Kerentanan terlemah dalam organisasi Anda bukanlah sistem yang tidak ditambal, kata sandi yang mudah ditebak, atau tim keamanan yang lemah.
Sebaliknya, kerentanan yang paling penting adalah sesuatu yang jauh lebih luas dan lebih sulit untuk dikelola: kepercayaan.
Selama beberapa minggu terakhir, kita telah melihat serentetan serangan siber yang menggunakan campuran eksploitasi dan ditujukan ke sejumlah sektor yang semuanya menggunakan kepercayaan untuk merusak keamanan organisasi:
- The Serangan SolarWinds menggunakan sistem pembaruan tepercaya untuk memasang kode berbahaya di 18.000 organisasi, termasuk Pentagon, Departemen Keamanan Dalam Negeri, Administrasi Keamanan Nuklir Nasional, rumah sakit, dan outlet media besar.
- Minggu lalu, sebuah kampanye baru yang didalangi oleh kelompok yang sama di balik SolarWinds (Nobelium) meretas penyedia email AID AS, Constant Contact, untuk mengirimkan email yang berisi URL berbahaya ke sekitar 3.000 akun di lebih dari 150 kelompok pembangunan dan hak asasi manusia internasional.
- Peretas memanfaatkan mengubah COVID-19 pembatasan untuk mengirim email palsu 'dari' Chief Information Officer untuk mencuri kredensial karyawan.
(Kami tidak tahu pasti apakah kelompok yang memaksa JBS Foods akan menutup operasi di AS dan Australia mengandalkan taktik serupa, tetapi kami akan terus memantau cerita ini untuk melihat bagaimana kepercayaan memainkan peran).
Di seluruh eksploitasi ini, orang-orang jahat mengirimkan tautan atau penginstalan dari situs yang seharusnya sumber tepercaya. Beradaptasi dengan hal ini bisa menjadi tantangan: dalam masyarakat yang kompleks, terpencil, dan bekerja dari mana saja, kita harus mempercayai kolega, vendor, dan sistem untuk melakukan pekerjaan kita, memesan, melakukan dan menerima pembayaran.
Pengguna membutuhkan kepercayaan. Tetapi organisasi tidak bisa mendapatkannya. Secara online, kepercayaan bisa menjadi kewajiban utama.
Kami telah membahas nol kepercayaan sebelumnya: ini bukan nomor komponen atau produk. Tidak ada SKU untuk produk tersebut atau formulir pemesanan cepat untuk membelinya.
Sebaliknya, zero trust adalah sebuah prinsip - ini adalah pola pikir yang harus mulai dikembangkan oleh tim keamanan. Secara garis besar, zero trust adalah pola pikir klasik 'paling tidak memiliki hak istimewa', yang diperluas ke skala yang lebih luas. Ini adalah cara untuk membuat pertukaran biaya/manfaat yang tepat untuk melindungi hal yang paling penting tanpa memperlambat pengguna atau merusak bisnis Anda.
Salah satu cara paling efektif untuk bergerak menuju zero trust adalah memprioritaskan identitas dan ingat bahwa manajemen akses identitas (IAM) dan administrasi tata kelola identitas (IGA) bersifat luas. Keduanya berlaku untuk pengguna, sumber daya, aplikasi Anda dan vendor Anda: untuk menerapkan model 'jangan pernah percaya, selalu verifikasi' dari zero trust, Anda perlu memulai dengan menetapkan kebijakan tata kelola untuk memberikan akses yang tepat kepada pengguna yang tepat dan memelihara daftar peran dan hak istimewa mereka. Bisnis membutuhkan cara yang lebih baik, lebih cepat, dan lebih cerdas untuk melacak dan mengontrol informasi tersebut.
Sekali lagi, IAM dan IGA bersifat ekspansif: peretasan Nobelium baru-baru ini menggarisbawahi perlunya menginventarisir semua sistem dan akses serta menyediakan autentikasi yang kuat. Sistem berbasis awan di seluruh perusahaan seperti Office 365, Salesforce, Slack, dan Constant Contact perlu lebih kuat, autentikasi berbasis risiko untuk memastikan keamanan cloud dan melindungi identitas pribadi dan materi organisasi yang sensitif. Selain itu, peretasan juga menunjukkan perlunya bisnis untuk menghilangkan kerentanan kita terhadap kata sandi dan kredensial login yang dicuri (dan mendapatkan kembali penghematan yang signifikan) dengan tanpa kata sandi.
Dengan mengidentifikasi, mengelola, dan mengurangi jumlah kepercayaan yang kita berikan kepada pengguna dan sumber daya, kita bisa mendapatkan manfaat dari koneksi kita dan membatasi kerusakan yang bisa mereka lakukan terhadap kita, kolega, dan bisnis kita. Pada akhirnya, zero trust bukanlah sebuah tujuan: ini adalah sebuah perjalanan yang kita tempuh, perjalanan di mana kita terus belajar dan mempelajari kembali pengorbanan yang harus kita lakukan di dunia online. Semakin hari, hal ini menjadi sebuah perjalanan yang layak untuk dilakukan.
