Penelitian dari Forrester memperkirakan bahwa setiap pengaturan ulang kata sandi membutuhkan biaya sekitar $70. Sebagai salah satu permintaan layanan bantuan yang paling umum, banyak organisasi telah memperkenalkan alat pengaturan ulang kata sandi layanan mandiri (SSPR) untuk mengurangi beban. Namun, terlepas dari alat-alat ini, tim meja bantuan masih menangani sejumlah besar pengaturan ulang kata sandi, baik itu mendukung pendaftaran SSPR atau menangani kasus-kasus edge.
Kata sandi tersebut menyetel ulang kata sandi yang merupakan target alami bagi penyerang, yang mengetahui bahwa jika mereka dapat meyakinkan agen untuk menyetel ulang kata sandi, mereka dapat melewati autentikasi multi-faktor (MFA) dan langsung masuk ke akun. Oleh karena itu, mengunci proses pengaturan ulang kata sandi dimulai dengan memahami letak kesalahannya.
Bagaimana satu pengaturan ulang dapat menghasilkan kompromi penuh
Serangan April 2025 terhadap pengecer Inggris Marks & Spencer (M&S) mengganggu operasi secara nasional, menyebabkan penghentian penjualan online selama 5 hari yang setara dengan kerugian harian rata-rata sebesar £3,8 juta ($5,1 juta).
Penyerang terkait dengan kelompok peretas Laba-laba Tersebar diyakini telah memperoleh akses awal dengan menyamar sebagai karyawan M&S dan menghubungi meja layanan pihak ketiga. Penyetelan ulang kata sandi telah dilakukan, memberi mereka kredensial yang sah sehingga menghilangkan kebutuhan untuk mengeksploitasi kerentanan teknis apa pun.
Dari sana, penyerang mengeksploitasi Active Directory untuk mengekstrak file NTDS.dit, database yang menyimpan hash kata sandi untuk semua pengguna domain. Scattered Spider mampu memecahkan hash tersebut secara offline untuk memulihkan kredensial tambahan.
Dengan akun yang valid dan peningkatan hak istimewa, penyerang bergerak ke samping menggunakan alat standar dan aktivitas login normal, sehingga memperluas akses selama beberapa minggu. Setelah mereka memiliki hak istimewa yang memadai, mereka menyebarkan ransomware, mengenkripsi sistem yang mendukung pembayaran, e-commerce, dan logistik. M&S terpaksa menjadikan layanannya offline, sehingga mengganggu operasional dan transaksi pelanggan.
Mengamankan meja layanan
Tantangan serangan rekayasa sosial seperti pelanggaran M&S adalah serangan tersebut tidak terlihat mencurigakan. Dari sudut pandang meja bantuan, itu hanyalah pengguna lain yang meminta a pengaturan ulang kata sandi.
Itulah sebabnya meja layanan menjadi targetnya, dan mengapa mengandalkan pemeriksaan dasar saja tidak cukup untuk mengamankan proses penyetelan ulang. Tanpa cara yang dapat diandalkan untuk memverifikasi siapa yang menelepon, permintaan rutin akan mudah menjadi titik masuk.
Solusi seperti Meja Layanan Aman Specops berarti tim pusat bantuan dapat mengonfirmasi identitas pengguna sebelum penyetelan ulang dilakukan. Daripada mengandalkan informasi yang dapat ditemukan atau ditebak, agen dapat memicu kode satu kali ke perangkat tepercaya atau menggunakan penyedia identitas yang sudah ada seperti Duo atau Okta.
Setiap permintaan mengikuti langkah-langkah yang sama, dan verifikasi bukanlah opsional atau bergantung pada individu yang menangani panggilan tersebut. Ini berarti penyerang tidak bisa mengandalkan taktik yang sama seperti yang digunakan dalam kasus M&S. Bahkan jika mereka memiliki informasi latar belakang yang meyakinkan, mereka masih memerlukan akses ke perangkat terdaftar pengguna atau faktor identitas, sesuatu yang lebih sulit untuk dipalsukan melalui telepon.
Praktik terbaik untuk pengaturan ulang kata sandi
Untuk organisasi yang sudah memiliki solusi seperti Specops Secure Service Desk, berikut ini praktik terbaik akan membantu tim memastikan standar tersebut ditegakkan secara konsisten.
1. Dorong layanan mandiri jika memungkinkan
Tidak semua pengaturan ulang kata sandi harus melalui meja bantuan. Faktanya, mengurangi ketergantungan tersebut adalah salah satu cara paling sederhana untuk menurunkan biaya dan risiko.
Jika Anda sudah memiliki solusi pengaturan ulang kata sandi mandiri, fokusnya harus pada mendorong penerapannya. Pastikan pengguna mengetahui cara mendaftar, memahami cara kerjanya, dan merasa percaya diri menggunakannya saat diperlukan. Ini bisa sesederhana membuat panduan singkat dengan instruksi orientasi yang jelas untuk pengguna baru.
2. Gunakan kredensial sementara yang aman
Bahkan pengaturan ulang yang terverifikasi pun berisiko jika hand-off lemah. Menyebarkan kata sandi sementara melalui panggilan suara atau mengirimkannya melalui email tidak terenkripsi menciptakan peluang bagi pencegat. Kredensial sementara harus kuat, sekali pakai, dan dikirimkan melalui saluran terenkripsi. Jika pengaturan ulang tetap aktif selama lebih dari beberapa menit, ini merupakan kerentanan yang masih ada.
3. Pantau aktivitas pengaturan ulang kata sandi
Melacak bagaimana dan kapan penyetelan ulang terjadi dapat menyoroti risiko keamanan dan kesenjangan proses. Cari pola seperti penyetelan ulang yang sering, permintaan layanan bantuan yang berulang, atau pengguna yang kesulitan dengan layanan mandiri. Hal ini dapat menunjukkan apa saja, mulai dari pengalaman pengguna yang buruk hingga potensi penyalahgunaan.
Pemantauan rutin juga membantu memperkuat kebiasaan baik. Jika pengguna tidak menerapkan layanan mandiri atau berulang kali mengalami masalah, ini adalah peluang untuk mengambil tindakan dengan panduan yang lebih jelas. Seiring waktu, visibilitas ini mengurangi beban kerja helpdesk dan membuat pengaturan ulang lebih dapat diprediksi dan, yang terpenting, lebih aman.
4. Melengkapi dan melatih meja bantuan
Helpdesk tetap turun tangan ketika ada sesuatu yang tidak mengikuti jalur standar, atau pengguna memerlukan dukungan tambahan. Hal ini hanya akan berhasil jika mereka memiliki alat yang tepat dan panduan yang jelas. Verifikasi identitas harus konsisten, tidak dibiarkan menghakimi.
Agen juga harus memiliki visibilitas ke dalam aktivitas penyetelan ulang dan kebijakan yang ditentukan untuk memantau anomali setiap saat. Dengan pengaturan yang tepat, helpdesk menjadi titik kontrol utama dalam mencegah akses tidak sah.
Amankan pengaturan ulang kata sandi Anda dengan Specops
Penyerang tidak perlu membobol jika mereka bisa meminta akses, jadi memverifikasi identitas selama permintaan pengaturan ulang kata sandi adalah suatu keharusan. Dengan alat yang tepat dan proses yang kuat, helpdesk menjadi garis pertahanan yang kuat. Tanpa mereka, ini adalah titik masuk yang mudah.
Jika Anda ingin memperkuat pengaturan ulang kata sandi Anda, Specops dapat membantu Anda menerapkan kontrol yang tepat.
Hubungi kami hari ini atau pesan demo untuk melihat solusi kami dalam tindakan.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
