10 tips untuk menghadirkan keamanan zero trust

(1)

10 tips untuk

menghadirkan keamanan

zero trust

(2)

Penerapan layanan cloud publik secara luas dan pertumbuhan tenaga kerja jarak jauh menjadikan model keamanan berbasis perimeter tidak lagi relevan. Aplikasi dan data organisasi mungkin tersedia di dalam firewall tradisional maupun di luarnya. Tim TI dan keamanan tidak boleh lagi menganggap pengguna dan perangkatnya (baik pribadi maupun perusahaan) yang ada di jaringan akan lebih aman daripada yang berada di luar jaringan. Kontrol perimeter tidak cukup membantu dalam mencegah penyerang menyusupi jaringan setelah mendapatkan akses awal ke jaringan tersebut.

Solusinya adalah dengan beralih ke keamanan

“tanpa batas”, yang lebih dikenal secara umum sebagai Zero Trust. Pada model Zero Trust, semua pengguna dan perangkat di dalam maupun di luar jaringan perusahaan akan dianggap tidak tepercaya. Akses diberikan berdasarkan evaluasi dinamis terhadap risiko yang terkait dengan

setiap permintaan. Pemeriksaan keamanan yang sama berlaku sepanjang waktu untuk semua pengguna, perangkat, aplikasi, dan data.

10 tips untuk

menghadirkan keamanan

zero trust

Zero Trust mulai banyak diminati

Minat untuk Zero Trust sangat tinggi. Survei IDG terbaru menemukan bahwa 21% organisasi telah menerapkan model Zero Trust, dan 63%

lainnya berencana untuk melakukannya dalam 12 bulan ke depan¹. Dalam survei IDG lainnya, survei Security Priorities 2018, 35% organisasi mengatakan mereka berencana menambah anggaran untuk Zero Trust atau membuat

kategori anggaran baru untuknya. 30% lainnya melihat Zero Trust sebagai bidang investasi baru yang cukup potensial².

Meskipun Zero Trust saat ini sedang naik daun, pendekatan ini bukanlah hal yang baru. Tahun 2004, konsorsium keamanan bernama Jericho Forum dibentuk untuk memperkenalkan konsep

“penghapusan perimeter”, yang fokus untuk mencari cara melindungi data di berbagai

platform baru³. Istilah “Zero Trust” diperkenalkan pada kali pertama oleh perusahaan analis

Forrester di tahun 2010⁴.

Minat di bidang Zero Trust akhir-akhir ini terus meningkat, khususnya di antara organisasi yang sedang mencari cara untuk mencegah penyerang menyusupi jaringannya.

Menghadirkan model Zero Trust memerlukan upaya selama bertahun-tahun dan

kolaborasi dari seluruh perusahaan. Jika Anda berkomitmen untuk menyebarkan model Zero Trust, atau meskipun hanya mempertimbangkannya, berikut adalah 10 tips untuk membantu memudahkan prosesnya.

(3)

3 10 tips untuk menghadirkan keamanan zero trust

Lakukan

penyelarasan ulang terkait identitas

Tips 01 Identitas merupakan titik awal

terbaik bagi Zero Trust.

Pengguna dapat memiliki beberapa perangkat dan mengakses sumber daya perusahaan dari berbagai

jaringan dan aplikasi.

(4)

Identitas merupakan titik awal terbaik bagi Zero Trust.

Pengguna dapat memiliki beberapa perangkat dan mengakses sumber daya perusahaan dari berbagai jaringan dan aplikasi. Hampir semua sumber daya ini memerlukan autentikasi sehingga identitas pun menjadi faktor umum bagi semua permintaan

akses, baik dari perangkat pribadi pada jaringan Wi-Fi publik maupun perangkat perusahaan

dalam perimeter jaringan. Menggunakan identitas sebagai pengontrol memungkinkan perusahaan memperlakukan setiap permintaan akses sebagai tidak tepercaya sebelum pengguna, perangkat, dan faktor lainnya diperiksa sepenuhnya.

Banyak organisasi yang berfokus pada segmentasi mikro sebagai pendekatan untuk menghadirkan Zero Trust, tetapi ada batasan yang signifikan untuk hal ini.

ulang terkait identitas

Segmentasi mikro berguna untuk

mengurangi kemunculan serangan dan mengontrol pelanggaran di lingkungan aplikasi warisan lokal.

Namun, pendekatan ini tidak terlalu efektif di lingkungan cloud yang jaringan antar aset perusahaannya sering kali tidak dimiliki atau dikelola oleh TI.

Zero Trust menunjukkan perubahan budaya

dari kontrol berbasis jaringan menjadi kebijakan dan proses berbasis identitas. Tim dari seluruh divisi spesialisasi harus beralih ke perlindungan berbasis identitas guna memulai persiapan untuk model Zero Trust. “Membangun

dasar identitas adalah titik awal yang paling baik,” kata Mark Simos, kepala arsitek Grup Solusi Keamanan Cyber Microsoft. “Anda akan memiliki gateway akses yang aman di antara aset Anda dan potensi serangan yang mengancamnya.”

(5)

10 tips untuk menghadirkan keamanan zero trust 5

Terapkan

kontrol akses bersyarat

Tips 02 Peretas terus menyerang kredensial

identitas dan menggunakannya untuk mengakses sistem serta menyusup ke dalam jaringan.

Oleh karena itu, kepercayaan tidak

boleh semata-mata disimpulkan dari

keadaan ketika pengguna tertentu

atau perangkatnya berada di dalam

atau di luar jaringan perusahaan.

(6)

Peretas terus menyerang kredensial identitas dan menggunakannya untuk

mengakses sistem serta menyusup ke dalam jaringan.

Oleh karena itu, kepercayaan tidak boleh

semata-mata disimpulkan dari keadaan ketika pengguna tertentu atau perangkatnya berada di dalam atau di luar jaringan perusahaan.

Sebaiknya, terapkan pola “asumsikan pelanggaran” dan jangan percayai

permintaan apa pun sebelum diperiksa sepenuhnya. Untuk Zero Trust, keputusan kontrol akses sebaiknya bersifat dinamis dan diberikan secara bersyarat berdasarkan evaluasi dan pemahaman kontekstual akan risiko yang terkait dengan setiap permintaan sumber daya dari berbagai dimensi.

Pendekatan akses bersyarat ini akan memperhitungkan identitas pengguna dan hak akses, kondisi perangkat,

keamanan aplikasi dan jaringan, serta sensitivitas data yang diakses.

Mesin penerapan yang dipandu oleh serangkaian kebijakan mendetail akan

digunakan untuk memutuskan apakah akses ke sumber daya yang diminta akan diizinkan, dibatasi, atau diblokir. Jaringan Zero Trust dengan kebijakan akses bersyarat yang tepat bagi pengguna dan perangkat dapat mencegah peretas menggunakan kredensial yang dicuri untuk menyusupi jaringan.

Terapkan kontrol akses bersyarat

Tips 02

(7)

Perkuat

kredensial Anda

Tips 03 Kata sandi yang lemah

mengancam keamanan sistem identitas Anda dan memudahkan peretas menyerang jaringan,

misalnya melalui serangan

password spray atau serangan

menggunakan kredensial.

(8)

Kata sandi yang lemah mengancam keamanan sistem identitas Anda dan memudahkan peretas menyerang jaringan, misalnya melalui serangan password spray atau serangan

menggunakan kredensial.

Menerapkan autentikasi multifaktor

pada pembatasan akses bersyarat dapat memperketat proses verifikasi pengguna dan membatasi kemampuan peretas

untuk menyalahgunakan kredensial yang dicuri.

Sistem ini menyediakan lapisan validasi pengguna tambahan, terutama untuk membatasi akses ke aplikasi dan data penting.

Perkuat

kredensial Anda

Tips 03

(9)

Rencanakan

strategi perimeter ganda

Tips 04 Untuk mencegah gangguan

bisnis dan agar risiko lama tidak muncul kembali,

pertahankan perlindungan

berbasis jaringan yang sudah

ada dan tambahkan kontrol

baru berbasis identitas untuk

lingkungan Anda.

(10)

Untuk mencegah gangguan bisnis dan agar risiko lama tidak muncul kembali, pertahankan perlindungan berbasis

jaringan yang sudah ada dan tambahkan kontrol baru berbasis identitas untuk lingkungan Anda.

“Dalam konteks Zero Trust, Anda benar-benar harus mulai mengategorikan aplikasi sebagai cloud atau warisan,” kata Simos. Aplikasi

bawaan cloud mendukung kontrol berbasis identitas dan memungkinkan penerapan

lapisan aturan akses bersyarat dalam cara yang relatif mudah.

Kategori lainnya mencakup aplikasi yang dirancang untuk memperkuat firewall jaringan di lingkungan

warisan.

Aplikasi ini memerlukan modernisasi untuk mendukung akses bersyarat

berbasis identitas. Salah satu opsi untuk melakukannya sesuai kebutuhan adalah dengan mengaktifkan akses melalui gateway autentikasi yang aman atau

proksi aplikasi, yang juga memungkinkan Anda menyingkirkan VPN (yang akan menurunkan risiko).

Rencanakan strategi perimeter ganda

Tips 04

(11)

Integrasikan

analitik perilaku dan kecerdasan

Tips 05

Dukungan untuk kontrol akses berbasis identitas dalam aplikasi cloud bukanlah satu-satunya

alasan untuk mempercepat migrasi cloud.

Cloud juga menghasilkan

telemetri yang lebih kaya untuk memungkinkan pengambilan

keputusan kontrol akses yang lebih baik. Misalnya, telemetri tersebut dapat memperkuat kontrol akses bersyarat dengan memudahkan

proses identifikasi perilaku pengguna atau entitas yang abnormal untuk

mengidentifikasi ancaman.

(12)

Dukungan untuk kontrol akses berbasis identitas dalam aplikasi cloud bukanlah satu-satunya alasan untuk mempercepat migrasi cloud.

Cloud juga menghasilkan telemetri yang lebih kaya untuk memungkinkan

pengambilan keputusan kontrol akses yang lebih baik. Misalnya, telemetri tersebut dapat memperkuat kontrol akses bersyarat dengan memudahkan proses identifikasi perilaku pengguna atau entitas yang abnormal untuk mengidentifikasi ancaman.

Kemampuan Anda untuk membuat keputusan kontrol akses yang baik

bergantung pada kualitas, kuantitas, dan ragam sinyal yang diintegrasikan dalam keputusan tersebut.

Mengintegrasikan sumber kecerdasan ancaman seperti alamat IP untuk bot atau malware, misalnya, akan memaksa penyerang untuk terus mendapatkan sumber daya

baru. Mengintegrasikan lebih banyak detail tentang akses masuk (waktu, lokasi, dll.) dan memastikan kesesuaiannya dengan

rutinitas normal pengguna akan mempersulit penyerang untuk menirukannya, sekaligus meminimalkan gangguan bagi pengguna.

Integrasikan analitik

perilaku dan kecerdasan

Tips 05

(13)

Minimalkan

kemunculan serangan

Tips 06

Untuk mendukung keamanan infrastruktur identitas, penting bagi Anda untuk meminimalkan kemunculan serangan. (Ya, tentu saja ini adalah praktik keamanan yang baik secara umum.)

Misalnya, menerapkan manajemen

identitas istimewa akan meminimalkan kemungkinan penggunaan akun

yang telah disusupi dalam peran

administrator atau peran istimewa

lainnya.

(14)

Untuk mendukung keamanan infrastruktur identitas, penting bagi Anda untuk

meminimalkan kemunculan serangan.

(Ya, tentu saja ini adalah praktik keamanan yang baik secara umum.)

Misalnya, menerapkan manajemen identitas istimewa akan meminimalkan kemungkinan penggunaan akun yang telah disusupi dalam peran administrator atau peran istimewa

lainnya.

Memblokir aplikasi yang menggunakan

protokol autentikasi warisan juga merupakan ide yang bagus.

Hal ini sangat penting karena protokol ini tidak mendukung akses bersyarat atau autentikasi multifaktor sehingga mudah dilewati oleh penyerang.

Selain itu, batasi titik entri akses autentikasi untuk mengontrol cara pengguna mengakses aplikasi dan sumber daya. Hal ini juga akan membantu mengurangi dampak dari kredensial yang disusupi.

Minimalkan kemunculan serangan

Tips 06

(15)

Tingkatkan

kesadaran terhadap keamanan

Tips 07

Infrastruktur identitas dan titik akhir Anda dapat menghasilkan kejadian dan peringatan keamanan dalam jumlah besar.

Gunakan sistem SIEM (Security

Information and Event Management) untuk menggabungkan dan

menghubungkan data guna

meningkatkan deteksi aktivitas dan pola mencurigakan yang

mengindikasikan potensi kejadian dan

gangguan jaringan, seperti kebocoran

kredensial, alamat IP yang tidak aman,

dan akses dari perangkat yang terinfeksi.

(16)

Infrastruktur identitas dan titik akhir Anda dapat menghasilkan kejadian dan peringatan keamanan dalam jumlah besar.

Gunakan sistem SIEM (Security

Information and Event Management) untuk menggabungkan dan

menghubungkan data guna

meningkatkan deteksi aktivitas dan

pola mencurigakan yang mengindikasikan potensi kejadian dan gangguan jaringan, seperti kebocoran kredensial, alamat IP yang tidak aman, dan akses dari perangkat yang terinfeksi.

Sistem SIEM dapat digunakan untuk mengaudit aktivitas pengguna,

mendokumentasikan kepatuhan dengan persyaratan peraturan, dan membantu proses analisis forensik.

Sistem ini juga dapat meningkatkan

pemantauan akses dengan hak istimewa minimal dan memastikan bahwa pengguna hanya memiliki akses ke sumber daya yang benar-benar mereka butuhkan.

Tingkatkan kesadaran terhadap keamanan

Tips 07

(17)

Sediakan bantuan mandiri untuk

pengguna akhir

Tips 08

Pengguna cenderung lebih dapat menerima Zero Trust dibandingkan inisiatif keamanan lainnya.

Hal ini dikarenakan mereka sudah mengenal akses berbasis identitas di perangkat dan aplikasi pribadinya, dan mereka menginginkan pengalaman yang serupa di tempat kerjanya.

Zero Trust memungkinkan organisasi keamanan memberikan perlindungan pada (dan “menyetujui”) skenario

produktivitas modern, seperti

perangkat seluler, BYOD, dan aplikasi

SaaS sehingga pengguna akan merasa

puas tanpa membahayakan keamanan.

(18)

Pengguna cenderung lebih dapat menerima Zero Trust dibandingkan inisiatif keamanan lainnya.

Hal ini dikarenakan mereka sudah mengenal akses berbasis identitas di perangkat dan

aplikasi pribadinya, dan mereka menginginkan pengalaman yang serupa di tempat kerjanya.

Zero Trust memungkinkan organisasi

keamanan memberikan perlindungan pada (dan “menyetujui”) skenario produktivitas

modern, seperti perangkat seluler, BYOD, dan aplikasi SaaS sehingga pengguna akan merasa puas tanpa membahayakan keamanan.

Tim TI dapat mengurangi risiko dengan mengimbau pengguna agar melakukan tugas keamanan tertentu, seperti

mengatur ulang kata sandi secara mandiri.

Mengizinkan pengguna mengatur ulang atau membuka kunci akunnya sendiri tanpa melibatkan administrator sembari mengawasi penyalahgunaan atau penggunaan yang tidak sah akan memastikan keseimbangan yang baik antara keamanan dan produktivitas.

Demikian pula, menerapkan manajemen grup mandiri juga memungkinkan pemilik grup membuat dan mengelola grup tanpa bantuan administrator.

Sediakan bantuan mandiri untuk pengguna akhir

Tips 08

(19)

Jangan

memberikan janji yang tidak realistis

Tips 09

Zero Trust bukanlah inisiatif tunggal yang “mengubah

segalanya” seperti menerapkan autentikasi multifaktor.

Model ini merupakan tahap akhir jangka panjang dengan kontrol keamanan terbaru yang dirancang

dalam cara yang benar-benar berbeda dari model tradisional berbasis

jaringan.

(20)

Zero Trust bukanlah inisiatif tunggal yang “mengubah segalanya” seperti menerapkan autentikasi multifaktor.

Model ini merupakan tahap akhir jangka panjang dengan kontrol keamanan terbaru yang dirancang dalam cara yang

benar-benar berbeda dari model tradisional berbasis jaringan.

Memerlukan waktu yang tidak sebentar untuk mewujudkan visi, dimulai dari rangkaian proyek kecil yang terus berlanjut.

Penting bagi kita untuk mengatur dan

mengelola ekspektasi dengan tepat dalam prosesnya. Kumpulkan dukungan dari

pemangku kepentingan utama dan susun rencana untuk berkomunikasi secara efektif dengan mereka selama proyek berlangsung.

Siapkan diri untuk mengatasi hambatan budaya dan tantangan lain dari kelompok yang terbiasa bekerja dalam cara yang sangat berbeda dengan Anda.

Jangan memberikan janji yang tidak realistis

Tips 09

(21)

Tunjukkan manfaat dalam prosesnya

Tips 10

Salah satu cara yang paling efektif untuk membangun

dukungan jangka panjang bagi inisiatif Zero Trust adalah dengan menunjukkan peningkatan nilai dari setiap investasi.

Dalam survei keamanan IDG, lebih dari separuh responden (51%)

mengatakan model akses Zero Trust akan meningkatkan kemampuan

mereka untuk melindungi data pelanggan, dan 46% lainnya

mengatakan model tersebut akan

memberikan pengalaman pengguna

akhir yang jauh lebih baik dan lebih

aman.

(22)

Salah satu cara yang paling efektif untuk membangun dukungan jangka panjang bagi inisiatif Zero Trust adalah dengan menunjukkan peningkatan

nilai dari setiap investasi.

Dalam survei keamanan IDG, lebih dari separuh responden (51%) mengatakan model akses Zero Trust akan

meningkatkan kemampuan mereka untuk melindungi data pelanggan, dan 46%

lainnya mengatakan model tersebut akan memberikan pengalaman pengguna akhir yang jauh lebih baik dan lebih aman.

Kemampuan Anda untuk membuat keputusan kontrol akses yang baik

bergantung pada kualitas, kuantitas, dan ragam sinyal yang diintegrasikan dalam keputusan tersebut.

Mengintegrasikan sumber kecerdasan ancaman seperti alamat IP untuk bot atau malware, misalnya, akan memaksa penyerang untuk terus mendapatkan sumber daya

baru. Mengintegrasikan lebih banyak detail tentang akses masuk (waktu, lokasi, dll.) dan memastikan kesesuaiannya dengan

rutinitas normal pengguna akan mempersulit penyerang untuk menirukannya, sekaligus meminimalkan gangguan bagi pengguna.

Tunjukkan manfaat dalam prosesnya

Tips 10

(23)

Anda tidak akan bisa memprediksi kapan dan di mana serangan baru akan muncul, atau caranya mendapatkan akses ke lingkungan Anda. Karena semua orang harus menganggap bahwa setiap pengguna atau perangkat, aplikasi, atau jaringan yang digunakannya tidak

benar-benar aman, satu-satunya pendekatan yang logis pada keamanan adalah dengan tidak memercayai apa pun dan selalu melakukan verifikasi.

Menghadirkan model Zero Trust memang tidak mudah, tetapi sangat penting untuk tujuan modernisasi jangka panjang perusahaan digital.

Untuk mempelajari selengkapnya tentang cara mengatasi tantangan keamanan cyber secara langsung:

Model untuk masa depan

Kunjungi Seri CISO Spotlight kami

Informasi dan pendapat yang diungkapkan dalam dokumen ini, termasuk URL dan referensi Situs Web Internet lainnya, dapat berubah tanpa pemberitahuan. Anda menanggung risiko atas penggunaannya. Dokumen ini tidak memberikan hak hukum apa pun kepada Anda atas hak kekayaan intelektual apa pun dalam semua produk Microsoft. Anda dapat menyalin dan menggunakan dokumen ini untuk keperluan referensi internal.

1 Survei IDG Explorer, Mei 2019

2 Studi IDG Security Priorities, 2018, https://www.idg.com/tools-for-marketers/2018-security-priorities-study/

3 Wikipedia, https://en.wikipedia.org/wiki/Jericho_Forum

4 CSO, July 2018, https://www.csoonline.com/article/3287057/what-it-takes-to-build-a-zero-trust-network.html