Apa itu privileged identity management (PIM)?
Privileged identity management (PIM) adalah proses pemantauan dan perlindungan terhadap akun superuser yang memiliki akses lebih luas ke lingkungan TI sebuah organisasi.
Pengawasan terhadap akun superuser ini penting agar hak akses yang luas tersebut tidak disalahgunakan, disalahkelola, atau diabaikan. Tanpa pengawasan ini, akun-akun tersebut jadi tidak terkelola, yang bisa berujung pada hilangnya atau pencurian data sensitif perusahaan, atau bahkan pemasangan malware yang bisa mengkompromikan seluruh jaringan enterprise IT.
PIM adalah proses atau program untuk mengidentifikasi akun-akun istimewa, yang juga dikenal sebagai superuser accounts, dalam suatu organisasi. Tujuannya adalah untuk membantu memantau, mengontrol, dan mengelola hak akses masing-masing superuser terhadap sumber daya organisasi agar tetap aman. Selain tersedia sebagai tool pada berbagai platform sistem operasi, PIM juga merupakan layanan khusus dalam Microsoft Entra ID.
Superuser, seperti administrator database dan administrator sistem, punya kemampuan untuk melakukan hal-hal di sistem enterprise yang tidak bisa dilakukan oleh pengguna biasa. Misalnya, mereka bisa mengubah password pengguna lain, menambah, menghapus, atau memodifikasi profil pengguna; mengatur konfigurasi jaringan atau perangkat; menginstal program baru di endpoint enterprise; hingga memodifikasi database atau server perusahaan.
Untuk mencegah penyalahgunaan akun superuser dan melindungi organisasi, penting untuk memantau akun-akun ini secara terus-menerus (24/7). Selain itu, perlu juga membatasi jumlah akun seperti ini dan menghapus atau menyesuaikan hak akses jika pemilik akun tersebut tidak lagi membutuhkan akses lebih, misalnya saat karyawan keluar dari perusahaan. Karena itulah, PIM menjadi komponen penting dalam program keamanan siber dan keamanan informasi di level enterprise.
PIM umumnya digunakan untuk mengelola akun superuser yang diberi izin mengakses aset penting atau sensitif seperti file, akun pengguna, dokumen, kekayaan intelektual, rahasia bisnis, kode aplikasi, database, sistem keamanan, dan aset lain yang jika bocor atau rusak bisa berdampak buruk bagi organisasi.
Kenapa PIM penting bagi perusahaan?
Di banyak organisasi, akun superuser seperti administrator database, chief information officer, atau CEO sering kali tidak dikelola dengan ketat. Banyak software manajemen identitas yang tidak mengontrol akun-akun ini, meskipun mereka punya hak istimewa di jaringan perusahaan. Pemilik akun pun sering tidak punya pelatihan formal dalam mengelola atau melindungi akun superuser dari penyalahgunaan.
Kalau tidak dikelola dengan baik, aktor ancaman bisa mengambil alih akun superuser dan mengakses data atau aset sensitif perusahaan. Mereka juga bisa mengeksploitasi kerentanan sistem untuk mencuri kredensial superuser dan menggunakannya mencuri data perusahaan.
Dalam beberapa kasus, pelaku mencuri kredensial akun istimewa lalu menyusup ke jaringan dan bertahan lama di dalam sistem untuk melakukan pengawasan atau sabotase jangka panjang. Serangan ini dikenal sebagai advanced persistent threat (APT), dan sering terjadi karena tidak adanya PIM yang memadai.
Dengan menerapkan kontrol dan pengawasan PIM, organisasi bisa terus memantau semua akun istimewa dan memastikan hanya akun yang sah yang dapat mengakses aset sensitif. Ini juga membantu mengurangi risiko keamanan akibat penyalahgunaan hak akses.
Manfaat privileged identity management
Program PIM yang kuat meningkatkan visibilitas tim keamanan terhadap semua pengguna dan akun istimewa di lingkungan enterprise. Visibilitas ini penting untuk memastikan kontrol akses dan menjaga sistem yang berisi data sensitif tetap aman.
Tanpa PIM, lebih sulit untuk mengidentifikasi dan mengelola akun superuser. Akun yang sudah tidak digunakan — misalnya karena pemiliknya pindah divisi atau keluar dari perusahaan — tapi masih aktif, bisa jadi celah keamanan serius. Aktor ancaman bisa mengeksploitasi akun seperti ini untuk menyusup ke sistem dan melancarkan berbagai serangan. PIM yang berjalan terus-menerus akan secara rutin meninjau dan menonaktifkan akun-akun tersebut.
PIM juga penting untuk memastikan kepatuhan regulasi. Banyak standar seperti GDPR mewajibkan hanya individu tertentu yang boleh punya akses superuser ke data sensitif. Implementasi PIM yang baik membantu tim keamanan dan kepatuhan memenuhi syarat regulasi tersebut.
Manfaat lainnya adalah proses pemberian dan pencabutan hak akses menjadi lebih efisien. Dengan bantuan alat otomatis dan workflow PIM yang terstruktur, tim keamanan bisa menambah atau menghapus superuser dengan cepat tanpa mengorbankan postur keamanan perusahaan.
Strategi implementasi privileged identity management
Untuk mengimplementasikan PIM, berikut beberapa strategi yang bisa diterapkan:
- Buat kebijakan yang menjelaskan bagaimana akun superuser dikelola dan apa yang boleh serta tidak boleh dilakukan oleh pemilik akun.
- Kembangkan model manajemen yang menunjuk pihak yang bertanggung jawab atas kepatuhan terhadap kebijakan tersebut.
- Lakukan inventarisasi akun-akun istimewa untuk mengetahui siapa saja yang memilikinya dan seberapa luas cakupannya.
- Gunakan alat dan proses manajemen, seperti alat provisioning atau produk PIM khusus.
Penting juga untuk mengidentifikasi permukaan serangan (attack surface), yaitu semua aset TI perusahaan yang bisa terdampak jika akun istimewa disalahgunakan. Inventarisasi aset akan menunjukkan bagian mana saja yang perlu perlindungan ekstra dan membantu menyusun kebijakan PIM yang efektif.
Beberapa cara lain untuk melindungi akun istimewa adalah dengan menerapkan autentikasi dua faktor atau multifaktor, membuat kebijakan password yang ketat, dan memantau aktivitas serta perilaku pemilik akun istimewa.
Perbedaan privileged identity management vs privileged access management
Istilah privileged identity management dan privileged access management (PAM) sering digunakan secara bergantian, padahal keduanya punya perbedaan meskipun saling beririsan. Bahkan, PIM sebenarnya adalah bagian dari PAM.
PAM berfokus pada pengelolaan akun dan kredensial istimewa, serta mengelola hak akses dari akun-akun tersebut. Jadi, selain mengidentifikasi superuser, PAM juga bertugas mengontrol siapa yang boleh punya akses ke aset tertentu dan sejauh apa level aksesnya.
Alat PAM juga digunakan untuk memantau superuser agar hak istimewanya tidak disalahgunakan — baik oleh pemilik akun itu sendiri, maupun oleh aktor ancaman yang mungkin mencuri kredensial mereka.