Menerapkan Zero Trust? Prioritaskan orang sebanyak teknologi

Model kepercayaan keamanan siber rusak. Sejak peralihan ke cloud dan peralihan dari infrastruktur yang didiamkan di lokasi, lingkungan TI telah tumbuh semakin kompleks, berkembang baik dalam ukuran maupun variasi komponen.

Kepercayaan diizinkan ketika tim kecil insinyur mengakses infrastruktur di lokasi. Namun, dalam sistem hibrid modern yang digunakan oleh banyak bisnis, memercayai banyak titik akhir dan variabel untuk mematuhi semua langkah otentikasi dan prosedur pencegahan secara manual berisiko. Kita semua tahu bahwa hanya satu email phishing sudah cukup untuk berpotensi menyebabkan pelanggaran data penting. Insiden semacam itu bisa sangat merusak bisnis: IBM memperkirakan bahwa pelanggaran data tahun ini merugikan bisnis rata-rata $4,24 juta — tertinggi dalam 17 tahun.

Untuk mengelola dunia baru ini, banyak organisasi beralih ke Zero Trust. Memang, pada bulan Mei tahun ini Presiden AS Joe Biden mengeluarkan Perintah Eksekutif yang mengamanatkan semua lembaga federal mulai menyelaraskan lingkungan cloud mereka dengan arsitektur Zero Trust.

Jadi, apa itu Zero Trust? Intinya, ini adalah model keamanan siber yang terus-menerus mengidentifikasi dan mengotentikasi setiap perangkat, pengguna, dan identitas sebelum memberi mereka akses ke data. Ini memastikan bahwa pelaku jahat tidak dapat mengeksploitasi data sensitif, bahkan jika mereka telah memperoleh akses ke lingkungan TI. Dengan mewajibkan autentikasi konstan di setiap tahap alur kerja, kepercayaan dihilangkan dari persamaan dan dihilangkan sebagai kerentanan keamanan siber.

Agar model Zero Trust menjadi efektif, elemen perilaku dan budaya yang penting harus ditempatkan pada elemen-elemen budaya seiring dengan perubahan teknologi. Kesalahan manusia sejauh ini merupakan risiko terbesar bagi sebuah organisasi, sehingga semua pemangku kepentingan perlu sepenuh hati membeli model tersebut agar efektif.

Zero Trust dan kerja jarak jauh

Sejak awal kerja jarak jauh, jumlah serangan ransomware dan pelanggaran data telah meroket, ke titik di mana kejahatan dunia maya sekarang menjadi kejahatan paling umum di Inggris. Memang, Dewan Keamanan Siber Nasional (NCSC) Inggris mengelola 777 insiden keamanan siber yang belum pernah terjadi sebelumnya pada tahun 2021, meningkat 7,5 persen dari tahun sebelumnya. Aktor jahat telah berkembang pesat di dunia kerja jarak jauh, mengeksploitasi berbagai potensi kerentanan yang diciptakan oleh karyawan yang mengakses sistem dan data kerja dari rumah.

Risiko ini hanya diperparah oleh banyak perusahaan yang menggunakan beberapa layanan hosting untuk memenuhi tuntutan mereka di dunia kerja jarak jauh. Langkah-langkah dan persyaratan keamanan dapat bervariasi dari setiap penyedia cloud publik ke setiap layanan colocation, sehingga sulit bagi banyak orang untuk menerapkan strategi keamanan yang seragam.

Arsitektur Zero Trust

Zero Trust adalah model otentikasi hemat biaya universal yang dapat digunakan di semua arsitektur, membuatnya sangat cocok untuk infrastruktur TI hybrid yang disukai oleh banyak bisnis saat ini. Pembeda utama dari Zero Trust adalah tidak melihat batas jaringan tradisional. Ketika diterapkan dengan benar, ini menyediakan kerangka kerja pertahanan siber komprehensif yang cocok untuk pekerjaan hybrid; semua titik akhir, layanan cloud, dan infrastruktur lokal, seperti mainframe di lokasi, digabungkan ke dalam satu model.

Akses pengguna ke semua aplikasi dan data yang disimpan di salah satu komponen ini memerlukan otentikasi di semua tahap. Ini membutuhkan kebijakan akses yang komprehensif, menilai risiko yang disajikan oleh pengguna sebelum memberikan akses. NCSC Inggris memiliki penjelasan yang sangat baik tentang prinsip ini, menetapkan bagaimana perusahaan harus mengasumsikan “jaringan bermusuhan” dan hanya memberikan akses berdasarkan penilaian faktor-faktor utama seperti “lokasi perangkat, kesehatan perangkat, identitas dan status pengguna”.

Verifikasi konstan memerlukan pemantauan waktu nyata. Bisnis membutuhkan visibilitas di berbagai dependensi dan lingkungan di tumpukan TI mereka untuk memantau akses pengguna secara dinamis, dan jika perlu, menarik hak istimewa. Ada banyak sekali inovasi di bidang ini, dengan semakin banyak solusi yang memanfaatkan otomatisasi untuk merampingkan proses. Organisasi harus meluangkan waktu untuk menemukan solusi pemantauan yang sangat cocok dengan kebutuhan keamanan siber spesifik bisnis mereka.

Yang terpenting, otentikasi konstan memberikan lebih banyak hambatan bagi peretas untuk diatasi untuk mengakses data yang lebih luas. Akibatnya, elemen pemantauan Zero Trust memiliki jendela waktu yang jauh lebih lama untuk mengidentifikasi dan mengendalikan dampak. Banyak serangan siber yang terkenal dimulai dengan pelaku jahat yang mengeksploitasi kerentanan di satu bagian jaringan untuk mendapatkan akses ke sistem sensitif di seluruh bisnis; Serangan siber Colonial Pipeline dimulai dengan satu kata sandi yang disusupi di jaringan pribadi tervirtualisasi. Zero Trust harus mengizinkan bisnis untuk menutup hak akses bagi peretas, membatasi cakupan kerusakan dan mencegah serangan semacam itu berkembang menjadi masalah yang tidak dapat diatasi.

Sebuah perubahan budaya

Penting untuk memandang Zero Trust sebagai perubahan budaya yang sama pentingnya dengan perubahan teknologi. Titik akhir manusia sejauh ini merupakan risiko terbesar dalam lanskap keamanan siber saat ini, dan oleh karena itu perubahan perilaku diperlukan untuk mengatasi masalah tersebut.

Setiap individu perlu membeli model Zero Trust dengan sepenuh hati agar tetap efektif. Satu karyawan yang mengabaikan prosedur otentikasi adalah semua yang diperlukan untuk pelanggaran data untuk membuat model Zero Trust tidak efektif.

Pendidikan dan komunikasi menjadi prioritas utama untuk mencegah hal ini terjadi. Banyak individu kemungkinan sudah terlibat dengan prosedur otentikasi seperti Single Sign-on (SSO) dan otentikasi multi-faktor (MFA) dalam aspek pekerjaan mereka dan memahami pentingnya mereka dalam konteks yang ditetapkan. Melalui komunikasi dan pelatihan reguler, penerimaan ini dapat dibangun menjadi pemahaman tentang persyaratan holistik dari Zero Trust.

Daripada melihat keamanan siber hanya sebagai program pelatihan tahunan wajib, karyawan dapat diberdayakan oleh peran dan tanggung jawab mereka dalam proses Zero Trust. Dengan memahami bahwa Zero Trust tidak didasarkan pada ketidakpercayaan individu, melainkan mengharuskan mereka untuk berperan lebih besar dalam mencegah insiden keamanan siber, karyawan akan menjadi lebih terlibat dan memainkan peran mereka dalam mencegah serangan siber.

Kredit gambar: Olivier26/depositphotos.com

David Gochenaur, Direktur Senior Keamanan Siber di Ensono, adalah seorang profesional Keamanan Informasi berpengalaman dengan pengalaman lebih dari dua puluh tahun di industri perangkat lunak, konsultasi, perbankan, manufaktur, dan layanan. Keahlian David terletak pada pengembangan dan penerapan solusi keamanan di seluruh perusahaan untuk infrastruktur TI, aplikasi, manajemen akses pengguna, kebijakan, dan standar.

Author: Martha Meyer