Apa itu Kepercayaan Nol? Itu Tergantung Apa yang Ingin Anda Dengar


Kebingungan tentang arti dan tujuan sebenarnya dari zero trust mempersulit orang untuk mengimplementasikan ide dalam praktik. Para pendukung sebagian besar sepakat tentang tujuan dan tujuan keseluruhan di balik frasa tersebut, tetapi eksekutif atau administrator TI yang sibuk dengan hal-hal lain yang perlu dikhawatirkan dapat dengan mudah disesatkan dan akhirnya menerapkan perlindungan keamanan yang hanya memperkuat pendekatan lama daripada mengantarkan sesuatu yang baru.

“Apa yang telah dilakukan industri keamanan selama 20 tahun terakhir hanyalah menambahkan lebih banyak lonceng dan peluit — seperti AI dan pembelajaran mesin — ke metodologi yang sama,” kata Paul Walsh, pendiri dan CEO dari perusahaan anti-phishing berbasis nol kepercayaan Sertifikat Meta. “Jika ini bukan kepercayaan nol, itu hanya keamanan tradisional, apa pun yang Anda tambahkan.”

Penyedia cloud khususnya, berada dalam posisi untuk memasukkan konsep tanpa kepercayaan ke dalam platform mereka, membantu pelanggan mengadopsinya di organisasi mereka sendiri. Namun Phil Venables, kepala petugas keamanan informasi Google Cloud, mencatat bahwa dia dan timnya menghabiskan banyak waktu untuk berbicara dengan klien tentang apa sebenarnya kepercayaan nol itu dan bagaimana mereka dapat menerapkan prinsip dalam penggunaan Google Cloud mereka sendiri dan seterusnya.

“Ada cukup banyak kebingungan di luar sana,” katanya. “Pelanggan berkata, ‘Saya pikir saya tahu apa itu nol kepercayaan dan sekarang semua orang menggambarkan semuanya sebagai nol kepercayaan, saya kurang memahaminya.'”

Selain menyetujui apa arti frasa tersebut, hambatan terbesar untuk proliferasi nol kepercayaan adalah bahwa sebagian besar infrastruktur yang saat ini digunakan dirancang di bawah model jaringan parit-dan-kastil yang lama. Tidak ada cara mudah untuk memperbaiki jenis sistem tersebut tanpa kepercayaan karena kedua pendekatan tersebut sangat berbeda secara fundamental. Akibatnya, menerapkan ide-ide di balik kepercayaan nol di mana-mana dalam sebuah organisasi berpotensi melibatkan investasi yang signifikan dan ketidaknyamanan untuk merancang ulang sistem warisan. Dan itulah jenis proyek yang berisiko tidak pernah selesai.

Itu membuat penerapan nol kepercayaan pada pemerintah federal—yang menggunakan gado-gado vendor dan sistem warisan yang akan membutuhkan investasi besar waktu dan uang untuk merombaknya—terutama menakutkan, terlepas dari rencana pemerintahan Biden. Jeanette Manfra, mantan asisten direktur untuk keamanan siber di CISA yang bergabung dengan Google pada akhir 2019, melihat perbedaannya secara langsung saat beralih dari TI pemerintah ke infrastruktur internal raksasa teknologi yang tidak berfokus pada kepercayaan.

“Saya berasal dari lingkungan di mana kami menginvestasikan sejumlah besar uang pembayar pajak untuk mengamankan data pribadi yang sangat sensitif, data misi, dan melihat gesekan yang Anda alami sebagai pengguna, terutama di lembaga yang lebih berorientasi pada keamanan,” katanya. “Bahwa Anda bisa memiliki lebih banyak keamanan dan pengalaman yang lebih baik sebagai pengguna sungguh menakjubkan bagi saya.”

Yang tidak berarti bahwa kepercayaan nol adalah obat mujarab keamanan. Profesional keamanan yang dibayar untuk meretas organisasi dan menemukan kelemahan digital mereka—dikenal sebagai “tim merah”—telah mulai mempelajari apa yang diperlukan untuk membobol jaringan tanpa kepercayaan. Dan untuk sebagian besar, masih cukup mudah untuk hanya menargetkan bagian dari jaringan korban yang belum ditingkatkan dengan konsep nol kepercayaan dalam pikiran.

“Sebuah perusahaan yang memindahkan infrastrukturnya ke luar lokasi dan meletakkannya di cloud dengan vendor tanpa kepercayaan akan menutup beberapa jalur serangan tradisional,” kata tim merah lama Cedric Owens. “Tetapi sejujurnya saya tidak pernah bekerja atau bekerja sama dalam lingkungan tanpa kepercayaan penuh.” Owens juga menekankan bahwa meskipun konsep zero trust dapat digunakan untuk memperkuat pertahanan organisasi secara material, konsep tersebut tidak anti peluru. Dia menunjuk kesalahan konfigurasi cloud sebagai salah satu contoh kelemahan yang dapat diperkenalkan oleh perusahaan secara tidak sengaja ketika mereka beralih ke pendekatan tanpa kepercayaan.

Manfra mengatakan bahwa akan membutuhkan waktu bagi banyak organisasi untuk sepenuhnya memahami manfaat dari pendekatan tanpa kepercayaan atas apa yang telah mereka andalkan selama beberapa dekade. Dia menambahkan, bagaimanapun, bahwa sifat abstrak dari nol kepercayaan memiliki manfaatnya. Merancang dari konsep dan prinsip daripada produk tertentu memberikan fleksibilitas, dan berpotensi umur panjang, yang tidak dimiliki oleh perangkat lunak tertentu.

“Secara filosofis tampaknya tahan lama bagi saya,” katanya. “Ingin tahu apa dan siapa yang menyentuh apa dan siapa di sistem Anda selalu menjadi hal yang berguna untuk pemahaman dan pertahanan.”


Lebih Banyak Cerita WIRED Hebat

Diposting oleh : SGP Prize