Kapan terakhir kali Anda terkena phishing? Baru saja? Sebelumnya hari ini? Kemarin? Mungkin baru-baru ini daripada yang Anda pikirkan, dengan phishing yang berkuasa sebagai serangan terkait kredensial yang paling umum menurut Laporan Investigasi Pelanggaran Data Verizon 2024 dan dengan 3,4 miliar email spam dilaporkan keluar setiap hari.
Pertanyaan yang lebih menarik lagi: Kapan pertama waktu Anda punya phished? Sepuluh tahun yang lalu? Dua puluh? Lebih? Jika Anda masih ada dan online di tahun 2000, Anda mungkin pernah diserang oleh Cacing ILOVEYOU, sebuah skema phishing yang sangat awal yang mematikan sistem email di AT&T dan Pentagon, di antara banyak tempat lainnya.
Semua itu membawa kita pada pertanyaan yang benar-benar penting: Mengapa hal ini masih terjadi, dan apa yang harus dilakukan untuk menghentikannya?
Hingga saat ini, kita belum memiliki paradigma keamanan yang tepat untuk melawan phishing secara efektif. Tetapi kabar baiknya, kita sudah memilikinya sekarang: Zero Trust.
Phishing tetap ada karena beberapa alasan: mudah dilakukan, sulit dilawan, dan hasilnya besar. Metodologi penyamaran yang digunakan sangat sederhana; hanya berpura-pura menjadi orang lain, dan dengan demikian, mengelabui korban untuk memberikan kredensial login yang memungkinkan akses ke data berharga dan sumber daya lainnya.
Seperti Charlie Brown mempercayai Lucy Bukannya bergerak maju, korban phishing tampaknya terus tertipu untuk melakukan kesalahan yang sama dari waktu ke waktu. Itu karena metode para pelaku terus berkembang. Sebagai contoh, upaya phishing awal biasanya dilakukan melalui email; sekarang upaya tersebut juga mencakup pesan teks dan bentuk komunikasi lainnya. Pergeseran konstan dalam bentuk dan metode membuat semakin sulit bagi penerima untuk mengenali berbagai skema phishing apa adanya-bahkan ketika penerimanya adalah seseorang yang seharusnya lebih tahu.
Selama skema phishing terus berjalan, organisasi akan terus merugi, dan pelaku kejahatan akan terus memperkaya diri mereka sendiri. Nilai rata-rata terakhir dari pelanggaran yang diakibatkan oleh phishing? $4,76 juta, menurut Laporan Biaya Pelanggaran Data IBM 2023.
Tetapi ada rute menuju hasil yang berbeda, dan itu terletak pada Zero Trust.
Setelah bertahun-tahun serangan phishing yang mengorbankan organisasi hingga jutaan dolar, kini kita melihat pergeseran dalam cara kita mempertahankan diri dari serangan phishing, ransomware, serangan rantai pasokan, dan ancaman lainnya - sebuah pergeseran yang menjadi pertanda baik bagi pertahanan yang lebih efektif terhadap phishing.
Dalam pergeseran ini, Zero Trust muncul sebagai salah satu cara paling efektif untuk meningkatkan keamanan dengan melampaui paradigma berbasis perimeter tradisional untuk memerangi ancaman secara lebih efektif.
Seperti yang dinyatakan dalam laporan Gartner® laporan "Jawaban Cepat: Apa Saja Prinsip Inti dari Zero Trust?": "Nol kepercayaan adalah sebuah paradigma. Paradigma ini menggantikan kepercayaan implisit dengan tingkat risiko dan kepercayaan yang terus dinilai, berdasarkan identitas dan konteks."
Dalam paradigma keamanan Zero Trust, memeriksa apakah seseorang atau sesuatu tidak dapat dipercaya tidak lagi menjadi peristiwa satu kali yang hanya terjadi sebagai respons terhadap upaya akses atau peristiwa yang berpotensi menimbulkan risiko. Sebaliknya, organisasi harus memverifikasi keterpercayaan terus-menerus. Anggap saja ini sebagai peralihan dari gagasan "percaya, tetapi verifikasi" yang menjadi fondasi keamanan-dan sebagai gantinya merangkul konsep "jangan pernah percaya, selalu verifikasi."
Saat ini, beberapa organisasi dengan keamanan tertinggi di dunia - baik yang secara langsung maupun tidak langsung menjadi bagian dari pemerintah - memberikan mandat kepada Zero Trust untuk meningkatkan keamanan mereka. Memorandum eksekutif Kantor Manajemen dan Anggaran (OMB) Amerika Serikat M-22-09 menetapkan strategi arsitektur Zero Trust federal untuk pemerintah. Dan di Eropa, Petunjuk NIS2, yang merupakan undang-undang di seluruh Uni Eropa tentang keamanan siber, menggabungkan tujuh prinsip Zero Trust-sebagaimana didefinisikan oleh Institut Standar dan Teknologi Nasional AS (NIST).
Anda mungkin bertanya-tanya bagaimana arahan pemerintah tingkat tinggi tentang Zero Trust yang dijelaskan di atas dapat diterapkan untuk memerangi phishing, khususnya. Gartner laporan menyatakan bahwa: "Para pemimpin keamanan dan manajemen risiko dapat membuat standar pada lima prinsip inti untuk memajukan strategi zero-trust organisasi mereka." Kami percaya bahwa beberapa dari prinsip-prinsip inti tersebut tampaknya secara langsung relevan dengan upaya anti-phishing:
"Membangun identitas." Untuk memenuhi prinsip Zero Trust ini, laporan Gartner mencatat bahwa organisasi membutuhkan "Kebijakan organisasi yang mapan untuk 'siapa yang harus memiliki akses ke apa, kapan, dan mengapa."
Kami merasa bahwa kebijakan adalah salah satu langkah paling efektif yang bisa diambil organisasi untuk meningkatkan keamanan mereka secara keseluruhan dan melindungi diri mereka sendiri dari phishing secara khusus. Dengan adanya kebijakan tersebut, pengguna yang terkena phishing akan lebih kecil kemungkinannya untuk mendapatkan akses ke target bernilai tinggi yang ingin didapatkan oleh pelaku kejahatan. Akun yang terkena phishing juga akan memiliki kemampuan yang lebih kecil untuk bergerak secara lateral dan menemukan atau meminta hak baru untuk dieksploitasi.
Laporan tersebut juga mencatat bahwa persyaratan lain yang diperlukan untuk memenuhi prinsip ini adalah "Dukungan teknologi untuk implementasi multifaktor untuk otentikasi."
Karena phishing menargetkan kredensial, solusi seperti otentikasi multi-faktor RSA (MFA) dapat sangat membatasi kerusakan yang dapat ditimbulkan oleh satu kredensial yang disusupi.
"Akses terbatas." Bukan hanya organisasi harus menetapkan identitas dan menentukan terlebih dahulu hak-hak apa yang dibutuhkan oleh pengguna tertentu: mereka juga harus berusaha untuk membatasi akses jika memungkinkan. Dalam kasus phishing, membatasi akses akan membantu memastikan bahwa pelaku kejahatan tidak dapat mengandalkan kredensial pengguna untuk mendapatkan apa yang mereka inginkan. Itulah mengapa laporan Gartner merekomendasikan bahwa, untuk bergerak menuju Zero Trust, "Pengguna atau sistem seharusnya hanya memiliki akses ke sumber daya berdasarkan kebutuhan untuk menjalankan fungsi yang diperlukan."
Demikian juga, laporan tersebut mencatat bahwa akses yang terbatas membutuhkan "Pengurangan zona kepercayaan implisit dan hak yang diberikan kepada akun pengguna." Kami merasa bahwa lebih sedikit orang dengan akses yang lebih sedikit dan lebih banyak kunci bersama-sama menciptakan lingkungan di mana tidak ada banyak hal yang bisa dieksploitasi oleh aktor jahat.
Untuk mendukung lingkungan ini, Tata Kelola & Siklus Hidup RSA menyediakan kerangka kerja untuk mengelola akses yang berfokus tidak hanya pada mengetahui apa yang dapat diakses pengguna, tetapi juga apa yang mereka melakukan dengan akses tersebut.
"Menyediakan akses adaptif berbasis risiko." Jika Anda pernah membaca apa pun tentang Zero Trust, Anda akan tahu bahwa salah satu ide utama di balik arsitektur ini adalah 'Jangan Pernah Percaya, Selalu Verifikasi'. Dengan melakukan hal itu berarti organisasi memvalidasi setiap permintaan akses pada saat itu juga sebelum memberikan lebih banyak hak istimewa atau akses. Gagasan untuk verifikasi berkelanjutan disebutkan dalam poin ini dari laporan Gartner: "Pergeseran dari pemeriksaan gerbang satu kali ke penilaian risiko yang berkelanjutan selama sesi berlangsung."
Otentikasi berbasis risiko sangat penting untuk bergerak menuju Zero Trust dan mencegah phishing, karena penjahat siber dengan kredensial yang dipalsukan kemungkinan besar akan mencoba mendaftarkan perangkat baru, bekerja dari lokasi baru, atau mencoba mengakses di luar jam kerja pengguna sebenarnya. RSA Risiko AI dapat mendeteksi sinyal-sinyal tersebut dan menantang upaya akses yang sesuai. (Dan bahkan jika aktor jahat berhasil masuk pada awalnya, kemampuan intelijen berbasis risiko akan membatasi berapa lama mereka bisa bertahan di sana).
Meskipun prospek memerangi phishing dengan Zero Trust sangat menarik, penting juga untuk dicatat bahwa phishing sama sekali bukan berarti hanya vektor ancaman yang dapat dipertahankan oleh organisasi dengan menggunakan Zero Trust.
###
Unduh laporan Gartner, Jawaban Cepat: Apa saja Prinsip Inti dari Zero Trust?
Gartner, Inc. Jawaban Cepat: Apa saja Prinsip Inti dari Zero Trust?, Wayne Hankins, Charlie Winckless, Andrew Lerner. Diterbitkan pertama kali pada 2 Mei 2024.
GARTNER adalah merek dagang terdaftar dan merek layanan dari Gartner, Inc. dan/atau afiliasinya di A.S. dan internasional dan digunakan di sini dengan izin. Semua hak dilindungi undang-undang.
