Dibantah: 6 Mitos Tentang Keamanan Tanpa Kepercayaan

Model keamanan Zero Trust bukanlah hal baru. Sudah ada sejak John Kindervag dari Forrester Research menulis makalahnya “No More Chewy Centers: Introducing the Zero Trust Model of Information Security” pada tahun 2010.

Pendekatan Zero Trust berpusat pada keyakinan bahwa tidak ada pengguna atau aplikasi yang harus dipercaya secara inheren, bahkan mereka yang sudah berada di dalam perimeter jaringan.

Ide ini sudah dianut oleh perusahaan dan organisasi besar seperti Google, Coca-Cola, dan NSA untuk memerangi ancaman serangan siber yang semakin meningkat. Namun, masih ada hambatan yang menghambat adopsi arus utama.

Mitos Tentang Keamanan Tanpa Kepercayaan

Ketika minat organisasi dalam pendekatan model Zero-Trust meningkat, beberapa kesalahpahaman tentang prinsip-prinsip dasar kerangka kerja telah menghalangi adopsi. Berikut adalah beberapa mitos yang tidak boleh Anda percayai.

Mitos Satu: Zero Trust Menciptakan Budaya Ketidakpercayaan

Kesalahpahaman umum tentang Zero Trust adalah bahwa ia mempromosikan gagasan untuk tidak mempercayai karyawan Anda. Sementara kerangka kerja Zero Trust mengharuskan perusahaan untuk meneliti pengguna yang mengakses sumber daya jaringan mereka, itu tidak boleh disalahartikan sebagai sesuatu yang pribadi.

Faktanya adalah bahwa kepercayaan mewakili kerentanan yang dapat menempatkan organisasi Anda pada risiko serangan. Penjahat dunia maya secara khusus mengeksploitasi kepercayaan untuk menargetkan perusahaan, dan Zero Trust menawarkan cara untuk menguranginya. Ini setara dengan entri kartu kunci alih-alih mengizinkan semua orang memasuki gedung.

Oleh menggunakan Prinsip Hak Istimewa Terkecil (POLP), organisasi dapat mempersonalisasi kebijakan ambang mereka sehingga pengguna hanya diberikan akses ke sumber daya yang mereka butuhkan berdasarkan kepercayaan yang mereka peroleh.

Mitos Dua: Zero Trust Adalah Produk

Zero Trust adalah strategi atau kerangka kerja, bukan produk. Itu dibangun di sekitar gagasan untuk tidak pernah percaya dan selalu memverifikasi.

Berbagai produk yang ditawarkan oleh vendor dapat membantu mencapai Zero Trust; namun, mereka bukan produk Zero Trust. Mereka hanyalah produk yang bekerja dengan baik di lingkungan Zero Trust. Jadi, jika vendor meminta Anda untuk membeli produk Zero Trust mereka, itu indikasi mereka tidak memahami konsep dasarnya.

Terkait: Apa itu Jaringan Zero Trust dan Bagaimana Cara Melindungi Data Anda?

Ketika terintegrasi dengan baik dengan arsitektur Zero Trust, berbagai produk dapat secara efektif meminimalkan permukaan serangan dan menahan radius ledakan jika terjadi pelanggaran. Setelah diterapkan sepenuhnya, solusi Zero Trust dengan verifikasi berkelanjutan dapat sepenuhnya menghilangkan permukaan serangan.

Mitos Tiga: Hanya Ada Satu Cara untuk Menerapkan Zero Trust

Zero Trust adalah kumpulan prinsip keamanan yang melibatkan verifikasi konstan, Prinsip akses Privilege Terkecil, dan mengurangi permukaan serangan.

Selama bertahun-tahun, dua pendekatan telah muncul untuk memulai model Zero Trust. Pendekatan pertama dimulai dengan identitas dan melibatkan otentikasi multi-faktor, yang memberikan hasil cepat.

Terkait: Apa itu Otentikasi Dua Faktor? Inilah Mengapa Anda Harus Menggunakannya

Pendekatan kedua adalah network-centric dan dimulai dengan segmentasi jaringan. Konsep ini melibatkan pembuatan segmen jaringan untuk mengontrol lalu lintas di dalam dan di antara segmen tersebut. Admin jaringan kemudian dapat mempertahankan otorisasi terpisah untuk setiap segmen, sehingga membatasi penyebaran ancaman lateral dalam suatu sistem.

Mitos Empat: Zero Trust Hanya Melayani Perusahaan Besar

Google adalah salah satu perusahaan pertama yang menerapkan arsitektur Zero Trust sebagai tanggapan terhadap Operation Aurora pada tahun 2009. Ini adalah serangkaian serangan yang ditujukan untuk perusahaan besar seperti Google, Yahoo, Morgan Stanley, dan Adobe Systems.

Ketika Google mengadopsi model Zero Trust segera setelah serangan, banyak bisnis berpikir (dan masih berpikir) itu hanya berlaku untuk organisasi besar. Gagasan ini akan benar hanya jika serangan siber terbatas pada perusahaan besar, padahal tidak demikian. Pada kenyataannya, tentang 46 persen pelanggaran data pada tahun 2021 ditujukan untuk usaha kecil.

Sementara media cenderung meliput pelanggaran data yang mempengaruhi perusahaan besar, tidak diragukan lagi bahwa usaha kecil juga membutuhkan perlindungan terhadap serangan siber.

Kabar baiknya adalah bahwa organisasi kecil tidak perlu merogoh kocek untuk menerapkan model Zero Trust. Karena ini bukan produk, bisnis dapat memperkenalkannya secara bertahap dengan mengalokasikan investasi tahunan yang sederhana dalam arsitektur Zero Trust.

Mitos Lima: Tanpa Kepercayaan Menghalangi Pengalaman Pengguna

Salah satu hambatan untuk adopsi Zero Trust adalah dampak yang dirasakan pada pengalaman pengguna. Dapat dimengerti untuk mengasumsikan bahwa produktivitas dan kelincahan pengguna akan berkurang ketika terus memverifikasi identitas pengguna. Namun, ketika diterapkan dengan tepat, Zero Trust dapat memberikan pengalaman yang ramah pengguna.

Organisasi dapat menilai profil pengguna dan menggabungkan otentikasi berbasis risiko dengan pembelajaran mesin untuk mengidentifikasi risiko dan membuat keputusan akses cepat. Jika risikonya tinggi, sistem mungkin memerlukan langkah otentikasi tambahan atau sepenuhnya memblokir akses untuk melindungi sumber dayanya. Sebaliknya, ini dapat menghilangkan tantangan otentikasi jika risikonya rendah.

Pendekatan Zero Trust juga mengurangi kompleksitas di sisi administrasi. Kontraktor dan karyawan tidak lagi menjadi tanggung jawab keamanan jika mereka berhenti berbisnis dengan Anda. Di bawah model Zero Trust yang efisien, sistem akan segera menghentikan akses mereka ke aset utama, menghilangkan pintu belakang.

Mitos Enam: Zero Trust Terbatas pada Lingkungan Lokal

Banyak bisnis masih memandang Zero Trust sebagai model yang hanya dapat dikelola di tempat. Ini menjadi masalah besar karena data sensitif sekarang berada di lingkungan hybrid dan cloud. Dengan meningkatnya serangan siber dan peretasan yang memengaruhi arsitektur lokal, semakin banyak bisnis yang beralih ke cloud.

Kabar baiknya adalah bahwa Zero Trust dengan cepat bergerak bersamanya.

Terkait: Pelanggaran Data Keamanan Cloud Teratas dalam Beberapa Tahun Terakhir

Dengan membangun arsitektur Zero Trust di cloud, perusahaan dapat melindungi data sensitif dan mengurangi eksposur aset rentan di jaringan mereka.

Selain itu, ketika budaya kerja jarak jauh meningkat dan penjahat dunia maya mengembangkan cara baru untuk mengeksploitasi kerentanan, bisnis yang mengandalkan gangguan risiko infrastruktur lokal.

Jangan pernah percaya; Selalu Verifikasi

Berdasarkan jumlah pelanggaran data yang menargetkan organisasi, terbukti bahwa pendekatan kuno terhadap keamanan tidak cukup. Sementara banyak yang percaya bahwa Zero Trust mahal dan memakan waktu, ini adalah penangkal yang fantastis untuk masalah keamanan saat ini.

Model Zero Trust berusaha menghapus sistem berbasis kepercayaan hanya karena terlalu sering dieksploitasi dalam serangan siber. Ia bekerja pada prinsip bahwa setiap orang dan segala sesuatu harus diverifikasi sebelum mendapatkan akses ke sumber daya jaringan. Ini adalah pengejaran yang layak bagi perusahaan yang ingin mengurangi risiko dan meningkatkan postur keamanan mereka.

Bagaimana Keamanan Zero-Trust Mencegah Serangan Ransomware?

Model keamanan tradisional telah terbukti tidak efektif melawan ransomware. Pelajari mengapa zero-trust adalah pendekatan terbaik untuk mengalahkan serangan cyber.

Baca Selanjutnya

Tentang Penulis