Zero trust model mendapatkan dukungan dari para pakar keamanan

"Jangan pernah percaya; selalu verifikasi." Kedengarannya seperti akal sehat, bukan? Itulah moto di balik strategi yang disebut Zero Trust, yang mendapatkan daya tarik di dunia cybersecurity. Ini melibatkan departemen TI yang memverifikasi semua pengguna sebelum memberikan hak akses. Mengelola akses ke akun secara efektif lebih penting dari sebelumnya dengan 58 persen dari bisnis kecil menengah (SMB) melaporkan pelanggaran data pada tahun 2017, menurut Laporan Investigasi Pelanggaran Data Verizon 2018.

Konsep Zero Trust didirikan oleh John Kindervag, mantan analis di Forrester Research dan sekarang menjadi CTO Lapangan di Palo Alto Networks. "Kita perlu mulai melakukan strategi nyata, dan itulah yang memungkinkan Zero Trust, " kata Kindervag kepada hadirin pada 30 Oktober di SecurIT Zero Trust Summit di New York City. Dia menambahkan bahwa ide Zero Trust bermula ketika dia duduk dan benar-benar mempertimbangkan konsep kepercayaan, dan bagaimana para pelaku jahat yang umumnya mendapat manfaat dari perusahaan yang mempercayai pihak-pihak yang seharusnya tidak melakukannya.

Dr. Chase Cunningham menjadi penerus Kindervag sebagai Analis Utama di Forrester dalam memperjuangkan pendekatan Zero Trust Access. "Zero Trust adalah apa yang disyaratkan dalam dua kata itu, yang berarti tidak percaya apa pun, tidak percaya pada manajemen kata sandi, tidak percaya pada kredensial, tidak mempercayai pengguna, dan tidak mempercayai jaringan, " kata Cunningham kepada PCMag di Zero Trust Puncak.

Kindervag menggunakan contoh dari Dinas Rahasia AS untuk menggambarkan tentang bagaimana suatu organisasi harus melacak apa yang mereka perlu lindungi dan siapa yang membutuhkan akses. "Mereka terus-menerus memonitor dan memperbarui kontrol-kontrol itu sehingga mereka dapat mengontrol apa yang transit pada batas mikro pada waktu tertentu, " kata Kindervag. "Ini adalah metode perlindungan eksekutif Zero Trust. Ini adalah contoh visual terbaik dari apa yang kami coba lakukan di Zero Trust."

Zero Trust Lessons Learned at OPM

Sebuah contoh sempurna tentang bagaimana Zero Trust dapat bekerja untuk memberi manfaat bagi organisasi berasal dari mantan CIO pemerintah federal AS. Pada Zero Trust Summit, Dr. Tony Scott, yang memegang kantor CIO AS dari 2015 hingga 2017, menggambarkan pelanggaran data utama yang terjadi di Kantor Manajemen Personalia (OPM) AS pada tahun 2014. Pelanggaran tersebut terjadi karena spionase asing di mana informasi pribadi dan informasi latar belakang izin keamanan dicuri untuk 22, 1 juta orang bersama dengan data sidik jari pada 5, 6 juta orang. Scott menggambarkan bagaimana tidak hanya kombinasi keamanan digital dan fisik yang diperlukan untuk menangkal pelanggaran ini, tetapi juga aplikasi efektif dari kebijakan Zero Trust.

Ketika orang akan melamar pekerjaan di OPM, mereka mengisi kuesioner Formulir Standar lengkap (SF) 86, dan data akan dijaga di gua oleh penjaga dan tank bersenjata, katanya. "Jika Anda adalah entitas asing dan Anda ingin mencuri informasi itu, Anda harus menembus gua ini di Pennsylvania dan melewati penjaga bersenjata. Maka Anda harus pergi dengan truk bermuatan kertas atau memiliki mesin Xerox yang sangat cepat atau sesuatu, "Kata Scott.

"Akan sangat monumental untuk mencoba melarikan diri dengan 21 juta catatan, " lanjutnya. "Tapi perlahan, ketika otomasi masuk ke proses OPM, kami mulai memasukkan barang-barang ini ke dalam file komputer di media magnetik, dan sebagainya. Itu membuatnya lebih mudah untuk dicuri." Scott menjelaskan bahwa OPM gagal menemukan jenis keamanan efektif yang setara dengan penjaga bersenjata ketika agensi menjadi digital. Setelah serangan itu, Kongres merilis laporan yang menyerukan strategi Zero Trust untuk melindungi jenis-jenis pelanggaran di masa depan.

"Untuk memerangi ancaman persisten tingkat lanjut yang berupaya untuk berkompromi atau mengeksploitasi jaringan TI pemerintah federal, lembaga-lembaga harus bergerak ke arah model keamanan informasi dan arsitektur TI 'Zero Trust', " kata laporan kongres itu. Mantan Perwakilan AS Jason Chaffetz (R-Utah), saat itu Ketua Komite Pengawas, juga menulis posting tentang Zero Trust pada waktu itu, yang awalnya diterbitkan oleh Radio Berita Federal. "Kantor Manajemen dan Anggaran (OMB) harus mengembangkan pedoman untuk departemen eksekutif dan kepala badan untuk secara efektif menerapkan Zero Trust bersama dengan langkah-langkah untuk memvisualisasikan dan mencatat semua lalu lintas jaringan, " tulis Chaffetz.

Zero Trust di Dunia Nyata

Dalam contoh dunia nyata dari implementasi Zero Trust, Google mengerahkan secara internal inisiatif yang disebut BeyondCorp dimaksudkan untuk memindahkan kontrol akses dari perimeter jaringan ke perangkat dan pengguna individu. Administrator dapat menggunakan BeyondCorp sebagai cara untuk membuat kebijakan kontrol akses granular untuk Google Cloud Platform dan Google G Suite berdasarkan alamat IP, status keamanan perangkat, dan identitas pengguna. Sebuah perusahaan bernama Luminate menyediakan keamanan Zero Trust sebagai layanan berbasis di BeyondCorp. Luminate Secure Access Cloud mengotentikasi pengguna, memvalidasi perangkat, dan menawarkan mesin yang memberikan skor risiko yang mengesahkan akses aplikasi.

"Tujuan kami adalah untuk menyediakan akses bagi setiap pengguna, dari perangkat apa pun, ke sumber daya perusahaan apa pun dengan aman di mana pun hostnya berada, di cloud atau di lokasi tanpa menggunakan agen apa pun di titik akhir atau peralatan apa pun seperti jaringan pribadi virtual (VPN), firewall, atau proksi di situs tujuan, "Michael Dubinsky, Kepala Manajemen Produk di Luminate, mengatakan kepada PCMag pada Konferensi Perlindungan Identitas Hibrid (HIP) 2018 (HIP2018) di NYC.

Disiplin TI kunci di mana Zero Trust memperoleh daya tarik cepat adalah manajemen identitas. Itu mungkin karena 80 persen pelanggaran disebabkan oleh penyalahgunaan kredensial istimewa, menurut laporan "Forrester Wave: Privileged Identity Management, Q3 2016". Sistem yang mengontrol akses resmi ke tingkat yang lebih terperinci dapat membantu mencegah insiden ini.

Ruang manajemen identitas bukanlah hal baru, dan ada daftar panjang perusahaan yang menawarkan solusi seperti itu, dengan kemungkinan yang paling meresap adalah Microsoft dan platform Active Directory (AD), yang tertanam dalam sistem operasi Windows Server yang masih populer (OS). Namun, ada banyak pemain baru yang dapat menawarkan tidak hanya lebih banyak fungsi daripada AD, tetapi juga dapat membuat manajemen identitas lebih mudah untuk diterapkan dan dipelihara. Perusahaan tersebut termasuk pemain seperti Centrify, Idaptive, Okta, dan SailPoint Technologies.

Dan sementara mereka yang telah berinvestasi dalam Windows Server mungkin menolak membayar lebih untuk teknologi yang mereka rasa telah diinvestasikan, arsitektur manajemen identitas yang lebih dalam dan lebih baik dapat menghasilkan dividen besar dalam pelanggaran dan audit kepatuhan yang gagal. Plus, biayanya tidak mahal, meskipun bisa signifikan. Misalnya, Layanan Infrastruktur Centrify mulai dari $ 22 per bulan per sistem.

Bagaimana Zero Trust Bekerja

"Salah satu hal yang dilakukan Zero Trust adalah mendefinisikan segmentasi jaringan, " kata Kindervag. Segmentasi adalah konsep kunci dalam manajemen jaringan dan keamanan siber. Ini melibatkan pemisahan jaringan komputer menjadi subnetwork, baik secara logis atau fisik, untuk meningkatkan kinerja dan keamanan.

Arsitektur Zero Trust bergerak melampaui model perimeter, yang mencakup lokasi fisik jaringan. Ini melibatkan "mendorong perimeter ke entitas, " kata Cunningham.

"Entitas dapat berupa server, pengguna, perangkat, atau titik akses, " katanya. "Kamu mendorong kontrol ke tingkat mikro daripada berpikir kamu telah membangun tembok yang sangat tinggi dan bahwa kamu aman." Cunningham menggambarkan firewall sebagai bagian dari perimeter tipikal. "Ini masalah pendekatan dan strategi dan perimeter, " katanya. "Dinding tinggi dan satu hal besar: mereka tidak berfungsi."

Untuk mendapatkan akses ke jaringan, aspek keamanan yang lama menggunakan router, menurut Danny Kibel, CEO baru Idaptive, sebuah perusahaan manajemen identitas yang terlepas dari Centrify. Sebelum Zero Trust, perusahaan akan memverifikasi dan kemudian percaya. Tetapi dengan Zero Trust, Anda "selalu memverifikasi, tidak pernah percaya, " Kibel menjelaskan.

Idaptive menawarkan platform Next-Gen Access yang mencakup Single Sign-On (SSO), otentikasi multifaktor adaptif (MFA), dan manajemen perangkat seluler (MDM). Layanan seperti Idaptive menyediakan cara untuk membuat kontrol granular pada akses. Anda dapat menyediakan atau membatalkan ketentuan berdasarkan pada siapa yang membutuhkan akses ke berbagai aplikasi. "Ini memberi kemampuan halus bagi organisasi untuk mengontrol aksesnya, " kata Kibel. "Dan itu sangat penting bagi organisasi yang kita lihat karena ada banyak gejolak dalam hal akses yang tidak sah."

Kibel mendefinisikan pendekatan Idaptive terhadap Zero Trust dengan tiga langkah: memverifikasi pengguna, memverifikasi perangkat mereka, dan hanya kemudian mengizinkan akses ke aplikasi dan layanan untuk pengguna itu saja. "Kami memiliki beberapa vektor untuk menilai perilaku pengguna: lokasi, kecepatan geografis, waktu hari, waktu dalam seminggu, jenis aplikasi apa yang Anda gunakan, dan bahkan dalam beberapa kasus bagaimana Anda menggunakan aplikasi itu, " kata Kibel. Idaptive memonitor upaya masuk yang berhasil dan gagal untuk melihat kapan perlu menguji ulang otentikasi atau memblokir pengguna sama sekali.

Pada 30 Oktober, Centrify memperkenalkan pendekatan cybersecurity yang disebut Zero Trust Privilege di mana perusahaan memberikan akses istimewa yang diperlukan dan memverifikasi siapa yang meminta akses. Empat langkah proses Zero Trust Privilege mencakup memverifikasi pengguna, melihat ke dalam konteks permintaan, mengamankan lingkungan admin, dan memberikan paling sedikit jumlah hak istimewa yang diperlukan. Pendekatan Zero Trust Privilege dari Centrify melibatkan pendekatan bertahap untuk mengurangi risiko. Ini juga membawa transisi dari Privileged Access Management (PAM) yang lama, yang merupakan perangkat lunak yang memungkinkan perusahaan membatasi akses ke jenis lingkungan yang lebih baru seperti platform penyimpanan cloud, proyek data besar, dan bahkan proyek pengembangan aplikasi kustom canggih yang berjalan di web kelas bisnis fasilitas hosting.

Model Zero Trust mengasumsikan bahwa peretas sudah mengakses jaringan, kata Tim Steinkopf, Presiden Centrify. Strategi untuk memerangi ancaman ini adalah membatasi gerakan lateral dan menerapkan MFA di mana-mana, menurut Steinkopf. "Setiap kali seseorang mencoba mengakses lingkungan istimewa, Anda harus segera memiliki kredensial yang tepat dan akses yang tepat, " kata Steinkopf kepada PCMag. "Cara untuk menegakkan itu adalah dengan mengkonsolidasikan identitas, dan kemudian kamu membutuhkan konteks permintaan, yang berarti siapa, apa, kapan, mengapa, dan di mana." Setelah itu, Anda memberikan jumlah akses yang diperlukan saja, kata Steinkopf.

"Anda mengambil konteks pengguna, dalam hal ini bisa jadi dokter, bisa jadi perawat, atau bisa juga orang lain yang mencoba mengakses data, " kata Dubinsky. "Anda mengambil konteks perangkat tempat mereka bekerja, Anda mengambil konteks file yang mereka coba akses, dan kemudian Anda perlu membuat keputusan akses berdasarkan itu."

MFA, Zero Trust, dan Praktik Terbaik

Aspek kunci dari model Zero Trust adalah otentikasi yang kuat, dan memungkinkan beberapa faktor otentikasi adalah bagian dari itu, kata Hed Kovetz, CEO dan Co-Founder of Silverfort, yang menawarkan solusi MFA. Dengan kurangnya garis batas di era cloud, ada kebutuhan yang lebih besar untuk otentikasi dari sebelumnya. "Kemampuan untuk melakukan MFA apa pun hampir merupakan persyaratan dasar Zero Trust, dan tidak mungkin dilakukan hari ini karena Zero Trust berasal dari ide di mana tidak ada batas lagi, " kata Kovetz kepada PCMag di HIP2018. "Jadi, segala sesuatu terhubung ke apa pun, dan dalam kenyataan ini, Anda tidak memiliki gerbang yang dapat Anda gunakan untuk mengendalikan."

Forrester's Cunningham telah menguraikan strategi yang disebut Zero Trust eXtended (XTX) untuk memetakan keputusan pembelian teknologi ke strategi Zero Trust. "Kami benar-benar melihat tujuh keping kontrol yang Anda perlukan untuk benar-benar mengelola lingkungan dengan aman, " kata Cunningham. Tujuh pilar tersebut adalah Otomatisasi dan Orkestrasi, Visibilitas dan Analisis, Beban Kerja, Orang, Data, Jaringan, dan Perangkat. Untuk menjadi platform ZTX, sistem atau teknologi akan memiliki tiga pilar ini bersama dengan kemampuan antarmuka pemrograman aplikasi (API). Beberapa vendor yang menawarkan solusi keamanan cocok dalam berbagai pilar kerangka kerja. Centrify menawarkan produk yang membahas keamanan orang dan perangkat, Palo Alto Networks dan Cisco menawarkan solusi jaringan, dan solusi Security Guardium IBM fokus pada perlindungan data, Cunningham mencatat.

Model Zero Trust juga harus melibatkan terowongan terenkripsi, awan lalu lintas, dan enkripsi berbasis sertifikat, kata Steinkopf. Jika Anda mengirim data dari iPad melalui internet, maka Anda ingin memverifikasi bahwa penerima berhak mengakses, jelasnya. Menerapkan tren teknologi yang muncul seperti wadah dan DevOps dapat membantu memerangi penyalahgunaan kredensial istimewa, menurut Steinkopf. Dia juga menggambarkan komputasi awan sebagai yang terdepan dalam strategi Zero Trust.

Lumins's Dubinsky setuju. Untuk UKM, beralih ke perusahaan cloud yang menyediakan manajemen identitas atau MFA sebagai layanan melepaskan tanggung jawab keamanan ini kepada perusahaan yang berspesialisasi dalam area itu. "Anda ingin menurunkan sebanyak yang Anda bisa ke perusahaan dan orang-orang yang bertanggung jawab atas pekerjaan harian mereka, " kata Dubinsky.

Potensi Kerangka Kerja Nol Kepercayaan

Meskipun para ahli mengakui bahwa perusahaan beralih ke model Zero Trust, khususnya dalam manajemen identitas, beberapa tidak melihat perlunya perubahan besar dalam infrastruktur keamanan untuk mengadopsi Zero Trust. "Saya tidak yakin itu strategi yang ingin saya adopsi pada tingkat apa pun hari ini, " kata Sean Pike, Wakil Presiden Program untuk Grup Produk Keamanan IDC. "Saya tidak yakin bahwa kalkulus ROI ada dalam kerangka waktu yang masuk akal. Ada sejumlah perubahan arsitektur dan masalah personel yang saya pikir membuat biaya menjadi penghalang sebagai strategi."

Namun, Pike melihat potensi Zero Trust dalam telekomunikasi dan IDM. "Saya pikir ada komponen yang siap diadopsi hari ini yang tidak memerlukan perubahan arsitektur grosir - identitas, misalnya, " kata Pike. "Sementara mereka terkait, perasaan saya yang kuat adalah bahwa adopsi tidak selalu merupakan langkah strategis menuju Zero Trust melainkan langkah untuk mengatasi cara-cara baru yang disambungkan pengguna dan kebutuhan untuk menjauh dari sistem berbasis kata sandi dan meningkatkan manajemen akses, " Pike dijelaskan.

Meskipun Zero Trust dapat diartikan sebagai sedikit konsep pemasaran yang mengulangi beberapa prinsip standar keamanan siber, seperti tidak mempercayai peserta yang masuk ke jaringan Anda dan perlu memverifikasi pengguna, itu memang melayani tujuan sebagai rencana permainan, menurut para ahli. "Saya seorang pendukung besar untuk Zero Trust, bergerak menuju mantra strategis dan tunggal yang unggul itu dalam organisasi, " kata Cunningham dari Forrester.

Gagasan Zero Trust yang diperkenalkan oleh Forrester pada 2010 bukanlah hal baru bagi industri keamanan siber, kata John Pescatore, Direktur Tren Keamanan Berkembang di SANS Institute, sebuah organisasi yang menyediakan pelatihan dan sertifikasi keamanan. "Itu cukup banyak definisi standar keamanan siber - mencoba untuk membuat semuanya aman, segmentasikan jaringan Anda, dan kelola hak pengguna, " katanya.

Pescatore mencatat bahwa sekitar tahun 2004, sebuah organisasi keamanan yang sekarang tidak berfungsi bernama Jericho Forum memperkenalkan ide-ide serupa dengan Forrester mengenai "keamanan tanpa batas" dan merekomendasikan hanya mengizinkan koneksi yang tepercaya. "Ini seperti mengatakan, 'Pindah ke suatu tempat yang tidak memiliki penjahat dan cuaca yang sempurna, dan Anda tidak perlu atap atau pintu di rumah Anda, '" kata Pescatore. "Zero Trust setidaknya membawa kembali pada akal sehat segmentasi - kamu selalu segmen dari internet dengan perimeter."

• Melampaui Perimeter: Cara Mengatasi Keamanan Layered Melampaui Perimeter: Cara Mengatasi Keamanan Layered
• NYC Venture Berusaha Memacu Pekerjaan, Inovasi dalam Cybersecurity NYC Venture Berusaha Memacu Pekerjaan, Inovasi dalam Cybersecurity
• Bagaimana Mempersiapkan Pelanggaran Keamanan Berikutnya Anda Bagaimana Mempersiapkan Pelanggaran Keamanan Berikutnya Anda

Sebagai alternatif dari model Zero Trust, Pescatore merekomendasikan mengikuti Pusat Kontrol Keamanan Kritis Keamanan Internet. Pada akhirnya, Zero Trust pasti bisa membawa manfaat meski hype. Tetapi, seperti yang dicatat Pescatore, apakah itu disebut Zero Trust atau yang lainnya, strategi jenis ini masih membutuhkan kontrol dasar.

"Itu tidak mengubah fakta bahwa untuk melindungi bisnis, Anda harus mengembangkan proses dan kontrol kebersihan keamanan dasar serta memiliki staf yang terampil agar mereka tetap berjalan secara efektif dan efisien, " kata Pescatore. Itu lebih dari investasi keuangan untuk sebagian besar organisasi, dan itu adalah salah satu perusahaan perlu fokus untuk berhasil.