Keamanan sistem informasi merupakan salah satu perhatian utama bagi setiap perusahaan di era digital saat ini. Hal ini karena mulai banyaknya ancaman-ancaman terhadap keamanan sistem yang dapat merugikan perusahaan, salah satunya adalah broken access control vulnerability. Kerentanan ini merupakan salah satu ancaman keamanan siber yang memiliki dampak cukup signifikan terhadap data dan sistem.

Kontrol akses yang lemah merupakan salah satu ancaman paling kritis dalam Open Web Application Security Project (OWASP) Top 10 di tahun 2021. Berbagai insiden keamanan seperti kebocoran data dapat terjadi akibat kerentanan ini. Oleh karena itu, ancaman ini menjadi semakin mengkhawatirkan seiring dengan meningkatnya serangan siber yang mengeksploitasi celah-celah otorisasi untuk bisa mencuri data sensitif seperti data finansial, informasi medis, atau rahasia bisnis perusahaan. Artikel ini akan membahas broken access control secara mendalam, mulai dari definisinya, dampaknya, perbedaannya dengan privilege escalation, jenis-jenis, serta cara mengatasinya. Simak artikel berikut ini untuk informasi selengkapnya!

Apa itu Broken Access Control?

Broken access control adalah salah satu kerentanan atau celah keamanan yang memungkinkan pengguna tidak sah untuk mengakses, memodifikasi, atau menghapus data tanpa otorisasi yang tepat. Hal ini dapat terjadi ketika mekanisme kontrol akses pada suatu sistem tidak berfungsi sebagaimana mestinya.

Kontrol akses atau access control sendiri merupakan rangkaian kebijakan dan mekanisme teknis yang diterapkan untuk mengelola akses para pengguna ke sumber daya sistem. Oleh karena itu, ketika sistem atau mekanisme ini rusak atau lemah, pengguna dapat melakukan tindakan yang melebihi hak akses yang mereka seharusnya miliki.

Hal ini dapat terjadi ketika pengguna dapat mengakses panel atau ID admin hanya dengan mengganti URL tanpa pemeriksaan izin seperti autentikasi dan otorisasi. Masalah dapat terjadi apabila sistem sudah berhasil memverifikasi identitas pengguna lewat autentikasi, tetapi gagal membatasi akses sesuai dengan role-nya lewat otorisasi.

Apa Dampak dari Broken Access Control?

Kontrol akses yang lemah dan rusak dapat menyebabkan berbagai macam dampak negatif yang signifikan untuk perusahaan. Berikut ini adalah beberapa dampak dari kontrol akses yang lemah:

Pelanggaran Data

Pelanggaran data seperti kebocoran data sensitif dapat terjadi ketika kontrol akses rusak atau dieksploitasi. Informasi sensitif seperti informasi kartu kredit, rekam jejak medis, dan rahasia bisnis perusahaan dapat menjadi target utama dari pelanggaran data ini.

Kerugian Finansial

Dampak dari kontrol akses yang lemah dan dieksploitasi dapat berpengaruh kepada kerugian finansial perusahaan. Hal ini karena biaya pemulihan pasca pelanggaran data dan keamanan cukup tinggi. Hal ini belum termasuk biaya denda pelanggaran regulasi yang berlaku terkait keamanan data.

Gangguan Operasional

Beberapa jenis serangan siber akibat dari kontrol akses yang rusak dapat melumpuhkan sistem dan mengganggu kegiatan operasional bisnis. Hal ini dilakukan oleh pelaku serangan dengan menghapus database atau mengacaukan konfigurasi jaringan.

Dampak Hukum dan Reputasi

Perusahaan yang mengalami kebocoran dan pelanggaran data, khususnya data pribadi milik pelanggan dapat kehilangan kepercayaan dari pelanggan dan mitra bisnis. Hal ini juga dapat merusak reputasi dari brand yang telah dibangun. Selain itu, dampak hukum yang akan dihadapi perusahaan juga bisa merugikan reputasi mereka.

Broken Access Control vs Privilege Escalation, Apa Perbedaannya?

Kontrol akses yang lemah dan privilege escalation sering dianggap sebagai hal yang sama. Hal ini karena keduanya memang merupakan kerentanan yang terjadi ketika kontrol akses terhadap suatu sistem rusak atau lemah. Akan tetapi, terdapat beberapa perbedaan dalam cakupan dan mekanismenya.

Secara cakupan, broken access control merujuk pada kerentanan sistem dalam melakukan otorisasi secara umum. Sementara itu, privilege escalation merupakan subtipe serangan spesifik dalam kontrol akses yang lemah. Berdasarkan cara kerjanya, kontrol akses yang lemah dapat terjadi ketika sistem gagal untuk membatasi akses pengguna sesuai dengan perannya. Hal ini menyebabkan pengguna dapat mengakses ID atau akun dari pengguna lain yang tidak sesuai dengan hak akses mereka.

Privilege escalation dapat terjadi ketika pengguna mengeksploitasi celah keamanan yang ada untuk menaikkan level akses pribadi mereka sendiri, misalnya dari pengguna biasa menjadi administrator. Jenis serangan ini dibagi menjadi dua jenis, yaitu serangan vertikal dan horizontal. Serangan vertikal terjadi ketika pengguna meningkatkan hak akses miliknya sendiri, sementara serangan horizontal terjadi ketika pelaku mengakses data pengguna lain dengan level yang sama. Sederhananya, privilege escalation merupakan salah satu bentuk atau jenis dari kontrol akses yang lemah.

Apa Saja Jenis-jenis Broken Access Control?

Terdapat beberapa contoh atau jenis serangan yang bisa dilakukan oleh pengguna untuk mengeksploitasi kontrol akses yang rusak atau lemah. Berikut ini adalah beberapa contoh serangan tersebut:

Manipulasi URL

Penyerang dapat melakukan metode manipulasi URL untuk mengeksploitasi kerentanan kontrol akses yang lemah. Metode ini dilakukan dengan mengubah URL dengan tujuan untuk menerobos kontrol akses dan mendapatkan akses tanpa otorisasi. Hal ini dapat terjadi jika sistem atau aplikasi tidak menerapkan kontrol akses secara benar.

Eksploitasi Endpoint

Eksploitasi endpoint melibatkan eksploitasi terhadap titik-titik interaksi antara aplikasi dan sistem. Komponen sistem ini meliputi API, microservices, dan layanan lainnya yang ada di dalam aplikasi. Berbagai endpoint ini dapat menjadi titik yang dapat dieksploitasi apabila tidak diamankan dengan baik.

Privilege Escalation

Seperti yang telah disinggung sebelumnya, privilege escalation merupakan salah satu jenis kontrol akses lemah yang terjadi ketika pengguna meningkatkan level aksesnya untuk mendapatkan data atau fungsi yang sensitif.

Insecure Direct Object References (IDOR)

IDOR merupakan jenis kerentanan kontrol akses di mana aplikasi mengekspos referensi internal secara langsung, mulai dari kunci database, atau file path. Hal ini dapat dieksploitasi oleh penyerang secara brute force untuk mendapatkan akses ke data sensitif.

Bagaimana Cara Mengatasi Broken Access Control?

Untuk mengatasi kerentanan kontrol akses, perusahaan dapat menerapkan beberapa langkah keamanan berikut ini:

Implementasi RBAC

Role-based access control merupakan model kontrol akses yang mengelola izin kepada pengguna berdasarkan peran mereka dalam organisasi atau perusahaan. Dengan model ini, setiap pengguna hanya dapat mengakses sumber daya yang mereka perlukan untuk menjalankan tugas.

Terapkan Otorisasi di Setiap Lapisan

Langkah otorisasi harus diterapkan di setiap lapisan dalam sistem atau aplikasi, mulai dari frontend hingga backend. Hal ini meliputi verifikasi identitas dan otorisasi akses sebelum memproses setiap permintaan yang masuk ke sistem lebih lanjut.

Gunakan Token JWT Masa Aktif Pendek

JSON Web Token (JWT) merupakan representasi token yang aman untuk transfer informasi antara dua pihak. JW dengan masa aktif yang pendek akan meminimalkan risiko penyalahgunaan token, karena token yang kadaluarsa akan mencegah akses yang tidak sah.

Audit Akses secara Berkala

Perusahaan juga perlu melakukan audit akses secara berkala untuk memeriksa dan melacak aktivitas pengguna dan mengidentifikasi potensi ancaman. Hal ini dapat dilakukan melalui log untuk melihat siapa saja yang mengakses data tertentu, kapan, dan dari mana.

Cegah Broken Access Control dengan Solusi Identity Access Management dari Aplikas Servis Pesona!

Mengatasi kerentanan dalam kontrol akses merupakan hal yang penting. Oleh karena itu, perusahaan perlu mengambil langkah proaktif untuk bisa melindungi data sensitif dan aset perusahaan. Salah satu cara untuk mengatasi kerentanan ini adalah dengan menggunakan solusi identity access management (IAM).

Solusi identity access management dari Aplikas Servis Pesona dapat memberikan pengelolaan akses pengguna yang terotomatisasi, pengamatan secara real time, analitik pola akses, serta integrasi ke berbagai aplikasi dan sistem.

Hubungi marketing@phintraco.com untuk informasi selengkapnya terkait solusi identity access management dari Aplikas Servis Pesona!

Editor: Irnadia Fardila