Kerentanan terlemah dalam organisasi Anda bukanlah sistem yang tidak ditambal, kata sandi yang mudah ditebak, atau tim keamanan yang lemah.
Sebaliknya, kerentanan yang paling penting adalah sesuatu yang jauh lebih luas dan lebih sulit untuk dikelola: kepercayaan.
Selama beberapa minggu terakhir, kita telah melihat serentetan serangan siber yang menggunakan campuran eksploitasi dan ditujukan ke sejumlah sektor yang semuanya menggunakan kepercayaan untuk merusak keamanan organisasi:
- The Serangan SolarWinds menggunakan sistem pembaruan tepercaya untuk memasang kode berbahaya di 18.000 organisasi, termasuk Pentagon, Departemen Keamanan Dalam Negeri, Administrasi Keamanan Nuklir Nasional, rumah sakit, dan outlet media besar.
- Minggu lalu, sebuah kampanye baru yang didalangi oleh kelompok yang sama di balik SolarWinds (Nobelium) meretas penyedia email AID AS, Constant Contact, untuk mengirimkan email yang berisi URL berbahaya ke sekitar 3.000 akun di lebih dari 150 kelompok pembangunan dan hak asasi manusia internasional.
- Peretas memanfaatkan mengubah COVID-19 pembatasan untuk mengirim email palsu 'dari' Chief Information Officer untuk mencuri kredensial karyawan.
(Kami tidak tahu pasti apakah kelompok yang memaksa JBS Foods akan menutup operasi di AS dan Australia mengandalkan taktik serupa, tetapi kami akan terus memantau cerita ini untuk melihat bagaimana kepercayaan memainkan peran).

Di seluruh eksploitasi ini, orang-orang jahat mengirimkan tautan atau penginstalan dari situs yang seharusnya sumber tepercaya. Beradaptasi dengan hal ini bisa menjadi tantangan: dalam masyarakat yang kompleks, terpencil, dan bekerja dari mana saja, kita harus mempercayai kolega, vendor, dan sistem untuk melakukan pekerjaan kita, memesan, melakukan dan menerima pembayaran.
Pengguna membutuhkan kepercayaan. Tetapi organisasi tidak bisa mendapatkannya. Secara online, kepercayaan bisa menjadi kewajiban utama.
Kami telah membahas Nol Kepercayaan sebelumnya: ini bukan nomor komponen atau produk. Tidak ada SKU untuk produk tersebut atau formulir pemesanan cepat untuk membelinya.
Sebaliknya, Zero Trust adalah sebuah prinsip – ini adalah sebuah pola pikir yang sebaiknya mulai dikembangkan oleh tim keamanan. Secara umum, Zero Trust merupakan penerapan prinsip ‘hak akses minimal’ yang klasik, hanya saja diterapkan pada skala yang lebih luas. Ini adalah cara untuk menyeimbangkan biaya dan manfaat secara tepat guna melindungi hal-hal yang paling penting tanpa memperlambat aktivitas pengguna atau mengganggu kelancaran bisnis Anda.
Salah satu cara paling efektif untuk bergerak menuju Zero Trust berfokus pada identitas dan ingat bahwa manajemen akses identitas (IAM) dan administrasi tata kelola identitas (IGA) bersifat luas. Keduanya berlaku untuk pengguna, sumber daya, aplikasi Anda dan Mitra bisnis Anda: Untuk menerapkan model Zero Trust yang berprinsip ‘jangan pernah percaya, selalu verifikasi’, Anda perlu memulai dengan menetapkan kebijakan tata kelola guna memberikan akses yang tepat kepada pengguna yang tepat serta mengelola daftar peran dan hak akses mereka. Perusahaan membutuhkan cara yang lebih baik, lebih cepat, dan lebih cerdas untuk melacak dan mengendalikan informasi tersebut.
Sekali lagi, IAM dan IGA bersifat ekspansif: peretasan Nobelium baru-baru ini menggarisbawahi perlunya menginventarisir semua sistem dan akses serta menyediakan autentikasi yang kuat. Sistem berbasis awan di seluruh perusahaan seperti Office 365, Salesforce, Slack, dan Constant Contact perlu lebih kuat, autentikasi berbasis risiko untuk memastikan keamanan cloud dan melindungi identitas pribadi dan materi organisasi yang sensitif. Selain itu, peretasan juga menunjukkan perlunya bisnis untuk menghilangkan kerentanan kita terhadap kata sandi dan kredensial login yang dicuri (dan mendapatkan kembali penghematan yang signifikan) dengan tanpa kata sandi.

Dengan mengidentifikasi, mengelola, dan mengurangi tingkat kepercayaan yang kita berikan kepada pengguna dan sumber daya, kita dapat memanfaatkan hubungan tersebut sekaligus membatasi dampak negatif yang mungkin ditimbulkannya terhadap kita, rekan kerja, dan bisnis kita. Pada akhirnya, Zero Trust bukanlah tujuan akhir: ini adalah perjalanan yang kita tempuh, di mana kita terus-menerus belajar dan kembali memahami kompromi yang harus kita ambil di dunia maya. Semakin hari, perjalanan ini semakin layak untuk ditempuh.