Tanpa kepercayaan: apa artinya?

22/08/22

Dunia keamanan terus berkembang dan dengan itu, bahasa yang digunakan oleh teknisi dan industri keamanan dan teknologi baru.

Salah satu istilah yang semakin hadir dalam setahun terakhir adalah “Zero Trust”. Tapi apakah kita yakin kita tahu apa itu?

Seperti yang selalu saya lakukan dalam kasus ini, disarankan untuk melanjutkan dari awal, yaitu dari definisi.

Untuk memahami apa artinya Nol Kepercayaan berguna untuk menemukan publikasi referensi dan dalam hal ini adalah NIST 800-207. Seperti disebutkan berkali-kali, NIST (Institut Standar dan Teknologi Nasional dari Departemen Perdagangan Amerika Serikat) adalah sumber informasi yang tidak ada habisnya.

Publikasi 800-207 khususnya berkaitan dengan kerangka kerja Nol Kepercayaan

Saat ini standar referensi baik untuk organisasi pemerintah Amerika (wajib mulai Mei 2021 mengikuti perintah eksekutif dari Presiden Biden) dan untuk semua orang yang dalam beberapa hal ada hubungannya dengan model kerja terdistribusi dan cloud. . Menurut Gartner pada tahun 2025 setidaknya 60% organisasi (publik dan swasta) akan menggunakan kerangka kerja Nol Kepercayaan.

Prinsip-prinsip kunci dari kerangka 800-207 pada dasarnya adalah tiga:

- verifikasi berkelanjutan. Artinya, jangan pernah mempercayai apa pun atau siapa pun;

- pembatasan jangkauan minat jika terjadi kecelakaan. Menerapkan serangkaian prosedur dan tindakan teknis untuk membatasi kerusakan yang disebabkan oleh kemungkinan kecelakaan;

- pengumpulan data konteks dan perilaku secara otomatis dan berkelanjutan untuk memastikan respons yang akurat.

Modelnya Nol Kepercayaan didasarkan pada asumsi bahwa verifikasi satu kali terhadap pengguna, hak istimewanya, serta perangkat dan layanan yang digunakan tidak cukup untuk menjamin keamanan sistem yang terus berkembang di mana teknologi dan risiko juga terus berkembang.

Istilah "Zero Trust" diperkenalkan oleh John Kindervag (Forrester Research Analyst) dengan arti jangan pernah percaya dan selalu periksa!

Tentu saja, ini berarti mengumpulkan banyak data dan informasi, yang ketika diproses, memungkinkan Anda untuk memiliki gagasan yang tepat tentang situasi pengguna (hak istimewa, waktu, tempat kemungkinan koneksi, dll.), perangkat, layanan, dan risiko. yang menjadi sasaran organisasi kami.

Seperti yang bisa Anda tebak, ini bukan pekerjaan mudah, tetapi mengingat tingkat risiko saat ini, itu mungkin perlu. 

Transisi ke organisasi "Zero Trust" tidak mudah karena berdampak pada cara orang bekerja dan oleh karena itu dapat menyebabkan resistensi alami terhadap perubahan, itulah sebabnya tugas CISO menjadi lebih kompleks setidaknya dalam fase definisi proyek dan banyak lagi umumnya dalam fase aplikasi pertama.

Di beberapa pasar, ini bisa berarti perusahaan perlu mengantisipasi kenaikan biaya konsultasi dalam waktu dekat.

Pada pemeriksaan lebih dekat akan perlu untuk menerapkan prinsip Nol Kepercayaan juga pada tingkat pengembangan perangkat lunak dan interaksi antara berbagai komponen infrastruktur. Faktanya, banyak serangan didasarkan pada tidak adanya atau kelemahan alat otentikasi dan verifikasi integritas berkelanjutan antara modul yang berbeda. Model Nol Kepercayaan itu menemukan penerapan baik di tingkat mikro (perangkat keras, Sistem Operasi, komponen perangkat lunak ...) dan di tingkat makro (interaksi antara sistem, organisasi bisnis ...).

Secara umum, untuk keberhasilan program seperti itu, komunikasi internal dan kemampuan untuk mendukung kebutuhan pengguna, tetapi di atas semua itu, pelatihan staf internal sangat penting, baik untuk meningkatkan tingkat kesadaran akan risiko dunia maya, maupun untuk meminimalkan penolakan terhadap perubahan. 

NIST 800-207 adalah kerangka acuan, seperti yang telah kami katakan, tetapi tentu saja tanda tangan keamanan utama memiliki deklinasi sendiri dari konsep "Zero Trust", yang sering mengacu pada produk mereka sendiri. 

Ini berarti, seperti biasa, risiko dari vendor terkunci, Itu mereka harus dievaluasi dengan cermat sebelum menerapkan program apa pun, tapi ini selalu terjadi.  

Alessandro Rugolo, Maurizio D'Amato, Giorgio Giacinto

Untuk memperdalam:

Apa itu Keamanan Tanpa Kepercayaan? Prinsip-prinsip Model Tanpa Kepercayaan (crowdstrike.com)

Apa itu Zero Trust? | IBM

Zero Trust Model - Arsitektur Keamanan Modern | Keamanan Microsoft

Mendefinisikan Zero Trust setelah Perintah Eksekutif Keamanan Siber Administrasi Biden | Forcepoint

Perintah Eksekutif untuk Meningkatkan Keamanan Siber Negara - Gedung Putih

Universal ZTNA adalah Dasar dari Strategi Tanpa Kepercayaan Anda | SecurityWeek.Com

peristiwa

Klik pada hari yang disorot dengan warna merah dan cari tahu apa yang ada di buktinya.
Kisah kehidupan militer
Kirimkan cerita Anda
Penghormatan (jatuh tempo) kepada infanteri "Roma" ke-80 yang mengambil cuti dengan hormat

Ya, kita kini sudah terbiasa menyaksikan penutupan barak dan bahkan mungkin sedikit mengubur sejarah panjang departemen-departemen tersebut, sebuah fenomena yang tidak menghapuskan kenangan. Itu juga menyentuh...

Baca ceritanya
"Il Signor Parolini" (bagian kesembilan)

Ayam panggang, seperti yang diharapkan, telah memenuhi reputasinya, mengkonsolidasikan, jika diperlukan, penguasaan kuliner yang tak terbantahkan dari Gastone, kepala ...

Baca ceritanya