Apa itu Zero Trust dan Mengapa Sangat Penting

Banyak serangan siber bergantung pada tingkat akses yang dimiliki pengguna yang sah di jaringan komputer. Melanggar perimeter dan Anda punya kuncinya. Dengan pendekatan keamanan tanpa kepercayaan, hanya melewati pintu saja tidak cukup lagi.

Keamanan Berbasis Perimeter Tradisional

Dalam pengaturan keamanan tradisional, ada asumsi bawaan bahwa siapa pun dengan kredensial akses yang sah adalah aktor tepercaya. Inilah sebabnya mengapa Anda perlu menggunakan VPN untuk Wi-Fi publik. Cara Wi-Fi dirancang, ada asumsi bahwa siapa pun yang memiliki kata sandi Wi-Fi adalah aktor tepercaya.

Mereka dapat melihat aktivitas pengguna jaringan lain dan mengakses perangkat yang terhubung ke jaringan. Ini juga mengapa Anda harus mendorong penggunaan fitur jaringan tamu dari router Anda alih-alih membagikan kata sandi Wi-Fi Anda kepada semua orang yang mengunjungi rumah Anda!

Ini kadang-kadang disebut sebagai keamanan “berbasis perimeter”, di mana siapa pun yang berhasil masuk ke dalam perimeter jaringan secara implisit dipercaya.

Trust No 1

Arsitektur zero trust bekerja dari asumsi bahwa tidak ada yang bisa dipercaya. Arsitektur ini dibangun ke dalam bagaimana hak akses terstruktur dan diterapkan.

Dalam sistem tanpa kepercayaan, setiap file, sumber daya, layanan, atau apa pun yang ada di jaringan memiliki persyaratan keamanannya sendiri. Dengan ini berarti tidak ada yang bisa mengakses sesuatu jika mereka tidak memiliki izin eksplisit. Hal ini juga berarti bahwa hanya karena seseorang secara fisik berada di tempat Anda (dicolokkan ke port Ethernet di tempat, misalnya), mereka tidak diberi akses ke sistem Anda.

Dalam jaringan tanpa kepercayaan, semuanya tersegmentasi sehingga bahkan jika ada pelanggaran, akses terbatas pada segmen kecil sumber daya yang terkait dengan kredensial tersebut.

Dengan zero trust, orang juga tidak diberikan akses tanpa batas ke sumber daya; mereka dapat mengakses sumber daya yang mereka butuhkan hanya selama mereka memiliki kebutuhan yang sah untuk mereka.

Zero Trust Berarti Banyak Otentikasi

Desain tanpa kepercayaan mencakup banyak metode verifikasi. Ini jauh lebih dari sekadar mengetikkan kata sandi. Verifikasi dapat mencakup memiliki perangkat yang tepat, dengan versi firmware yang tepat, versi sistem operasi yang tepat, dan aplikasi yang tepat diinstal.

Ada solusi yang melihat perilaku pengguna sehingga jika pengguna di jaringan mulai bertindak dengan cara yang tidak biasa bagi mereka, mereka akan ditandai. Arsitektur zero trust juga dapat menggunakan kecerdasan buatan (AI) dan pembelajaran mesin (ML) untuk mendeteksi pola aneh ini dan mencabut hak akses berdasarkan kecurigaan.

Di era kerja jarak jauh, keamanan tanpa kepercayaan juga dapat menggunakan lokasi fisik sebagai kriteria verifikasi. Jadi, jika Anda mencoba mengakses jaringan dari lokasi yang tidak disetujui, Anda akan diblokir!

Mengapa Zero Trust Diperlukan?

Sama seperti email spoofing, serangan berbasis kredensial pada jaringan dihasilkan dari sistem yang dirancang dengan asumsi naif bahwa setiap orang berada di pihak yang sama. Ketika internet pertama kali dikembangkan, dan satu-satunya yang terhubung adalah lembaga pemerintah dan akademik; ada sedikit alasan untuk menerapkan langkah-langkah keamanan yang rumit.

Bahkan jika Anda menginginkannya, komputer pada masa itu memiliki memori dan kekuatan pemrosesan yang sangat kecil, sehingga mungkin tidak praktis.

Ketika pondasi teknologi jaringan sedang dibuat, tidak ada yang mengira bahwa suatu hari setiap orang akan memiliki satu atau lebih komputer yang semuanya terhubung ke web yang membentang luas di dunia, tetapi itulah kenyataan yang kita jalani sekarang.

Hampir setiap hari ada laporan tentang pelanggaran data besar-besaran atau orang-orang yang menjadi korban kredensial mereka dicuri dan menderita kerugian finansial atau jenis kerusakan lainnya.

Penutup

Menggunakan pendekatan tanpa kepercayaan menghilangkan banyak strategi dan taktik peretas untuk melakukan perdagangan mereka. Jadi jangan heran jika Anda lebih sering mendengar istilah “zero trust” di tempat kerja atau dari perusahaan yang menyediakan layanan online untuk Anda.