Zero-trust tidak diragukan lagi adalah kata kunci baru keamanan siber, dan tren yang mendominasi diskusi seputar prioritas keamanan baik organisasi sektor publik maupun swasta selama beberapa tahun terakhir. Ini adalah pendekatan yang memperlakukan setiap pengguna, perangkat, aplikasi, dan beban kerja sebagai tidak tepercaya dan tidak memberikan akses ke sumber daya apa pun hingga perangkat atau identitas diuji dan diverifikasi. Ketika organisasi
memulai perjalanan tanpa kepercayaan mereka, akan ada banyak sekali vendor yang ingin memberikan bantuan dan keahlian mereka. Namun, bahkan sebelum terlibat dengan calon vendor, ada beberapa hal yang harus dipertimbangkan oleh organisasi untuk dilakukan.
Faktanya, agar berhasil menerapkan zero-trust, mereka harus memahami bahwa zero-trust bukanlah solusi yang dapat dibeli atau diinstal, atau tugas sederhana yang dapat dicentang dari daftar tugas. Ini lebih merupakan proyek dan perjalanan yang berkelanjutan tanpa tanggal kedaluwarsa; dan perubahan pola pikir tentang bagaimana seseorang ingin menjalankan bisnis mereka dengan cara yang aman.
Apa itu Keamanan Tanpa Kepercayaan?
2022 mungkin merupakan tahun di mana zero-trust diterapkan secara umum. Perusahaan global besar seperti Microsoft terus mengembangkan dan menerapkan kerangka kerja dan model keamanan tanpa kepercayaan, sementara Gedung Putih juga mengambil sikap yang lebih besar terhadap inisiatif tanpa kepercayaan, seperti yang diilustrasikan dalam Perintah Eksekutif Presiden Biden, yang diterbitkan awal tahun ini.
Tapi…apa sebenarnya zero-trust itu? Dari mana asalnya? Dan yang paling penting, bagaimana hal itu dapat diterapkan secara efektif untuk meningkatkan postur keamanan suatu organisasi?
Meskipun zero-trust sering kali tersesat dalam jargon pemasaran, kerangka penting ini memiliki kekuatan untuk tidak hanya mengurangi risiko keamanan yang diketahui di masa lalu, tetapi juga mengurangi risiko keamanan yang baru dan berkembang di masa depan — jika dan ketika dipraktikkan dengan benar.
Sederhananya, zero-trust adalah tentang menghilangkan tingkat kepercayaan dari arsitektur jaringan organisasi. Sebuah istilah yang pertama kali diciptakan pada tahun 2010 oleh analis Forrester Research John Kindervag, zero-trust mengikuti moto "tidak pernah percaya, selalu verifikasi," alih-alih mantra tradisional "percaya, tetapi verifikasi."
Dalam banyak hal, zero-trust dapat dilihat sebagai ekspansi alami dan evolusi dari pendekatan yang paling tidak memiliki hak istimewa, di mana pengguna hanya diberikan tingkat akses yang diperlukan untuk memenuhi peran dan tanggung jawab pekerjaan mereka.
Namun, dengan perlindungan tanpa kepercayaan, bahkan ketika pengguna telah diautentikasi sekali, organisasi mungkin memiliki persyaratan otentikasi tambahan dan memblokirnya dari aplikasi atau layanan apa pun yang tidak mereka miliki izinnya. Ini membantu menghilangkan risiko gerakan lateral oleh penyerang yang berhasil memasuki jaringan organisasi.
Bagaimana Cara Organisasi Memulai Perjalanan Tanpa Kepercayaan?
Menerapkan zero-trust sangat banyak tentang bagaimana Anda mempraktikkan keamanan dalam organisasi dan tentang memiliki asumsi nol — bukan solusi vendor. Organisasi tidak menjadi toko tanpa kepercayaan, mereka mempraktikkan pola pikir tanpa kepercayaan.
Penting juga untuk diingat bahwa perjalanan tanpa kepercayaan setiap organisasi akan berbeda, menangani risiko bisnis yang unik dan spesifik yang akan bervariasi tergantung pada ukuran organisasi dan industri tempat ia beroperasi.
Saya sebenarnya bukan penggemar berat nama "zero-trust" dan lebih suka menganggapnya sebagai verifikasi berkelanjutan atau membuat asumsi nol — tetapi pendekatan keamanan dari pola pikir zero-trust adalah dasar yang kuat tentang bagaimana organisasi harus dimasukkan ke dalam berlatih untuk mengurangi risiko dari serangan cyber.
Jangan Khawatir Tentang Vendor
Langkah pertama harus membuat inventaris terperinci dari semua perangkat, pengguna, dan sistem yang ada dalam jaringan, yang akan membantu mengidentifikasi di mana celah keamanan mungkin ada. Dari sana, organisasi kemudian dapat mengembangkan daftar tujuan keamanan yang jelas yang ingin mereka capai dalam perjalanan tanpa kepercayaan.
Misalnya, kontrol keamanan apa dalam organisasi yang harus ditingkatkan dan kapan? Ini akan membantu menentukan langkah-langkah yang diperlukan untuk mencapai hasil tersebut. Hanya setelah selesainya inventarisasi penuh aset, ditambah dengan strategi dengan hasil yang jelas yang ditentukan untuk mengatasi tujuan keamanan siber tertentu, diskusi dengan vendor yang sah harus dimulai. Mitra
Vendor dapat membantu mengembangkan rencana tambahan dan unik ke depan. Sebagian besar vendor menyediakan fitur yang akan membantu menerapkan kontrol keamanan tanpa kepercayaan untuk membantu Anda dalam perjalanan Anda dan penting untuk memetakan risiko yang ingin Anda terapkan kerangka kerja dan pola pikir tanpa kepercayaan.
Perubahan Budaya & Akuntabilitas Tanpa Kepercayaan
Organisasi juga harus menyadari bahwa tanpa kepercayaan adalah upaya kolektif, kolaboratif, dan lintas fungsi dalam sebuah organisasi. Sementara tim TI dan keamanan akan memainkan peran penting dalam pengembangan dan penerapan kerangka kerja tanpa kepercayaan, pekerjaan mereka sendiri tidak akan sangat efektif. Dukungan dan persetujuan eksekutif dan kepemimpinan senior adalah komponen penting lainnya yang sering diabaikan dari inisiatif sukses. Eksekutif harus terlibat secara aktif saat membuat rencana tanpa kepercayaan untuk memastikan implementasi ke dalam strategi organisasi yang ada dan yang akan datang.
A untuk eksekusi dan pengiriman, harus ada cetak biru yang jelas tentang siapa yang bertanggung jawab atas berbagai bagian dari kerangka kerja zero-trust. Tim yang berfokus pada keamanan dan non-keamanan harus bekerja sama untuk mengatasi dan memulihkan masalah, sambil menjaga ekspektasi tetap realistis. Zero-trust adalah perjalanan dengan beberapa fase dan beberapa langkah menuju kedewasaan, di mana pengembalian investasi jangka pendek mungkin sulit untuk disampaikan dan diukur.
Zero-trust mewakili perubahan signifikan dalam budaya dan pola pikir organisasi. Ini adalah pendekatan di mana setiap aktivitas dan pengguna dianggap memiliki hak istimewa, dan oleh karena itu memerlukan verifikasi berkelanjutan; sebuah pendekatan yang dapat membantu organisasi menetapkan dasar untuk kontrol keamanan yang perlu diulang dan memaksa penjahat dunia maya untuk mengambil lebih banyak risiko.
Akhirnya, filosofi inilah yang pada akhirnya memberi para pembela siber dan tim keamanan peluang yang lebih kuat untuk mendeteksi penyerang lebih awal dan mencegah insiden siber yang dahsyat. Zero-trust adalah tentang mengurangi risiko dan mempersulit penjahat dunia maya untuk menjadi sukses.
Lagi pula, semakin kita memaksa penjahat dunia maya untuk mengambil lebih banyak risiko, semakin banyak kebisingan yang akan mereka buat — sehingga memberikan kesempatan yang lebih baik kepada para pembela cyber dalam mendeteksi mereka cukup dini untuk mencegah terjadinya insiden keamanan yang serius.
Joseph Carson adalah Kepala Ilmuwan Keamanan dan CISO Penasihat di ThycoticCentrify.
Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi situs mikro kami.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
