Organisasi menginvestasikan waktu dan uang untuk tetap aman dari ancaman dunia maya, jadi sangat penting bagi mereka untuk dapat mengukur seberapa baik investasi keamanan dunia maya mereka membuahkan hasil.
Terapkan kebijakan kata sandi. Setiap organisasi memiliki kebijakan (bahkan jika itu adalah pengaturan standar di Direktori Aktif) dan mereka mungkin memiliki perangkat lunak manajemen kata sandi tambahan.
Namun jika Anda tidak mengukur metrik nyata seputar keamanan kata sandi, bagaimana Anda tahu apakah strategi Anda memberi dampak positif?
Salah satu cara untuk melakukannya adalah dengan menyelaraskan kebijakan kata sandi dengan KPI keamanan siber yang lebih luas.
Postingan ini membahas empat area tempat Anda dapat melacak metrik nyata untuk melihat apakah kebijakan kata sandi Anda memiliki dampak nyata dan positif terhadap tujuan keamanan siber Anda secara keseluruhan.
Kami juga akan membagikan alat gratis untuk membantu mengungkap kerentanan yang tersembunyi di Direktori Aktif Anda.
Mengapa menilai kebijakan kata sandi Anda dengan KPI?
Menyelaraskan kebijakan kata sandi Anda dengan KPI keamanan siber yang lebih luas memungkinkan Anda membuktikan nilai investasi Anda. Data ini dapat memberi tim TI pemahaman yang lebih baik tentang keberhasilan atau kegagalan kebijakan keamanan kata sandi mereka dan membantu mereka mengidentifikasi area yang memerlukan perbaikan.
Lagi pula, tujuan dari kebijakan kata sandi yang kuat adalah untuk meningkatkan keamanan akses dan mengurangi potensi pelanggaran data.
Dengan memantau efektivitas kebijakan keamanan Anda, Anda dapat menunjukkan keberhasilan upaya Anda kepada para pemangku kepentingan dan eksekutif. Anda akan memperoleh pemahaman yang jauh lebih baik tentang postur keamanan Direktori Aktif Anda, dan jika ada area yang ditemukan kurang, Anda dapat membuat perubahan yang diperlukan untuk melindungi keamanan jaringan Anda.
Pelacakan KPI Kata Sandi
Memiliki kebijakan kata sandi yang kuat adalah kunci untuk melindungi jaringan Anda. Dengan mengukur efektivitas kebijakan Anda terhadap KPI berikut, Anda dapat mengidentifikasi dan memperbaiki potensi masalah sebelum kerusakan terjadi.
Kepatuhan terhadap peraturan
Kerangka kerja seperti standar kata sandi Institut Standar dan Teknologi Nasional (NIST) mendefinisikan persyaratan untuk membuat kata sandi yang aman dan menetapkan persyaratan kompleksitas minimum.
Untuk mengukur keberhasilan di area ini, tim TI harus secara teratur memeriksa kepatuhan terhadap standar umum untuk memastikan mereka mengikuti protokol autentikasi yang direkomendasikan.
Memeriksa kata sandi yang lemah
Mencegah pengguna membuat kata sandi yang lemah adalah tujuan utama kebijakan kata sandi.
Pemindaian rutin Direktori Aktif Anda dengan alat audit harus menunjukkan pengurangan atau penghapusan total akun pengguna akhir tanpa kata sandi, kata sandi kedaluwarsa, atau kata sandi yang identik dengan pengguna lain.
Kebijakan kata sandi terbaik juga harus memblokir istilah dasar yang umum digunakan, keyboard walk, dan istilah dasar khusus yang terkait dengan bisnis dan industri spesifik Anda.
Pindai kata sandi yang telah disusupi
Penting untuk diingat bahwa kata sandi yang kuat sekalipun dapat dibobol jika pengguna akhir menggunakannya berulang kali di perangkat pribadi atau situs web dengan keamanan lemah.
Pemindaian rutin terhadap kata sandi yang dilanggar dan dikompromikan dalam Direktori Aktif Anda dapat memblokir rute serangan potensial.
Permintaan pengaturan ulang kata sandi yang didorong oleh pengguna
Melacak seberapa sering pengguna mengatur ulang kata sandi mereka dapat membantu mengidentifikasi titik lemah dalam sistem keamanan Anda atau protokol autentikasi yang salah.
Banyaknya permintaan dapat mengindikasikan pengguna sering lupa kata sandi atau potensi upaya jahat untuk mengatur ulang kata sandi. Lonjakan tiba-tiba dalam kegagalan login atau upaya pengaturan ulang dapat menandakan serangan siber.
Memantau akun istimewa
Keamanan akun istimewa sangat penting bagi postur keamanan organisasi mana pun. Sangat penting bagi tim TI untuk dapat mengukur kekuatan kebijakan kata sandi mereka sehubungan dengan akun-akun ini.
Untuk melakukan ini, mereka dapat melacak tiga indikator kinerja utama (KPI): insiden eskalasi hak istimewa, waktu siklus peninjauan hak istimewa — dan waktu pencabutan hak istimewa.
Tertarik untuk mengetahui bagaimana kinerja organisasi Anda terkait dengan hal di atas? Periksa semua ini dan informasi lebih lanjut dengan Auditor Kata Sandi Specops – alat audit Direktori Aktif yang hanya dapat dibaca dan gratis.
Apakah autentikasi multifaktor (MFA) Anda efektif?
MFA merupakan komponen penting dari setiap kebijakan kata sandi yang aman, yang menyediakan lapisan keamanan tambahan dengan mengharuskan pengguna untuk memberikan dua atau lebih bukti saat masuk ke suatu sistem. Namun, hanya menyiapkannya saja tidak cukup – tim TI perlu mengukur efektivitas kebijakan MFA mereka. Berikut adalah tiga KPI yang disarankan untuk diikuti oleh tim TI:
Tingkat adopsi: Metrik ini melacak berapa banyak pengguna yang menggunakan MFA saat masuk ke sistem. Penting bagi semua pengguna untuk menggunakan MFA agar efektif dalam melindungi dari upaya akses yang tidak sah. Tingkat adopsi yang rendah menunjukkan bahwa pengguna mungkin tidak menyadari pentingnya melindungi akun mereka dengan langkah-langkah keamanan tambahan seperti MFA.
Tingkat keberhasilan/kegagalan autentikasi: Melacak seberapa sering pengguna berhasil mengautentikasi dengan MFA dibandingkan seberapa sering mereka gagal dalam upaya autentikasi karena kode yang salah atau kredensial yang terlupakan. Tingkat kegagalan yang tinggi dapat mengindikasikan kurangnya kesadaran pengguna tentang pentingnya menggunakan MFA atau kesulitan mengingat beberapa set kredensial — hal ini dapat menyebabkan akun disusupi jika tidak dicentang.
Tingkat bypass: Seberapa sering penyerang dapat melewati MFA dengan menebak kata sandi atau mengeksploitasi kerentanan. Tingkat pelanggaran yang tinggi berarti penyerang telah menemukan cara untuk mengatasi langkah-langkah keamanan Anda — hal ini harus segera diatasi.
Dapatkan gambaran singkat tentang kerentanan kata sandi Anda hari ini
Auditor Kata Sandi Specops adalah alat audit baca-saja gratis yang membantu tim TI secara proaktif mengidentifikasi kerentanan kata sandi di Direktori Aktif organisasi mereka.
Laporan dinamis menawarkan wawasan berharga tentang KPI seperti kepatuhan peraturan, kata sandi yang lemah/dibobol, dan aktivitas akun istimewa yang dapat memandu peningkatan protokol yang ada.
Perlu meningkatkan kebijakan kata sandi Direktori Aktif Anda? Lihat bagaimana Anda dapat melakukannya secara gratis selama 30 hari dengan Kebijakan Kata Sandi Specops.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
