Selama bertahun-tahun, strategi keamanan siber berfokus pada perlindungan identitas manusia. Organisasi menerapkan Multi-Factor Authentication (MFA), Single Sign-On (SSO), Privileged Access Management (PAM), hingga berbagai solusi Identity Threat Detection and Response (ITDR) untuk melindungi akun karyawan.
Namun lanskap ancaman telah berubah secara signifikan.
Saat ini, perusahaan modern memiliki jumlah identitas non-manusia (Non-Human Identities/NHI) yang jauh lebih banyak dibandingkan identitas manusia. Service account, API key, OAuth token, workload identity, container identity, hingga AI agent kini menjadi tulang punggung operasional cloud dan otomatisasi digital. Sayangnya, identitas-identitas ini juga menjadi target baru bagi penyerang.
Artikel Abnormal AI “The Identity Attack Nobody Sees Coming: Lateral Movement via NHI” menyoroti bagaimana penyerang tidak lagi harus mencuri akun administrator untuk menyebarkan serangan. Sebaliknya, mereka cukup menemukan satu NHI yang memiliki akses luas untuk bergerak secara lateral ke berbagai sistem tanpa memicu alarm keamanan tradisional. Konsep ini menjadi salah satu ancaman identitas paling berbahaya di era cloud dan AI saat ini.
Apa Itu Non-Human Identity (NHI)?
Secara sederhana, NHI adalah identitas digital yang digunakan oleh aplikasi, layanan, sistem otomatis, atau mesin untuk saling berkomunikasi dan mengakses sumber daya.
Contohnya meliputi:
-
Service accounts
-
API keys
-
OAuth tokens
-
Kubernetes workload identities
-
Cloud service identities
-
CI/CD pipeline credentials
-
AI agents dan autonomous systems
Berbeda dengan akun manusia, NHI sering bekerja 24 jam sehari tanpa interaksi pengguna. Karena sifatnya yang otomatis, banyak organisasi memberikan hak akses yang lebih luas daripada yang sebenarnya diperlukan. Kondisi inilah yang sering dimanfaatkan penyerang.
Contoh Non-Human Identities di Lingkungan Modern
| Jenis NHI | Fungsi |
|---|---|
| Service Account | Menjalankan aplikasi dan layanan |
| API Key | Menghubungkan aplikasi |
| OAuth Token | Otorisasi layanan cloud |
| Container Identity | Akses workload Kubernetes |
| CI/CD Credential | Deployment otomatis |
| AI Agent Identity | Menjalankan tugas berbasis AI |
Memahami Lateral Movement Melalui NHI
Dalam serangan tradisional, penyerang biasanya:
-
Mengkompromikan endpoint.
-
Mencuri kredensial pengguna.
-
Meningkatkan hak akses.
-
Bergerak ke sistem lain.
Namun pada lingkungan cloud modern, jalurnya jauh lebih sederhana.
Setelah memperoleh satu API key atau service account yang valid, penyerang dapat menggunakan hubungan kepercayaan (trusted relationships) yang sudah ada antar sistem untuk berpindah dari satu layanan ke layanan lain. Aktivitas tersebut sering kali terlihat sebagai komunikasi normal antar aplikasi.
Siklus Serangan NHI-Based Lateral Movement
| Tahap | Aktivitas Penyerang |
|---|---|
| Initial Access | Mengompromikan aplikasi atau workload |
| Credential Discovery | Mencari token atau API key |
| Permission Enumeration | Memetakan hak akses |
| Lateral Pivot | Mengakses sistem lain menggunakan NHI |
| Privilege Expansion | Mengambil akses yang lebih tinggi |
| Data Access | Mengakses data sensitif |
| Persistence | Mempertahankan akses jangka panjang |
Yang membuat serangan ini berbahaya adalah seluruh aktivitas menggunakan kredensial yang sah dan dipercaya oleh sistem.
Mengapa Sulit Dideteksi?
Sebagian besar solusi keamanan masih berfokus pada aktivitas pengguna manusia.
Ketika seorang karyawan login dari lokasi yang tidak biasa, sistem akan memberikan peringatan. Namun ketika sebuah service account mengakses database atau API yang memang biasa diaksesnya, aktivitas tersebut dianggap normal.
Masalahnya, penyerang juga dapat menggunakan identitas yang sama.
Aktivitas yang Tampak Normal tetapi Berbahaya
| Aktivitas | Terlihat Sah? |
|---|---|
| Service account mengakses database | Ya |
| API key menghubungi layanan cloud | Ya |
| Token OAuth mengakses SaaS | Ya |
| Workload berpindah antar service | Ya |
| AI agent menggunakan tool internal | Ya |
Karena semua aktivitas tersebut menggunakan jalur komunikasi resmi, firewall dan solusi keamanan tradisional sering kali gagal membedakan antara operasi normal dan aktivitas penyerang.
Cloud dan AI Memperbesar Risiko
Pertumbuhan cloud-native architecture dan AI agents memperluas permukaan serangan secara signifikan.
Dalam lingkungan modern:
-
Satu aplikasi dapat menggunakan puluhan API.
-
Satu workload dapat memiliki beberapa token akses.
-
AI agent dapat mengakses berbagai sistem secara otomatis.
-
Satu NHI dapat memiliki hubungan kepercayaan dengan banyak layanan lain.
Setiap hubungan tersebut berpotensi menjadi jalur lateral movement baru jika tidak dikendalikan dengan baik. Bahkan penelitian keamanan terbaru menunjukkan bahwa AI agent dapat melakukan perpindahan lateral menggunakan akses yang memang diberikan kepadanya tanpa memicu kontrol keamanan tradisional.
Faktor yang Memperbesar Risiko NHI
| Faktor | Dampak |
|---|---|
| Overprivileged Accounts | Hak akses terlalu luas |
| Static Credentials | Token berlaku terlalu lama |
| Orphaned Identities | Identitas tidak terkelola |
| API Sprawl | Terlalu banyak integrasi |
| AI Agent Autonomy | Akses lintas sistem otomatis |
| Poor Visibility | Sulit memetakan hubungan akses |
Mengapa Least Privilege Menjadi Sangat Penting?
Mayoritas serangan lateral movement berhasil bukan karena adanya kerentanan teknis, melainkan karena hak akses yang terlalu luas.
Misalnya:
-
Service account untuk monitoring memiliki akses database produksi.
-
API key pengujian masih aktif di lingkungan produksi.
-
Workload cloud dapat mengakses layanan yang tidak berkaitan dengan tugasnya.
Jika satu identitas dikompromikan, seluruh rantai akses tersebut dapat digunakan oleh penyerang untuk memperluas jangkauan serangan.
Prinsip Pertahanan Modern
| Kontrol | Tujuan |
|---|---|
| Least Privilege | Membatasi hak akses |
| Zero Trust | Memverifikasi setiap koneksi |
| Identity Governance | Mengelola seluruh identitas |
| NHI Discovery | Menemukan seluruh NHI |
| Credential Rotation | Mengurangi risiko token bocor |
| Behavioral Analytics | Mendeteksi penyimpangan aktivitas |
| Continuous Monitoring | Mengawasi aktivitas secara real-time |
Dari Identity Security Menuju Identity Behavior Security
Salah satu pesan utama dari pendekatan Abnormal AI adalah bahwa organisasi tidak cukup hanya mengetahui identitas apa yang ada di lingkungan mereka.
Mereka juga harus memahami bagaimana identitas tersebut berperilaku.
Misalnya:
-
Service account biasanya mengakses tiga aplikasi tertentu.
-
API key hanya digunakan pada jam deployment.
-
AI agent hanya berinteraksi dengan tool tertentu.
Ketika pola tersebut berubah secara drastis, sistem dapat mendeteksi kemungkinan kompromi meskipun kredensial yang digunakan masih valid. Pendekatan berbasis perilaku inilah yang semakin penting dalam menghadapi serangan lateral movement modern.
Relevansi bagi Perusahaan di Indonesia
Perusahaan di Indonesia saat ini semakin mengandalkan:
-
Microsoft Azure
-
Amazon Web Services (AWS)
-
Google Cloud Platform (GCP)
-
Kubernetes
-
SaaS Business Applications
-
AI dan automation platform
Setiap teknologi tersebut menciptakan ratusan hingga ribuan NHI yang harus dikelola. Tanpa visibilitas yang memadai, organisasi dapat memiliki jalur akses tersembunyi yang memungkinkan penyerang berpindah dari satu sistem ke sistem lain tanpa terdeteksi.
Karena itu, strategi keamanan modern harus memperlakukan NHI sebagai aset kritis yang setara dengan akun administrator manusia.
Kesimpulan
Lateral movement tidak lagi hanya terjadi melalui akun pengguna yang dicuri. Di era cloud, otomatisasi, dan AI, Non-Human Identities telah menjadi target yang jauh lebih menarik bagi penyerang karena sering kali memiliki akses luas, kredensial jangka panjang, dan pengawasan yang lebih rendah.
Ketika satu service account, API key, atau token berhasil dikompromikan, penyerang dapat memanfaatkan hubungan kepercayaan antar sistem untuk bergerak secara diam-diam menuju aset yang lebih bernilai. Aktivitas tersebut sering kali terlihat sepenuhnya sah karena menggunakan jalur komunikasi resmi yang memang dirancang untuk operasional bisnis.
Bagi organisasi modern, pertanyaan yang perlu dijawab bukan hanya “Siapa yang memiliki akses?” tetapi juga “Identitas non-manusia apa saja yang ada, apa yang dapat mereka lakukan, dan apakah perilakunya masih sesuai dengan yang diharapkan?”. Kemampuan menjawab pertanyaan tersebut akan menjadi kunci dalam menghentikan serangan lateral movement generasi berikutnya sebelum berkembang menjadi pelanggaran data berskala besar.
Abnormal Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Abnormal.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.