Apa itu nol kepercayaan – dan mengapa Anda harus menggunakannya?

11 4 minutes read

Kepercayaan adalah hal yang hampir tak ternilai akhir-akhir ini. Organisasi besar dan kecil berjuang untuk tetap berada di depan ancaman yang muncul serta langkah-langkah peraturan baru yang dirancang untuk menjaga peretas.

Menurut sebuah laporan oleh Gemalto, lebih dari 290 catatan digital dikompromikan setiap detik setiap hari di paruh pertama tahun 2018 saja.

Jika Anda seorang pemilik bisnis, atau hanya tertarik pada teknologi dan keamanan siber, Anda mungkin pernah mendengar tentang nol kepercayaan keamanan. Itu menjadi papan penting dalam rencana organisasi mana pun untuk melindungi data dan menjaga orang tetap aman. Apa itu, dan mengapa Anda harus mulai menggunakannya sekarang?

Fundamental kepercayaan nol

Awalnya mungkin terdengar sederhana, tetapi deskripsi dasar tentang zero trust security berbunyi seperti ini: Ini adalah model keamanan untuk teknologi informasi (TI) yang membutuhkan verifikasi identitas kedap udara untuk setiap peserta dalam jaringan pribadi sebelum setiap upaya koneksi.

Tanpa kepercayaan tidak membuat perbedaan antara klien di luar atau di dalam perimeter jaringan. Setiap orang harus menunjukkan kepercayaan – bahwa mereka adalah siapa yang mereka klaim – sebelum mereka diberikan akses.

Zero trust tidak bergantung pada teknologi apa pun – itu membutuhkan kombinasi beberapa praktik terbaik plus perangkat keras dan lunak yang tepat.

Model keamanan TI yang lebih akrab menyerupai "kastil" dan "parit." Itu membuatnya sulit bagi aktor jahat di luar jaringan untuk menemukan jalan masuk, tetapi itu berarti memberikan izin kepada klien yang sudah ada dalam sistem. Itu membuat asumsi berbahaya bahwa jika seseorang berhasil sejauh itu, mereka mungkin seharusnya ada di sana.

Namun, pendekatan kastil dan parit juga berarti bahwa begitu aktor jahat mendapatkan akses, mereka hampir bebas berkuasa atas jaringan. Masalahnya semakin sulit untuk dikelola ketika Anda mempertimbangkan campuran vendor cloud dan lokasi lain yang menampung data bisnis modern. Beberapa repositori membuatnya sulit untuk menerapkan kebijakan keamanan tunggal.

Intinya untuk nol kepercayaan adalah bahwa ia mengakui bahwa ancaman keamanan modern dapat datang dari dalam atau di luar organisasi dan fasilitas. Ini adalah pembalikan dari model "percaya tapi verifikasi". Itu menjadi, "verifikasi dulu, percayai kedua."

Apa praktik dan teknologi terbaik yang tidak dibutuhkan kepercayaan?

Ada beberapa praktik terbaik yang harus dilakukan suatu organisasi sebelum mulai berbicara tentang teknologi atau vendor tertentu. Mereka:

Tidak ada upaya konektivitas jaringan dapat diberikan kepercayaan otomatis, baik itu akses mesin otomatis atau pengguna manusia. Kepercayaan diperoleh, setiap saat.
Organisasi harus menerapkan "akses hak istimewa." Ini mengharuskan organisasi untuk menerbitkan kredensial yang hanya membuka basis data dan fungsionalitas yang dibutuhkan setiap karyawan untuk menjalankan fungsinya, dan mencegah akses ke yang lain.
Perusahaan atau organisasi harus mengetahui perangkat mana yang terhubung ke jaringan dan kapan, sehingga dapat secara akurat menilai permukaan ancaman saat ini. Itu berarti menerapkan kontrol ketat pada apakah perangkat pribadi dapat digunakan untuk tujuan kerja dan protokol keamanan mana yang harus ditempatkan.

Organisasi yang ingin menerapkan selimut keamanan di aplikasi mereka dan properti web memiliki beberapa vendor dan fitur untuk dipilih.

Teknologi yang mendukung keamanan kepercayaan nol

Sebelum mereka melakukan window shopping untuk solusi keamanan tanpa kepercayaan, perusahaan dan organisasi harus memikirkan fitur apa yang akan mereka butuhkan hari ini dan mana yang mungkin mereka butuhkan saat mereka tumbuh.

Misalnya, cari fungsionalitas yang membuatnya mudah untuk mengelola akses per-pengguna dan kredensial untuk karyawan internal dan jarak jauh yang sama.

Jaringan nol kepercayaan terbaik juga akan menggunakan segmentasi mikro, yang merupakan tempat perimeter keamanan luas dibatasi ke dalam zona akses terpisah.

Itu semacam pendekatan granular artinya beban kerja kritis diisolasi dari yang lain atau diizinkan untuk bekerja secara selektif dengan cara yang meningkatkan fungsionalitas tanpa mengabaikan keamanan.

Otentikasi multifactor adalah tambahan penting lainnya untuk keamanan tanpa kepercayaan. Ingatlah bahwa prinsip utama nol kepercayaan adalah konfirmasi identitas untuk setiap pengguna atau klien jaringan. Namun, memasukkan kata sandi bukan merupakan verifikasi identitas. Faktanya, ini hanya satu kaki dari trifecta keamanan terkenal: sesuatu yang Anda tahu, sesuatu yang Anda miliki, dan sesuatu yang Anda miliki.

Oleh karena itu, otentikasi multifaktor dapat dianggap sebagai tulang punggung dari program keamanan nol kepercayaan yang serius. Setelah pengguna memasukkan kata sandi – sesuatu yang mereka tahu – mereka mungkin diharuskan untuk menggesek lencana atau merespons pada perangkat sekunder dengan kode sementara – sesuatu yang mereka miliki. Pendekatan keamanan menyeluruh yang menyeluruh akan melengkapi segala sesuatunya dengan sidik jari atau retina – sesuatu seperti itu.

Haruskah Anda menggunakan keamanan nol kepercayaan?

Pertanyaan terakhir yang tersisa adalah: Haruskah perusahaan saya menggunakan zero trust security? Bergantung pada siapa Anda bertanya dan pekerjaan yang Anda lakukan, jawabannya mungkin, "Anda harus sudah mulai."

Anda harus tahu sekarang apakah sesuatu seperti Peraturan Perlindungan Data Umum di UE berlaku untuk model bisnis Anda, karena hal itu dapat berfungsi sebagai templat untuk langkah-langkah pengelolaan data yang serupa di AS dan di tempat lain.

Mengetahui data pelanggan, klien, atau pasien Anda yang sensitif terlindungi dengan baik karena itu bisa berarti Anda bisa menjadi yang terdepan dalam tren regulasi dan kepatuhan. Untuk memiliki gagasan yang lebih baik tentang apakah nol kepercayaan adalah ide yang baik untuk Anda, pertimbangkan apakah, bagaimana, dan seberapa sering Anda menangani informasi yang akan menyebabkan kerugian yang signifikan bagi Anda atau salah satu pelanggan Anda jika itu dikompromikan.

Beberapa kebijakan manajemen data universitas, misalnya, membuat tingkatan klasifikasi keamanan untuk menentukan berapa banyak data mereka berada di bawah perlindungan kepatuhan. Mereka dapat memutuskan di mana menerapkan akses terkelola dan tindakan keamanan bertarget lainnya.

Akhirnya, menggunakan nol kepercayaan keamanan adalah cara untuk mengakui bahwa tidak setiap ancaman digital berasal dari luar organisasi.

Ini tidak menyenangkan untuk dipikirkan, tetapi satu jajak pendapat menemukan itu 42% pemilik usaha kecil menyebut kelalaian atau kehilangan karena kecelakaan sebagai alasan di balik insiden keamanan siber terbaru mereka. Pekerjaan orang dalam adalah nyata – dan bisa terjadi karena sejumlah alasan, termasuk karyawan yang tidak puas atau sekadar pelupa.

Tidak peduli apa pun pekerjaan yang Anda lakukan, berbahaya untuk menganggap Anda keluar dari jalan yang merugikan atau tidak sepadan dengan waktu seorang penjahat. Zero trust security menawarkan cara untuk melindungi bisnis atau organisasi Anda dari berbagai ancaman. Seperti apa pun, itu bukan antipeluru – tetapi itu menjadi bagian penting dari solusi keamanan yang kuat.

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	apsachieveonline.org	WP GDPR Cookie Consent Preferences	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
AWSALB	api.intentiq.com	Amazon Web Services Load Balancer cookie.	7 days	HTTP

Name	Domain	Purpose	Expiry	Type
VISITOR_INFO1_LIVE	youtube.com	YouTube cookie.	Session	HTTP
GPS	youtube.com	Google advertising domain	Session	HTTP

Name	Domain	Purpose	Expiry	Type
uid	tynt.com	Generic AddThis tracking cookie.	1 year	HTTP
bkdc	bluekai.com	BlueKai tracking cookie.	Session	HTTP
bku	bluekai.com	BlueKai tracking cookie.	Session	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	1 day	HTTP
_cc_dc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_id	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_cc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_aud	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
vuid	vimeo.com	Vimeo tracking cookie	2 years	HTTP

Name	Domain	Purpose	Expiry	Type
CountUid	histats.com	---	1 year	---
HstCfa4342789	apsachieveonline.org	---	1 year	---
HstCmu4342789	apsachieveonline.org	---	1 year	---
HstCnv4342789	apsachieveonline.org	---	1 year	---
HstCns4342789	apsachieveonline.org	---	1 year	---
m	dtscout.com	---	Session	---
df	dtscout.com	---	3 months	---
l	dtscout.com	---	3 months	---
__stid	sharethis.com	---	1 year	---
__dtsu	apsachieveonline.org	---	3 months	---
33x_ps	33across.com	---	1 year	---
__cfduid	apsachieveonline.org	Generic CloudFlare functional cookie.	1 year	HTTP
HstCla4342789	apsachieveonline.org	---	1 year	---
HstPn4342789	apsachieveonline.org	---	1 year	---
HstPt4342789	apsachieveonline.org	---	1 year	---
b	dtscout.com	---	Session	---
st	dtscout.com	---	Session	---
pxcelPage_c010_C	t.sharethis.com	---	14 days	---
pids	tynt.com	---	3 months	---
pxcelBcnLcy	t.sharethis.com	---	51 years	---
ab	agkn.com	---	1 year	---
IQver	intentiq.com	---	2 years	---
intentIQ	intentiq.com	---	2 years	---
intentIQCDate	intentiq.com	---	2 years	---
AWSALBCORS	api.intentiq.com	---	7 days	---
bkpa	bluekai.com	---	6 months	---

Fundamental kepercayaan nol

Apa praktik dan teknologi terbaik yang tidak dibutuhkan kepercayaan?

Teknologi yang mendukung keamanan kepercayaan nol

Haruskah Anda menggunakan keamanan nol kepercayaan?

Pos terkait

Apple Watch: Apple menyetujui aplikasi pertama di App Store

iOS 13.3.1 uji daya tahan baterai (Video)

Apple Putar Ulang Musik mempersiapkan untuk mengumpulkan hit 2020 kami

CUATRO "Aplikasi" untuk iklan Anda dengan format yang dapat diterima