplikasi yang menggunakan rahasia kata sandi berumur panjang atau sertifikat membuat jendela serangan yang diperluas di mana kredensial yang disusupi tetap valid untuk jangka waktu yang lama. Jika aplikasi menggunakan rahasia klien yang dikodekan secara permanen dalam file konfigurasi atau memiliki persyaratan kata sandi yang lemah, pelaku ancaman dapat mengekstrak kredensial ini melalui cara yang berbeda, termasuk repositori kode sumber, cadangan konfigurasi, atau analisis memori. Jika pelaku ancaman mendapatkan kredensial ini, mereka dapat melakukan gerakan lateral dalam lingkungan, meningkatkan hak istimewa jika aplikasi memiliki izin yang ditinggikan, menetapkan persistensi dengan membuat lebih banyak kredensial backdoor, memodifikasi konfigurasi aplikasi, atau menyelundupkan data. Kurangnya manajemen siklus hidup kredensial memungkinkan kredensial yang disusupi tetap aktif tanpa batas waktu, memberikan aktor ancaman akses berkelanjutan ke aset organisasi dan kemampuan untuk melakukan eksfiltrasi data, manipulasi sistem, atau menyebarkan alat yang lebih berbahaya tanpa deteksi.

Mengonfigurasi kebijakan manajemen aplikasi yang sesuai membantu organisasi tetap berada di depan ancaman ini.

Tindakan remediasi

• Pelajari cara menerapkan standar rahasia dan sertifikat menggunakan kebijakan manajemen aplikasi

Aplikasi layanan Microsoft tidak memiliki kredensial yang dikonfigurasi

Aplikasi layanan Microsoft yang beroperasi di penyewa Anda diidentifikasi sebagai perwakilan layanan dengan ID organisasi pemilik "f8cdef31-a31e-4b4a-93e4-5f571e91255a." Ketika perwakilan layanan ini memiliki kredensial yang dikonfigurasi di penyewa Anda, mereka mungkin membuat vektor serangan potensial yang dapat dieksploitasi oleh pelaku ancaman. Jika administrator menambahkan kredensial dan tidak lagi diperlukan, mereka dapat menjadi target bagi penyerang. Meskipun lebih kecil kemungkinannya ketika kontrol pencegahan dan detektif yang tepat diberlakukan pada aktivitas istimewa, pelaku ancaman juga dapat menambahkan kredensial dengan berbahaya. Dalam kedua kasus, pelaku ancaman dapat menggunakan kredensial ini untuk mengautentikasi sebagai perwakilan layanan, mendapatkan izin dan hak akses yang sama dengan aplikasi layanan Microsoft. Akses awal ini dapat menyebabkan eskalasi hak istimewa jika aplikasi memiliki izin tingkat tinggi, memungkinkan pergerakan lateral di seluruh penyewa. Penyerang kemudian dapat melanjutkan ke penyelundupan data atau pembentukan persistensi melalui pembuatan kredensial backdoor lainnya.

Ketika kredensial (seperti rahasia klien atau sertifikat) dikonfigurasi untuk perwakilan layanan ini di penyewa Anda, itu berarti seseorang - baik administrator atau aktor jahat - memungkinkan mereka untuk mengautentikasi secara independen dalam lingkungan Anda. Kredensial ini harus diselidiki untuk menentukan legitimasi dan kebutuhan mereka. Jika tidak lagi diperlukan, mereka harus dihapus untuk mengurangi risiko.

Jika pemeriksaan ini tidak lulus, rekomendasinya adalah "menyelidiki" karena Anda perlu mengidentifikasi dan meninjau aplikasi apa pun dengan kredensial yang tidak digunakan yang dikonfigurasi.

Tindakan remediasi

• Konfirmasikan apakah kredensial yang ditambahkan masih merupakan kasus penggunaan yang valid. Jika tidak, hapus kredensial dari aplikasi layanan Microsoft untuk mengurangi risiko keamanan.
  • Di pusat admin Microsoft Entra, telusuripendaftaran Aplikasi> dan pilih aplikasi yang terpengaruh.
  • Buka bagian Sertifikat & rahasia dan hapus kredensial apa pun yang tidak lagi diperlukan.

Pengaturan persetujuan pengguna dibatasi

Tanpa pengaturan persetujuan pengguna terbatas, pelaku ancaman dapat mengeksploitasi konfigurasi persetujuan aplikasi permisif untuk mendapatkan akses tidak sah ke data organisasi sensitif. Ketika persetujuan pengguna tidak dibatasi, penyerang dapat:

• Gunakan rekayasa sosial dan serangan pemberian persetujuan terlarang untuk mengelabui pengguna agar menyetujui aplikasi berbahaya.
• Meniru layanan yang sah untuk meminta izin luas, seperti akses ke email, file, kalender, dan data bisnis penting lainnya.
• Dapatkan token OAuth yang sah yang melewati kontrol keamanan perimeter, membuat akses tampak normal untuk sistem pemantauan keamanan.
• Menetapkan akses persisten ke sumber daya organisasi, melakukan pengintaian di seluruh layanan Microsoft 365, bergerak secara lateral melalui sistem yang terhubung, dan berpotensi meningkatkan hak istimewa.

Persetujuan pengguna yang tidak dibatasi juga membatasi kemampuan organisasi untuk menerapkan tata kelola terpusat atas akses aplikasi, sehingga sulit untuk mempertahankan visibilitas di mana aplikasi non-Microsoft memiliki akses ke data sensitif. Kesenjangan ini menciptakan risiko kepatuhan di mana aplikasi yang tidak sah mungkin melanggar peraturan perlindungan data atau kebijakan keamanan organisasi.

Tindakan remediasi

• Konfigurasikan pengaturan persetujuan pengguna terbatas untuk mencegah pemberian persetujuan terlarang dengan menonaktifkan persetujuan pengguna atau membatasinya untuk penerbit terverifikasi dengan izin berisiko rendah saja.

Alur kerja persetujuan admin diaktifkan

Mengaktifkan alur kerja persetujuan Admin di penyewa Microsoft Entra adalah langkah keamanan penting yang mengurangi risiko yang terkait dengan akses aplikasi yang tidak sah dan eskalasi hak istimewa. Pemeriksaan ini penting karena memastikan bahwa aplikasi apa pun yang meminta izin yang ditinggikan menjalani proses peninjauan oleh administrator yang ditunjuk sebelum persetujuan diberikan. Alur kerja persetujuan admin di MICROSOFT Entra ID memberi tahu peninjau yang mengevaluasi dan menyetujui atau menolak permintaan persetujuan berdasarkan legitimasi dan kebutuhan aplikasi. Jika pemeriksaan ini tidak lulus, artinya alur kerja dinonaktifkan, aplikasi apa pun dapat meminta dan berpotensi menerima izin yang ditingkatkan tanpa tinjauan administratif. Ini menimbulkan risiko keamanan yang substansial, karena aktor jahat dapat mengeksploitasi kurangnya pengawasan ini untuk mendapatkan akses tidak sah ke data sensitif, melakukan eskalasi hak istimewa, atau menjalankan aktivitas berbahaya lainnya.

Tindakan remediasi

Untuk permintaan persetujuan admin, atur Pengguna dapat meminta persetujuan admin ke aplikasi yang tidak dapat mereka setujui untuk diatur ke Ya. Tentukan pengaturan lain, seperti siapa yang dapat meninjau permintaan.

• Mengaktifkan alur kerja persetujuan admin
• Atau gunakan API Perbarui adminConsentRequestPolicy untuk mengatur properti ke isEnabled true dan pengaturan lainnya

Rasio yang tinggi dari Administrator Global terhadap pengguna dengan hak istimewa

Ketika organisasi mempertahankan rasio Administrator Global yang tidak proporsional tinggi relatif terhadap total populasi pengguna istimewa mereka, mereka mengekspos diri mereka terhadap risiko keamanan yang signifikan yang dapat dieksploitasi oleh berbagai vektor serangan. Penetapan Administrator Global yang berlebihan membuat beberapa target bernilai tinggi untuk pelaku ancaman yang mungkin memanfaatkan akses awal melalui kompromi kredensial, serangan pengelabuan, atau ancaman orang dalam untuk mendapatkan akses tidak terbatas ke seluruh penyewa ID Microsoft Entra dan layanan Microsoft 365 yang terhubung.

Tindakan remediasi

• Meminimalkan jumlah penetapan peran Administrator Global

Akun istimewa adalah identitas asli cloud

Jika akun lokal disusupi dan disinkronkan ke Microsoft Entra, penyerang mungkin juga mendapatkan akses ke penyewa. Risiko ini meningkat karena lingkungan lokal biasanya memiliki lebih banyak permukaan serangan karena infrastruktur yang lebih lama dan kontrol keamanan yang terbatas. Penyerang mungkin juga menargetkan infrastruktur dan alat yang digunakan untuk mengaktifkan konektivitas antara lingkungan lokal dan Microsoft Entra. Target ini mungkin mencakup alat seperti Microsoft Entra Connect atau Layanan Federasi Direktori Aktif, di mana mereka dapat meniru atau memanipulasi akun pengguna lokal lainnya.

Jika akun cloud istimewa disinkronkan dengan akun lokal, penyerang yang memperoleh kredensial untuk lokal dapat menggunakan kredensial yang sama untuk mengakses sumber daya cloud dan pindah secara lateral ke lingkungan cloud.

Tindakan remediasi

• Melindungi Microsoft 365 dari serangan lokal

Untuk setiap peran dengan hak istimewa tinggi (ditetapkan secara permanen atau memenuhi syarat melalui Microsoft Entra Privileged Identity Management), Anda harus melakukan tindakan berikut:

• Tinjau pengguna yang memiliki set onPremisesImmutableId dan onPremisesSyncEnabled. Lihat jenis sumber daya pengguna Microsoft Graph API.
• Buat akun pengguna khusus cloud untuk individu tersebut dan hapus identitas hibrid mereka dari peran istimewa.

Semua penetapan peran istimewa diaktifkan tepat waktu dan tidak aktif secara permanen

Pelaku ancaman menargetkan akun istimewa karena mereka memiliki akses ke data dan sumber daya yang mereka inginkan. Ini mungkin mencakup lebih banyak akses ke penyewa Microsoft Entra Anda, data di Microsoft SharePoint, atau kemampuan untuk membuat persistensi jangka panjang. Tanpa model aktivasi just-in-time (JIT), hak istimewa administratif tetap terus terekspos, menyediakan penyerang dengan jendela yang diperluas untuk beroperasi tanpa terdeteksi. Akses just-in-time mengurangi risiko dengan memberlakukan aktivasi hak istimewa terbatas waktu dengan kontrol tambahan seperti persetujuan, pembenaran, dan kebijakan Akses Bersyariah, memastikan bahwa izin berisiko tinggi diberikan hanya ketika diperlukan dan untuk durasi terbatas. Pembatasan ini meminimalkan permukaan serangan, mengganggu gerakan lateral, dan memaksa musuh untuk memicu tindakan yang dapat dipantau dan ditolak secara khusus ketika tidak diharapkan. Tanpa akses just-in-time, akun admin yang disusupi memberikan kontrol yang tidak terbatas, memungkinkan penyerang menonaktifkan kontrol keamanan, menghapus log, dan memelihara siluman, memperkuat dampak kompromi.

Gunakan Microsoft Entra Privileged Identity Management (PIM) untuk menyediakan akses just-in-time yang terikat waktu ke penetapan peran istimewa. Gunakan tinjauan akses di Microsoft Entra ID Governance untuk meninjau akses istimewa secara teratur untuk memastikan kebutuhan yang berkelanjutan.

Tindakan remediasi

• Mulai menggunakan Privileged Identity Management
• Membuat tinjauan akses sumber daya Azure dan peran Microsoft Entra di PIM

Semua penugasan peran istimewa Microsoft Entra dikelola melalui PIM

Aktor ancaman yang meretas akun istimewa yang ditetapkan secara permanen mendapatkan akses terus-menerus ke operasi direktori berdampak tinggi. Akses yang diperluas ini memungkinkan penyerang untuk membuat backdoor persisten, memodifikasi konfigurasi keamanan, dan menonaktifkan sistem pemantauan. Tanpa kontrol akses yang dibatasi waktu, akun yang memiliki hak istimewa dan telah disusupi memberikan kontrol atas tenant tanpa batas waktu.

Membutuhkan penugasan peran yang memenuhi syarat untuk diaktifkan sesuai kebutuhan, mengurangi permukaan serangan dan membatasi durasi keberadaan penyerang.

Tindakan remediasi

• Gunakan Privileged Identity Management untuk mengelola peran Microsoft Entra istimewa

Metode autentikasi passkey diaktifkan

Pelaku ancaman menargetkan akun istimewa karena mereka memiliki akses ke data dan sumber daya yang mereka inginkan. Ini mungkin mencakup lebih banyak akses ke penyewa Microsoft Entra Anda, data di Microsoft SharePoint, atau kemampuan untuk membuat persistensi jangka panjang. Tanpa model aktivasi just-in-time (JIT), hak istimewa administratif tetap terus terekspos, menyediakan penyerang dengan jendela yang diperluas untuk beroperasi tanpa terdeteksi. Akses just-in-time mengurangi risiko dengan memberlakukan aktivasi hak istimewa terbatas waktu dengan kontrol tambahan seperti persetujuan, pembenaran, dan kebijakan Akses Bersyariah, memastikan bahwa izin berisiko tinggi diberikan hanya ketika diperlukan dan untuk durasi terbatas. Pembatasan ini meminimalkan permukaan serangan, mengganggu gerakan lateral, dan memaksa musuh untuk memicu tindakan yang dapat dipantau dan ditolak secara khusus ketika tidak diharapkan. Tanpa akses just-in-time, akun admin yang disusupi memberikan kontrol yang tidak terbatas, memungkinkan penyerang menonaktifkan kontrol keamanan, menghapus log, dan memelihara siluman, memperkuat dampak kompromi.

Gunakan Microsoft Entra Privileged Identity Management (PIM) untuk menyediakan akses just-in-time yang terikat waktu ke penetapan peran istimewa. Gunakan tinjauan akses di Microsoft Entra ID Governance untuk meninjau akses istimewa secara teratur untuk memastikan kebutuhan yang berkelanjutan.

Tindakan remediasi

• Mulai menggunakan Privileged Identity Management
• Membuat tinjauan akses sumber daya Azure dan peran Microsoft Entra di PIM

Pengesahan kunci keamanan diberlakukan

Ketika pengesahan kunci keamanan tidak diberlakukan, pelaku ancaman dapat mengeksploitasi perangkat keras autentikasi yang lemah atau disusupi untuk membangun kehadiran persisten dalam lingkungan organisasi. Tanpa validasi pengesahan, aktor jahat dapat mendaftarkan kunci keamanan FIDO2 yang tidak sah atau palsu yang melewati kontrol keamanan yang didukung perangkat keras, memungkinkan mereka untuk melakukan serangan pengisian kredensial menggunakan pengautentikasi fabrikasi yang meniru kunci keamanan yang sah. Akses awal ini memungkinkan pelaku ancaman meningkatkan hak istimewa dengan menggunakan sifat tepercaya metode autentikasi perangkat keras, lalu bergerak secara lateral melalui lingkungan dengan mendaftarkan lebih banyak kunci keamanan yang disusupi pada akun hak istimewa tinggi. Kurangnya penegakan pengesahan menciptakan jalur bagi pelaku ancaman untuk membangun perintah dan kontrol melalui metode autentikasi berbasis perangkat keras persisten, pada akhirnya menyebabkan penyelundupan data atau kompromi sistem sambil mempertahankan penampilan autentikasi yang diamankan perangkat keras yang sah di seluruh rantai serangan.

Tindakan remediasi

• Aktifkan penegakan pengesahan melalui konfigurasi kebijakan Metode autentikasi.
• Konfigurasikan daftar kunci keamanan yang disetujui oleh Authenticator Attestation Globally Unique Identifier (AAGUID).

Akun istimewa memiliki metode tahan phishing yang terdaftar

Saat autentikasi passkey tidak diaktifkan di MICROSOFT Entra ID, organisasi mengandalkan metode autentikasi berbasis kata sandi yang rentan terhadap phishing, pencurian kredensial, dan serangan pemutaran ulang. Penyerang dapat menggunakan kata sandi yang dicuri untuk mendapatkan akses awal, melewati autentikasi multifaktor tradisional melalui serangan Adversary-in-the-Middle (AiTM), dan membangun akses persisten melalui pencurian token.

Kode akses menyediakan autentikasi tahan phishing menggunakan bukti kriptografi bahwa penyerang tidak dapat mengelabui, mencegat, atau memutar ulang. Mengaktifkan kode akses menghilangkan kerentanan dasar yang memungkinkan rantai serangan berbasis kredensial.

Tindakan remediasi

• Pelajari cara mengaktifkan metode autentikasi kode akses.
• Pelajari cara merencanakan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan.

Peran bawaan Microsoft Entra istimewa ditargetkan dengan kebijakan Akses Bersyar untuk memberlakukan metode tahan phishing

Tanpa metode autentikasi tahan phishing, pengguna istimewa lebih rentan terhadap serangan phishing. Jenis serangan ini mengelabui pengguna untuk mengungkapkan kredensial mereka untuk memberikan akses tidak sah kepada penyerang. Jika metode autentikasi tahan non-phishing digunakan, penyerang mungkin mencegat kredensial dan token, melalui metode seperti serangan musuh di tengah, merusak keamanan akun istimewa.

Setelah akun atau sesi istimewa disusupi karena metode autentikasi yang lemah, penyerang mungkin memanipulasi akun untuk mempertahankan akses jangka panjang, membuat backdoor lain, atau mengubah izin pengguna. Penyerang juga dapat menggunakan akun istimewa yang disusupi untuk meningkatkan akses mereka lebih jauh, berpotensi mendapatkan kontrol atas sistem yang lebih sensitif.

Tindakan remediasi

• Mulai menggunakan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan
• Pastikan akun istimewa mendaftar dan menggunakan metode tahan pengelabuan
• Menyebarkan kebijakan Akses Bersyarat untuk menargetkan akun istimewa dan memerlukan kredensial tahan pengelabuan
• aktivitas metode autentikasi Monitor

Memerlukan pemberitahuan pengaturan ulang kata sandi untuk peran administrator

Mengonfigurasi pemberitahuan pengaturan ulang kata sandi untuk peran administrator di ID Microsoft Entra meningkatkan keamanan dengan memberi tahu administrator dengan hak istimewa saat administrator lain mengatur ulang kata sandi mereka. Visibilitas ini membantu mendeteksi aktivitas yang tidak sah atau mencurigakan yang dapat menunjukkan kompromi kredensial atau ancaman orang dalam. Tanpa pemberitahuan ini, aktor jahat dapat mengeksploitasi hak istimewa yang ditinggikan untuk menetapkan kegigihan, meningkatkan akses, atau mengekstrak data sensitif. Pemberitahuan proaktif mendukung tindakan cepat, mempertahankan integritas akses istimewa, dan memperkuat postur keamanan secara keseluruhan.

Tindakan remediasi

• Memberi tahu semua admin saat admin lain mengatur ulang kata sandi mereka

Memblokir autentikasi lama

Protokol autentikasi warisan seperti autentikasi dasar untuk SMTP dan IMAP tidak mendukung fitur keamanan modern seperti autentikasi multifaktor (MFA), yang sangat penting untuk melindungi dari akses yang tidak sah. Kurangnya perlindungan ini membuat akun yang menggunakan protokol ini rentan terhadap serangan berbasis kata sandi, dan memberi penyerang sarana untuk mendapatkan akses awal menggunakan kredensial yang dicuri atau ditebak.

Ketika penyerang berhasil mendapatkan akses tidak sah ke kredensial, mereka dapat menggunakannya untuk mengakses layanan tertaut, menggunakan metode autentikasi yang lemah sebagai titik masuk. Penyerang yang mendapatkan akses melalui autentikasi lama mungkin membuat perubahan pada Microsoft Exchange, seperti mengonfigurasi aturan penerusan email atau mengubah pengaturan lain, memungkinkan mereka mempertahankan akses berkelanjutan ke komunikasi sensitif.

Autentikasi warisan juga memberi penyerang metode yang konsisten untuk memasukkan kembali sistem menggunakan kredensial yang disusupi tanpa memicu pemberitahuan keamanan atau memerlukan autentikasi ulang.

Dari sana, penyerang dapat menggunakan protokol warisan untuk mengakses sistem lain yang dapat diakses melalui akun yang disusupi, memfasilitasi gerakan lateral. Penyerang yang menggunakan protokol warisan dapat berbaur dengan aktivitas pengguna yang sah, sehingga sulit bagi tim keamanan untuk membedakan antara penggunaan normal dan perilaku berbahaya.

Tindakan remediasi

• Menyebarkan kebijakan Akses Bersyarah untuk Memblokir autentikasi warisan

Kode akses sementara diaktifkan

Tanpa Temporary Access Pass (TAP) diaktifkan, organisasi menghadapi tantangan signifikan dalam bootstrap kredensial pengguna dengan aman, menciptakan kerentanan di mana pengguna mengandalkan mekanisme autentikasi yang lebih lemah selama penyiapan awal mereka. Ketika pengguna tidak dapat mendaftarkan kredensial tahan pengelabuan seperti kunci keamanan FIDO2 atau Windows Hello untuk Bisnis karena kurangnya metode autentikasi yang kuat yang ada, mereka tetap terpapar serangan berbasis kredensial termasuk pengelabuan, semprotan kata sandi, atau serangan serupa. Pelaku ancaman dapat mengeksploitasi kesenjangan pendaftaran ini dengan menargetkan pengguna selama status mereka yang paling rentan, ketika mereka memiliki opsi autentikasi terbatas yang tersedia dan harus mengandalkan kombinasi nama pengguna + kata sandi tradisional. Paparan ini memungkinkan pelaku ancaman untuk membahayakan akun pengguna selama fase bootstrapping penting, memungkinkan mereka untuk mencegat atau memanipulasi proses pendaftaran untuk metode autentikasi yang lebih kuat, pada akhirnya mendapatkan akses persisten ke sumber daya organisasi dan berpotensi meningkatkan hak istimewa sebelum kontrol keamanan sepenuhnya ditetapkan.

Aktifkan TAP dan gunakan dengan pendaftaran informasi keamanan untuk mengamankan potensi kesenjangan ini dalam sistem pertahanan Anda.

Tindakan remediasi

• Pelajari cara mengaktifkan Kode Akses Sementara dalam kebijakan Metode autentikasi
• Pelajari cara memperbarui kebijakan kekuatan autentikasi untuk menyertakan Kode Akses Sementara
• Pelajari cara membuat sebuah kebijakan Akses Bersyarat untuk pendaftaran info keamanan dengan penegakan kekuatan autentikasi

Membatasi Kode Akses Sementara ke Penggunaan Tunggal

Ketika Kode Akses Sementara (TAP) dikonfigurasi untuk memungkinkan beberapa penggunaan, pelaku ancaman yang membahayakan kredensial dapat menggunakannya kembali berulang kali selama periode validitasnya, memperluas jendela akses tidak sah mereka di luar peristiwa bootstrapping tunggal yang dimaksudkan. Situasi ini menciptakan peluang yang diperluas bagi pelaku ancaman untuk menetapkan persistensi dengan mendaftarkan metode autentikasi kuat tambahan di bawah akun yang disusupi selama masa pakai kredensial. TAP yang dapat digunakan kembali, ketika jatuh ke tangan yang salah, memungkinkan pelaku ancaman melakukan aktivitas pengintaian di beberapa sesi, secara bertahap memetakan lingkungan dan mengidentifikasi target bernilai tinggi sambil mempertahankan pola akses yang tampaknya sah. TAP yang disusupi juga dapat berfungsi sebagai mekanisme backdoor yang andal, memungkinkan pelaku ancaman untuk mempertahankan akses bahkan jika kredensial lain yang disusupi terdeteksi dan dicabut, karena TAP muncul sebagai alat administratif yang sah dalam log keamanan.

Tindakan remediasi

• Mengonfigurasi Kode Akses Sementara untuk penggunaan satu kali dalam kebijakan metode autentikasi

Migrasi dari kebijakan MFA dan SSPR warisan

Tanpa Temporary Access Pass (TAP) diaktifkan, organisasi menghadapi tantangan signifikan dalam bootstrap kredensial pengguna dengan aman, menciptakan kerentanan di mana pengguna mengandalkan mekanisme autentikasi yang lebih lemah selama penyiapan awal mereka. Ketika pengguna tidak dapat mendaftarkan kredensial tahan pengelabuan seperti kunci keamanan FIDO2 atau Windows Hello untuk Bisnis karena kurangnya metode autentikasi yang kuat yang ada, mereka tetap terpapar serangan berbasis kredensial termasuk pengelabuan, semprotan kata sandi, atau serangan serupa. Pelaku ancaman dapat mengeksploitasi kesenjangan pendaftaran ini dengan menargetkan pengguna selama status mereka yang paling rentan, ketika mereka memiliki opsi autentikasi terbatas yang tersedia dan harus mengandalkan kombinasi nama pengguna + kata sandi tradisional. Paparan ini memungkinkan pelaku ancaman untuk membahayakan akun pengguna selama fase bootstrapping penting, memungkinkan mereka untuk mencegat atau memanipulasi proses pendaftaran untuk metode autentikasi yang lebih kuat, pada akhirnya mendapatkan akses persisten ke sumber daya organisasi dan berpotensi meningkatkan hak istimewa sebelum kontrol keamanan sepenuhnya ditetapkan.

Aktifkan TAP dan gunakan dengan pendaftaran informasi keamanan untuk mengamankan potensi kesenjangan ini dalam sistem pertahanan Anda.

Tindakan remediasi

• Pelajari cara mengaktifkan Kode Akses Sementara dalam kebijakan Metode autentikasi
• Pelajari cara memperbarui kebijakan kekuatan autentikasi untuk menyertakan Kode Akses Sementara
• Pelajari cara membuat sebuah kebijakan Akses Bersyarat untuk pendaftaran info keamanan dengan penegakan kekuatan autentikasi

Memblokir administrator untuk menggunakan SSPR

Reset Kata Sandi Mandiri (SSPR) untuk administrator memungkinkan perubahan kata sandi dilakukan tanpa memerlukan faktor autentikasi sekunder yang kuat atau pengawasan administratif. Pelaku ancaman yang membahayakan kredensial administratif dapat menggunakan kemampuan ini untuk melewati kontrol keamanan lainnya dan mempertahankan akses persisten ke lingkungan.

Setelah disusupi, penyerang dapat segera mengatur ulang kata sandi untuk mengunci administrator yang sah. Mereka kemudian dapat menetapkan kegigihan, meningkatkan hak istimewa, dan menyebarkan payload berbahaya yang tidak terdeteksi.

Tindakan remediasi

• Nonaktifkan SSPR untuk administrator dengan memperbarui kebijakan otorisasi

Pengaturan ulang kata sandi mandiri tidak menggunakan pertanyaan keamanan

Mengizinkan pertanyaan keamanan sebagai metode pengaturan ulang kata sandi mandiri (SSPR) melemahkan proses pengaturan ulang kata sandi karena jawaban sering dapat ditebak, digunakan kembali di seluruh situs, atau dapat ditemukan melalui kecerdasan sumber terbuka (OSINT). Pelaku ancaman menyusun daftar atau melakukan phishing pengguna, memperoleh respons yang mungkin (nama keluarga, sekolah, dan lokasi), lalu memicu proses pengaturan ulang kata sandi untuk melewati metode yang lebih kuat dengan mengeksploitasi gerbang berbasis pengetahuan yang lebih lemah. Setelah berhasil mengatur ulang kata sandi pada akun yang tidak dilindungi oleh autentikasi multifaktor, mereka dapat: mendapatkan kredensial utama yang valid, membuat token sesi, dan memperluas secara lateral dengan mendaftarkan metode autentikasi yang lebih tahan lama, menambahkan aturan penerusan, atau menyelundupkan data sensitif.

Menghilangkan metode ini menghapus tautan yang lemah dalam proses reset kata sandi. Beberapa organisasi mungkin memiliki alasan bisnis tertentu untuk membiarkan pertanyaan keamanan diaktifkan, tetapi ini tidak disarankan.

Tindakan remediasi

• Menonaktifkan pertanyaan keamanan dalam kebijakan SSPR
• Pilih metode autentikasi dan opsi pendaftaran

Metode autentikasi SMS dan Panggilan Suara dinonaktifkan

Ketika metode autentikasi yang lemah seperti SMS dan panggilan suara tetap diaktifkan di ID Microsoft Entra, pelaku ancaman dapat mengeksploitasi kerentanan ini melalui beberapa vektor serangan. Awalnya, penyerang sering melakukan pengintaian untuk mengidentifikasi organisasi menggunakan metode autentikasi yang lebih lemah ini melalui rekayasa sosial atau pemindaian teknis. Kemudian mereka dapat menjalankan akses awal melalui serangan pengisian info masuk, penyemprotan kata sandi, atau kampanye phishing yang menargetkan kredensial pengguna.

Setelah kredensial dasar disusupi, pelaku ancaman menggunakan kelemahan ini dalam SMS dan autentikasi berbasis suara. Pesan SMS dapat dicegat melalui serangan pertukaran SIM, kerentanan jaringan SS7, atau malware di perangkat seluler, sementara panggilan suara rentan terhadap pengelabuan suara (vishing) dan manipulasi penerusan panggilan. Dengan faktor kedua yang lemah ini dilewati, penyerang mencapai kegigihan dengan mendaftarkan metode autentikasi mereka sendiri. Akun yang disusupi dapat digunakan untuk menargetkan pengguna dengan hak istimewa yang lebih tinggi melalui phishing internal atau rekayasa sosial, yang memungkinkan penyerang untuk meningkatkan hak istimewa dalam organisasi. Akhirnya, pelaku ancaman mencapai tujuan mereka melalui eksfiltrasi data, gerakan lateral ke sistem penting, atau penyebaran alat berbahaya lainnya, sambil mempertahankan siluman dengan menggunakan jalur autentikasi yang sah yang tampak normal dalam log keamanan.

Tindakan remediasi

• Menyebarkan kampanye pendaftaran metode autentikasi untuk mendorong metode yang lebih kuat
• Menonaktifkan metode autentikasi
• Menonaktifkan metode berbasis telepon dalam pengaturan MFA warisan
• Menyebarkan kebijakan Akses Bersyar menggunakan kekuatan autentikasi

Matikan SSO Tanpa Hambatan jika tidak ada penggunaan

Akses menyeluruh tanpa hambatan (Seamless SSO) Microsoft Entra adalah fitur autentikasi warisan yang dirancang untuk menyediakan akses tanpa kata sandi untuk perangkat yang bergabung dengan domain yang tidak bergabung dengan ID Microsoft Entra hibrid. SSO tanpa hambatan bergantung pada autentikasi Kerberos dan terutama bermanfaat untuk sistem operasi yang lebih lama seperti Windows 7 dan Windows 8.1, yang tidak mendukung Token Refresh Utama (PRT). Jika sistem warisan ini tidak lagi ada di lingkungan, terus menggunakan Seamless SSO memperkenalkan kompleksitas yang tidak perlu dan potensi paparan keamanan. Pelaku ancaman dapat mengeksploitasi tiket Kerberos yang salah dikonfigurasi atau kedaluwarsa, atau membahayakan AZUREADSSOACC akun komputer di Direktori Aktif, yang menyimpan kunci dekripsi Kerberos yang digunakan oleh ID Microsoft Entra. Setelah disusupi, penyerang dapat meniru pengguna, melewati kontrol autentikasi modern, dan mendapatkan akses tidak sah ke sumber daya cloud. Menonaktifkan SSO Tanpa Hambatan di lingkungan yang tidak lagi diperlukan mengurangi permukaan serangan dan memberlakukan penggunaan mekanisme autentikasi modern berbasis token yang menawarkan perlindungan yang lebih kuat.

Tindakan remediasi

• Tinjau cara kerja SSO Tanpa Hambatan
• Menonaktifkan SSO Tanpa Hambatan
• Membersihkan perangkat kedaluarsa di ID Microsoft Entra

Mengamankan halaman pendaftaran MFA (Info Keamanan Saya)

Tanpa kebijakan Akses Bersyar yang melindungi pendaftaran informasi keamanan, pelaku ancaman dapat mengeksploitasi alur pendaftaran yang tidak terlindungi untuk membahayakan metode autentikasi. Ketika pengguna mendaftarkan metode autentikasi multifaktor dan pengaturan ulang kata sandi mandiri tanpa kontrol yang tepat, pelaku ancaman dapat mencegat sesi pendaftaran ini melalui serangan musuh di tengah atau mengeksploitasi perangkat yang tidak dikelola yang mengakses pendaftaran dari lokasi yang tidak tepercaya. Setelah pelaku ancaman mendapatkan akses ke alur pendaftaran yang tidak terlindungi, mereka dapat mendaftarkan metode autentikasi mereka sendiri, secara efektif membajak profil autentikasi target. Pelaku ancaman dapat melewati kontrol keamanan dan berpotensi meningkatkan hak istimewa di seluruh lingkungan karena mereka dapat mempertahankan akses persisten dengan mengontrol metode MFA. Metode autentikasi yang disusupi kemudian menjadi fondasi untuk gerakan lateral karena pelaku ancaman dapat mengautentikasi sebagai pengguna yang sah di beberapa layanan dan aplikasi.

Tindakan remediasi

• Menyebarkan kebijakan Akses Bersyar untuk pendaftaran info keamanan
• Mengonfigurasi lokasi jaringan yang diketahui
• Mengaktifkan pendaftaran info keamanan gabungan

Gunakan autentikasi cloud

Server federasi lokal memperkenalkan permukaan serangan penting dengan berfungsi sebagai titik autentikasi pusat untuk aplikasi cloud. Pelaku ancaman sering mendapatkan pijakan dengan membahayakan pengguna istimewa seperti perwakilan staf dukungan atau teknisi operasi melalui serangan seperti pengelabuan, pengisian info masuk, atau mengeksploitasi kata sandi yang lemah. Mereka mungkin juga menargetkan kerentanan yang tidak dikirim dalam infrastruktur, menggunakan eksploitasi eksekusi kode jarak jauh, menyerang protokol Kerberos, atau menggunakan serangan pass-the-hash untuk meningkatkan hak istimewa. Alat akses jarak jauh yang salah dikonfigurasi seperti protokol desktop jarak jauh (RDP), jaringan privat virtual (VPN), atau server lompat menyediakan titik masuk lainnya, sementara penyusupan rantai pasokan atau orang dalam berbahaya lebih meningkatkan paparan. Setelah masuk, pelaku ancaman dapat memanipulasi alur autentikasi, menempa token keamanan untuk meniru pengguna mana pun, dan mempivot ke lingkungan cloud. Menetapkan persistensi, mereka dapat menonaktifkan log keamanan, menghindari deteksi, dan mengekstrak data sensitif.

Tindakan remediasi

• Migrasi dari federasi ke autentikasi cloud seperti sinkronisasi hash Kata Sandi Microsoft Entra (PHS).

Semua pengguna diharuskan mendaftar untuk MFA

Memerlukan pendaftaran autentikasi multifaktor (MFA) untuk semua pengguna. Berdasarkan studi, akun Anda lebih dari 99% lebih kecil kemungkinannya untuk disusupi jika Anda menggunakan MFA. Bahkan jika Anda tidak memerlukan MFA sepanjang waktu, kebijakan ini memastikan pengguna Anda siap saat diperlukan.

Tindakan remediasi

• Mengonfigurasi kebijakan pendaftaran autentikasi multifaktor

Pengguna memiliki metode autentikasi yang kuat yang dikonfigurasi

Penyerang mungkin mendapatkan akses jika autentikasi multifaktor (MFA) tidak diberlakukan secara universal atau jika ada pengecualian di tempat. Penyerang mungkin mendapatkan akses dengan mengeksploitasi kerentanan metode MFA yang lebih lemah seperti SMS dan panggilan telepon melalui teknik rekayasa sosial. Teknik ini mungkin termasuk pertukaran SIM atau phishing, untuk mencegat kode autentikasi.

Penyerang mungkin menggunakan akun ini sebagai titik masuk ke penyewa. Dengan menggunakan sesi pengguna yang disadap, penyerang dapat menyamarkan aktivitas mereka sebagai tindakan pengguna yang sah, menghindari deteksi, dan melanjutkan serangan mereka tanpa menimbulkan kecurigaan. Dari sana, mereka mungkin mencoba memanipulasi pengaturan MFA untuk menetapkan kegigihan, merencanakan, dan menjalankan serangan lebih lanjut berdasarkan hak istimewa akun yang disusupi.

Tindakan remediasi

• Menyebarkan autentikasi multifaktor
• Mulai menggunakan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan
• Menyebarkan kebijakan Akses Bersyarat untuk mewajibkan MFA tahan pengelabuan untuk semua pengguna
• Tinjau aktivitas metode autentikasi

Aktivitas masuk pengguna menggunakan perlindungan token

Pelaku ancaman dapat mencegat atau mengekstrak token autentikasi dari memori, penyimpanan lokal pada perangkat yang sah, atau dengan memeriksa lalu lintas jaringan. Penyerang mungkin memutar ulang token tersebut untuk melewati kontrol autentikasi pada pengguna dan perangkat, mendapatkan akses tidak sah ke data sensitif, atau menjalankan serangan lebih lanjut. Karena token ini valid dan terikat waktu, deteksi anomali tradisional sering gagal menandai aktivitas, yang mungkin memungkinkan akses berkelanjutan sampai token kedaluwarsa atau dicabut.

Perlindungan token, juga disebut pengikatan token, membantu mencegah pencurian token dengan memastikan token hanya dapat digunakan dari perangkat yang dimaksudkan. Perlindungan token menggunakan kriptografi sehingga tanpa kunci perangkat klien, tidak ada yang dapat menggunakan token.

Tindakan remediasi

• Menyebarkan kebijakan Akses Bersyarat untuk memerlukan perlindungan token

Membatasi alur kode perangkat

Alur kode perangkat adalah alur autentikasi lintas perangkat yang dirancang untuk perangkat yang dibatasi input. Ini dapat dieksploitasi dalam serangan phishing, di mana penyerang memulai alur dan mengelabui pengguna untuk menyelesaikannya di perangkat mereka, sehingga mengirim token pengguna ke penyerang. Mengingat risiko keamanan dan penggunaan aliran kode perangkat yang jarang sah, Anda harus mengaktifkan kebijakan Akses Bersyar untuk memblokir alur ini secara default.

Tindakan remediasi

• Sebarkan kebijakan Akses Bersyar untuk memblokir alur kode perangkat.

Transfer autentikasi diblokir

Memblokir transfer autentikasi di ID Microsoft Entra adalah kontrol keamanan penting. Ini membantu melindungi dari pencurian token dan serangan pemutaran ulang dengan mencegah penggunaan token perangkat untuk mengautentikasi secara diam-diam di perangkat atau browser lain. Saat transfer autentikasi diaktifkan, pelaku ancaman yang mendapatkan akses ke satu perangkat dapat mengakses sumber daya ke perangkat yang tidak disetujui, melewati autentikasi standar dan pemeriksaan kepatuhan perangkat. Ketika administrator memblokir alur ini, organisasi dapat memastikan bahwa setiap permintaan autentikasi harus berasal dari perangkat asli, mempertahankan integritas kepatuhan perangkat dan konteks sesi pengguna.

Tindakan remediasi

• Menyebarkan kebijakan Akses Bersyar untuk memblokir transfer autentikasi

Aplikasi Microsoft Authenticator menunjukkan konteks masuk ke akun

Tanpa konteks masuk, pelaku ancaman dapat mengeksploitasi kelelahan autentikasi dengan membanjiri pengguna dengan pemberitahuan push, meningkatkan kemungkinan pengguna secara tidak sengaja menyetujui permintaan berbahaya. Saat pengguna mendapatkan pemberitahuan push generik tanpa nama aplikasi atau lokasi geografis, mereka tidak memiliki informasi yang mereka butuhkan untuk membuat keputusan persetujuan berdasarkan informasi. Kurangnya konteks ini membuat pengguna rentan terhadap serangan rekayasa sosial, terutama ketika pelaku ancaman mengatur waktu permintaan mereka selama periode aktivitas pengguna yang sah. Kerentanan ini sangat berbahaya ketika pelaku ancaman mendapatkan akses awal melalui serangan panen kredensial atau penyemprotan kata sandi dan kemudian mencoba untuk membangun kegigihan dengan menyetujui permintaan autentikasi multifaktor (MFA) dari aplikasi atau lokasi yang tidak terduga. Tanpa informasi kontekstual, pengguna tidak dapat mendeteksi upaya masuk yang tidak biasa, memungkinkan pelaku ancaman untuk mempertahankan akses dan meningkatkan hak istimewa dengan memindahkan secara lateral melalui sistem setelah melewati hambatan autentikasi awal. Tanpa konteks aplikasi dan lokasi, tim keamanan juga kehilangan telemetri berharga untuk mendeteksi pola autentikasi mencurigakan yang dapat menunjukkan aktivitas kompromi atau pengintaian yang sedang berlangsung.

Tindakan remediasi Beri pengguna konteks yang mereka butuhkan untuk membuat keputusan persetujuan berdasarkan informasi. Konfigurasikan pemberitahuan Microsoft Authenticator dengan mengatur kebijakan Metode autentikasi untuk menyertakan nama aplikasi dan lokasi geografis.

• Menggunakan konteks tambahan dalam pemberitahuan Authenticator - Kebijakan metode autentikasi

Pengaturan pelaporan aktivitas mencurigakan pada aplikasi Microsoft Authenticator telah diaktifkan

Pelaku ancaman semakin mengandalkan pengeboman yang cepat dan proksi pengelabuan real-time untuk memaksa atau mengelabui pengguna agar menyetujui tantangan autentikasi multifaktor (MFA) penipuan. Tanpa kemampuan aplikasi Microsoft Authenticator untuk memantau laporan aktivitas mencurigakan diaktifkan, penyerang dapat melakukan upaya berulang hingga pengguna yang lelah akhirnya menerima. Jenis serangan ini dapat menyebabkan eskalasi hak istimewa, persistensi, gerakan lateral ke beban kerja sensitif, eksfiltrasi data, atau tindakan destruktif.

Saat pelaporan diaktifkan untuk semua pengguna, setiap push atau permintaan telepon yang tidak terduga dapat ditandai secara aktif, segera meningkatkan pengguna ke risiko pengguna yang tinggi dan menghasilkan deteksi risiko pengguna dengan fidelitas tinggi (userReportedSuspiciousActivity) yang kebijakan Akses Bersyarat berbasis risiko atau otomatisasi respons lainnya dapat digunakan untuk memblokir atau memerlukan remediasi yang aman.

Tindakan remediasi

• Mengaktifkan pengaturan aktivitas mencurigakan laporan di aplikasi Microsoft Authenticator

Kedaluwarsa kata sandi dinonaktifkan

Ketika kebijakan kedaluwarsa kata sandi tetap diaktifkan, pelaku ancaman dapat mengeksploitasi pola rotasi kata sandi yang dapat diprediksi yang biasanya diikuti pengguna ketika dipaksa untuk mengubah kata sandi secara teratur. Pengguna sering membuat kata sandi yang lebih lemah dengan membuat modifikasi minimal pada yang ada, seperti menambah angka atau menambahkan karakter berurutan. Pelaku ancaman dapat dengan mudah mengantisipasi dan mengeksploitasi jenis perubahan ini melalui serangan pengisian info masuk atau kampanye penyemprotan kata sandi yang ditargetkan. Pola yang dapat diprediksi ini memungkinkan pelaku ancaman untuk membangun persistensi melalui:

• Kredensial yang disusupi
• Hak istimewa yang diluaskan dengan menargetkan akun administratif dengan kata sandi yang diputar lemah
• Mempertahankan akses jangka panjang dengan memprediksi variasi kata sandi di masa mendatang

Penelitian menunjukkan bahwa pengguna membuat kata sandi yang lebih lemah dan lebih dapat diprediksi ketika mereka dipaksa kedaluwarsa. Kata sandi yang dapat diprediksi ini lebih mudah bagi penyerang berpengalaman untuk memecahkan, karena mereka sering membuat modifikasi sederhana pada kata sandi yang ada daripada membuat kata sandi yang sama sekali baru dan kuat. Selain itu, ketika pengguna diharuskan untuk sering mengubah kata sandi, mereka mungkin menggunakan praktik yang tidak aman seperti menuliskan kata sandi atau menyimpannya di lokasi yang mudah diakses, menciptakan lebih banyak vektor serangan bagi pelaku ancaman untuk dieksploitasi selama pengintaian fisik atau kampanye rekayasa sosial.

Tindakan remediasi

• Atur kebijakan kedaluwarsa kata sandi untuk organisasi Anda.
  • Masuk ke Pusat admin Microsoft 365. Buka Pengaturan>Pengaturan> Organisasi** Keamanan &Privasi** >Kebijakan kedaluwarsa kata sandi. Pastikan pengaturan Atur kata sandi agar tidak pernah kedaluwarsa dicentang.
• Nonaktifkan kedaluwarsa kata sandi menggunakan Microsoft Graph.
• Mengatur kata sandi pengguna individual agar tidak pernah kedaluwarsa menggunakan Microsoft Graph PowerShell
  • Update-MgUser -UserId <UserID> -PasswordPolicies DisablePasswordExpiration

Ambang penguncian cerdas diatur ke 10 atau kurang

Ketika ambang penguncian cerdas diatur ke lebih dari 10, pelaku ancaman dapat mengeksploitasi konfigurasi untuk melakukan pengintaian, mengidentifikasi akun pengguna yang valid tanpa memicu perlindungan penguncian, dan membuat akses awal tanpa deteksi. Setelah penyerang mendapatkan akses awal, mereka dapat bergerak secara lateral melalui lingkungan dengan menggunakan akun yang disusupi untuk mengakses sumber daya dan meningkatkan hak istimewa.

Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute force untuk masuk. Penguncian cerdas dapat mengenali aktivitas masuk yang berasal dari pengguna sah dan memperlakukannya secara berbeda dari aktivitas masuk oleh penyerang dan sumber lain yang tidak diketahui. Ambang batas lebih dari 10 memberikan perlindungan yang tidak cukup terhadap serangan semprotan kata sandi otomatis, sehingga memudahkan pelaku ancaman untuk membahayakan akun sambil menghindari mekanisme deteksi.

Tindakan remediasi

• Atur nilai ambang penguncian cerdas Microsoft Entra menjadi 10 atau kurang.

Durasi penguncian sistem cerdas diatur ke minimal 60

Ketika durasi Penguncian Cerdas dikonfigurasi di bawah default 60 detik, pelaku ancaman dapat mengeksploitasi periode penguncian yang dipersingkat untuk melakukan penyemprotan kata sandi dan serangan pengisian info masuk secara lebih efektif. Berkurangnya jendela penguncian memungkinkan penyerang untuk melanjutkan upaya autentikasi dengan lebih cepat, meningkatkan probabilitas keberhasilan mereka sementara berpotensi menghindari sistem deteksi yang mengandalkan periode pengamatan yang lebih lama.

Tindakan remediasi

• Atur durasi Penguncian Cerdas ke 60 detik atau lebih tinggi

Menambahkan istilah organisasi ke daftar kata sandi yang dilarang

Organisasi yang tidak mengisi dan memberlakukan daftar kata sandi terlarang kustom mengekspos diri mereka ke rantai serangan sistematis di mana pelaku ancaman mengeksploitasi pola kata sandi organisasi yang dapat diprediksi. Pelaku ancaman ini biasanya dimulai dengan fase pengintaian, di mana mereka mengumpulkan kecerdasan sumber terbuka (OSINT) dari situs web, media sosial, dan catatan publik untuk mengidentifikasi kemungkinan komponen kata sandi. Dengan pengetahuan ini, mereka meluncurkan serangan penyemprotan kata sandi yang menguji variasi kata sandi khusus organisasi di beberapa akun pengguna, tetap berada di bawah batas penguncian untuk menghindari deteksi. Tanpa perlindungan yang ditawarkan daftar kata sandi terlarang kustom, karyawan sering menambahkan istilah organisasi yang akrab ke kata sandi mereka, seperti lokasi, nama produk, dan istilah industri, menciptakan vektor serangan yang konsisten.

Daftar kata sandi terlarang kustom membantu organisasi mencolokkan celah penting ini untuk mencegah kata sandi yang mudah ditebak yang dapat menyebabkan akses awal dan gerakan lateral berikutnya dalam lingkungan.

Tindakan remediasi

• Pelajari cara mengaktifkan perlindungan kata sandi terlarang kustom dan menambahkan istilah organisasi

Memerlukan autentikasi multifaktor untuk gabungan perangkat dan pendaftaran perangkat menggunakan tindakan pengguna

Pelaku ancaman dapat mengeksploitasi kurangnya autentikasi multifaktor selama pendaftaran perangkat baru. Setelah diautentikasi, mereka dapat mendaftarkan perangkat nakal, membangun persistensi, dan menghindari kontrol keamanan yang terkait dengan titik akhir tepercaya. Pijakan ini memungkinkan penyerang untuk menyelundupkan data sensitif, menyebarkan aplikasi berbahaya, atau pindah secara lateral, tergantung pada izin akun yang digunakan oleh penyerang. Tanpa penegakan MFA, risiko meningkat sebagai iklan dapat terus mengautentikasi ulang, menghindari deteksi, dan menjalankan tujuan.

Tindakan remediasi

• Sebarkan kebijakan Akses Bersyarat untuk mewajibkan autentikasi multifaktor untuk pendaftaran perangkat.

Solusi Kata Sandi Admin Lokal disebarkan

Tanpa Solusi Kata Sandi Admin Lokal (LAPS) disebarkan, pelaku ancaman mengeksploitasi kata sandi administrator lokal statis untuk membuat akses awal. Setelah pelaku ancaman membahayakan satu perangkat dengan kredensial administrator lokal bersama, mereka dapat bergerak secara lateral di seluruh lingkungan dan mengautentikasi ke sistem lain yang berbagi kata sandi yang sama. Akses administrator lokal yang disusupi memberikan hak istimewa tingkat sistem pelaku ancaman, memungkinkan mereka menonaktifkan kontrol keamanan, menginstal backdoor persisten, menyelundupkan data sensitif, dan membuat saluran perintah dan kontrol.

Rotasi kata sandi otomatis dan manajemen terpusat LAPS menutup celah keamanan ini dan menambahkan kontrol untuk membantu mengelola siapa yang memiliki akses ke akun penting ini. Tanpa solusi seperti LAPS, Anda tidak dapat mendeteksi atau menanggapi penggunaan akun administrator lokal yang tidak sah, memberikan waktu tinggal yang diperpanjang oleh pelaku ancaman untuk mencapai tujuan mereka sambil tetap tidak terdeteksi.

Tindakan remediasi

• Mengonfigurasi Solusi Kata Sandi Administrator Lokal Windows.

Sinkronisasi Entra Connect dikonfigurasi dengan Kredensial Prinsipal Layanan

Sinkronisasi Microsoft Entra Connect menggunakan akun pengguna alih-alih perwakilan layanan menciptakan kerentanan keamanan. Autentikasi akun pengguna warisan dengan kata sandi lebih rentan terhadap pencurian kredensial dan serangan kata sandi daripada autentikasi perwakilan layanan dengan sertifikat. Akun konektor yang disusupi memungkinkan pelaku ancaman memanipulasi sinkronisasi identitas, membuat akun backdoor, meningkatkan hak istimewa, atau mengganggu infrastruktur identitas hibrid.

Tindakan remediasi

• Mengonfigurasi autentikasi perwakilan layanan untuk Entra Connect
• Menghapus Akun Sinkronisasi Direktori Warisan

Tidak ada penggunaan ADAL di penyewa

Microsoft mengakhiri dukungan dan perbaikan keamanan untuk ADAL pada 30 Juni 2023. Penggunaan ADAL yang berlanjut mengabaikan perlindungan keamanan modern yang tersedia hanya di MSAL, termasuk penegakan Akses Kondisional, Evaluasi Akses Berkelanjutan (CAE), dan perlindungan token tingkat lanjut. Aplikasi ADAL menciptakan kerentanan keamanan dengan menggunakan pola autentikasi warisan yang lebih lemah, sering memanggil titik akhir Azure AD Graph yang tidak digunakan lagi, dan mencegah adopsi alur autentikasi yang diperkuat yang dapat mengurangi saran keamanan di masa mendatang.

Tindakan remediasi

• Memigrasikan aplikasi ke Microsoft Authentication Library (MSAL)

Memblokir modul Azure AD PowerShell warisan

Pelaku ancaman sering menargetkan antarmuka manajemen lama seperti modul Azure AD PowerShell (AzureAD dan AzureADPreview), yang tidak menyediakan dukungan untuk autentikasi modern, penegakan Akses Bersyarat, atau penelusuran audit tingkat lanjut. Penggunaan berkelanjutan modul ini mengekspos lingkungan terhadap risiko termasuk autentikasi yang lemah, bypass kontrol keamanan, dan visibilitas yang tidak lengkap ke dalam tindakan administratif. Penyerang dapat mengeksploitasi kelemahan ini untuk mendapatkan akses yang tidak sah, meningkatkan hak istimewa, dan melakukan perubahan berbahaya.

Blokir modul Azure ACTIVE Directory PowerShell dan tertibkan penggunaan Microsoft Graph PowerShell atau Microsoft Entra PowerShell untuk memastikan bahwa hanya saluran manajemen yang aman, didukung, dan dapat diaudit yang tersedia, yang menutup celah penting dalam rantai serangan.

Tindakan remediasi

• Menonaktifkan masuk pengguna untuk aplikasi

Mengaktifkan default keamanan ID Microsoft Entra

Mengaktifkan default keamanan di Microsoft Entra sangat penting bagi organisasi dengan lisensi Microsoft Entra Free untuk melindungi dari serangan terkait identitas. Serangan ini dapat menyebabkan akses yang tidak sah, kerugian finansial, dan kerusakan reputasi. Default keamanan mengharuskan semua pengguna mendaftar untuk autentikasi multifaktor (MFA), memastikan administrator menggunakan MFA, dan memblokir protokol autentikasi lama. Ini secara signifikan mengurangi risiko serangan yang berhasil, karena lebih dari 99% serangan terkait identitas umum dihentikan dengan menggunakan MFA dan memblokir autentikasi warisan. Default keamanan menawarkan perlindungan garis besar tanpa biaya tambahan, membuatnya dapat diakses oleh semua organisasi.

Tindakan remediasi

• Mengaktifkan default keamanan di microsoft Entra ID