Pelanggaran yang Menghancurkan Kastil
Ketika ransomware menyerang sistem penjadwalan sebuah rumah sakit menengah musim semi lalu, para dokter kembali menggunakan pena dan kertas. Para penyerang tidak memanfaatkan malware eksotis—mereka menggunakan kredensial login yang digunakan ulang, bergerak secara lateral melintasi jaringan hingga sistem inti terkunci. Insiden semacam itu umum terjadi di layanan kesehatan, di mana kredensial yang dicuri memicu kampanye ransomware dan membebani tim TI yang kekurangan sumber daya (Kabel).
- Pelanggaran yang Menghancurkan Kastil
- Model Lama dan Mengapa Gagal
- Keamanan Siber untuk Bisnis
- Definisi Zero Trust
- Apa Arti Sebenarnya dari Zero Trust
- Cetak Biru NIST
- Kesalahpahaman yang Masih Ada
- Dimana Itu Cocok
- Perubahan Budaya
- Mengapa Itu Berakar
- Di Dalam Perusahaan
- Google dan Eksperimen BeyondCorp
- Microsoft dan Arus Utama Perusahaan
- Dorongan Pemerintah Federal
- Layanan Keuangan: Risiko Bertemu Regulasi
- Keamanan Siber untuk Bisnis
- Layanan Kesehatan: Perjuangan Melawan Sistem Lama
- Benang Merah di Berbagai Industri
- Budaya sebagai Lapisan Terkeras
- Tolok Ukur yang Tenang
- Bagian yang Sulit
- Keamanan Siber untuk Bisnis
- Masa Depan Tanpa Kepercayaan
- AI dan Pembelajaran Mesin: Menuju Penegakan Adaptif
- Kebijakan-sebagai-Kode: Mengotomatiskan Pagar Pembatas
- Memperluas Zero Trust ke IoT dan OT
- Kepercayaan Nol Berbasis Cloud
- Mempersiapkan Era Kuantum
- Batasan Visi Masa Depan
- Gambaran Besar
- Keamanan Siber untuk Bisnis
- Tata Kelola dan Akuntabilitas
- Etika Verifikasi
- Geopolitik Kepercayaan
- Pergeseran Budaya yang Bertahan Lebih Lama dari Kata Kunci
- Kembali ke Lede
- Penendang
- Pelanggaran yang Menghancurkan Kastil
- Perimeter Runtuh
- Model Lama dan Mengapa Gagal
- Keamanan Siber untuk Bisnis
- Kesimpulan: Kepercayaan, Dipertimbangkan Kembali
Rumah sakit itu bukan satu-satunya target. Pada bulan Mei 2021, sebuah serangan ransomware memaksa Pipa Kolonial, yang memasok hampir setengah dari bahan bakar yang dikonsumsi di Pantai Timur AS, untuk menghentikan operasi. Penyerang telah memperoleh akses menggunakan akun VPN yang disusupi dan tidak memiliki autentikasi multifaktor (Wikipedia). Gangguan tersebut memicu kekurangan bahan bakar, pembelian panik, dan tindakan darurat federal.
Sebelumnya, pada bulan Desember 2020, SuryaAngin Pelanggaran rantai pasokan merusak kepercayaan terhadap perangkat lunak yang banyak digunakan. Pembaruan berbahaya—yang diyakini telah diatur oleh kelompok negara-bangsa—didistribusikan dengan kedok patch yang sah, memberikan penyerang akses ke lembaga pemerintah AS selama berbulan-bulan sebelum terdeteksi (CISA).
Insiden-insiden ini memiliki pelajaran penting yang sama: penyerang jarang perlu menyerbu perimeter digital. Begitu masuk, segala sesuatu di balik tembok diperlakukan sebagai sesuatu yang tepercaya, membuat eskalasi pelanggaran menjadi cepat dan merusak.
Model Lama dan Mengapa Gagal
Selama sebagian besar sejarah internet, pemikiran keamanan berpusat pada kastil dan parit Metafora. Bangun tembok tinggi—firewall, sistem pencegahan intrusi, perangkat lunak antivirus—dan Anda bisa mencegah musuh masuk. Di balik tembok, pengguna dan mesin tepercaya berkeliaran dengan bebas.
Munculnya Pertahanan Perimeter
Pada tahun 1990-an dan awal 2000-an, model ini masuk akal. Sebagian besar sistem perusahaan berada di pusat data lokal. Karyawan duduk di meja dalam jaringan kantor. "Tepi" adalah batas yang dapat didefinisikan, biasanya serangkaian rentang IP yang dikendalikan oleh organisasi.
Firewall lalu lintas yang difilter. VPNs menciptakan terowongan terenkripsi untuk staf yang bepergian. Paket antivirus terlindungi dari ancaman yang diketahui. Industri keamanan memasarkannya sebagai pertahanan yang tak tertembus, dan untuk sementara waktu, berhasil.
Namun keretakan mulai terlihat.
- Cacing seperti Code Red dan Slammer menyebar dengan cepat ke seluruh jaringan perusahaan di awal tahun 2000-an, mengeksploitasi mesin yang belum ditambal setelah berhasil masuk.
- Pelanggaran Target tahun 2013, di mana penyerang masuk melalui vendor HVAC pihak ketiga dan bergerak secara lateral ke sistem titik penjualan, menunjukkan betapa rentannya zona “tepercaya”.
- Pengungkapan Edward Snowden pada tahun 2013 menyoroti risiko orang dalam: setelah pengguna memiliki akses istimewa, pertahanan perimeter tidak banyak membantu menghentikan eksfiltrasi data.
Asumsi implisit—bahwa ancaman datang dari luar—tidak lagi benar.
Hambatan VPN
Jaringan pribadi virtual (VPN), yang selama ini dianggap sebagai kunci keamanan, justru menjadi kelemahan yang mencolok. Pada tahun 2020, ketika pandemi COVID-19 memaksa seluruh karyawan bekerja dari rumah, server VPN kewalahan. Karyawan menyalurkan semua lalu lintas melalui server tersebut, menciptakan hambatan kinerja dan, yang lebih parah, titik-titik kegagalan tunggal.
Para penyerang menyadarinya. Menurut FBI, kerentanan VPN menjadi salah satu kategori yang paling banyak dieksploitasi pada tahun 2020–2021, dan para penyerang memanfaatkannya sebagai batu loncatan untuk memasuki lingkungan perusahaan (FBI).
VPN, yang dulunya merupakan jembatan yang dapat dipercaya, semakin lama semakin menjadi beban.
Keamanan Siber untuk Bisnis
Bisnis Anda menghadapi ancaman dunia maya yang terus berkembang yang dapat membahayakan data sensitif, mengganggu operasi, dan merusak reputasi Anda. Keamanan siber untuk solusi bisnis dirancang untuk memenuhi tantangan unik perusahaan segala ukuran, menyediakan perlindungan tangguh terhadap malware, phishing, ransomware, dan banyak lagi.
Baik Anda perusahaan rintisan kecil atau perusahaan besar, kami menawarkan paket keamanan siber multi-lisensi yang memastikan perlindungan tanpa hambatan bagi seluruh tim Anda, di semua perangkat. Dengan fitur-fitur canggih seperti pemantauan ancaman secara real-time, keamanan titik akhir, dan enkripsi data yang aman, Anda dapat fokus mengembangkan bisnis sementara kami menangani kebutuhan keamanan digital Anda.
Dapatkan Penawaran Gratis Hari Ini! Lindungi bisnis Anda dengan solusi yang terjangkau dan dapat diskalakan. Hubungi kami sekarang untuk meminta kutipan gratis untuk paket keamanan siber multi-lisensi yang dirancang untuk menjaga perusahaan Anda tetap aman dan patuh. Jangan menunggu—lindungi bisnis Anda sebelum ancaman menyerang!
Bayangan TI dan SaaS
Sementara itu, unit bisnis mengadopsi platform SaaS—Salesforce, Slack, Microsoft 365—tanpa pengawasan TI terpusat. Data sensitif mengalir melalui layanan pihak ketiga, yang seringkali diakses dengan kata sandi yang lemah atau digunakan berulang kali.
Kredensial mikro “bayangi itu” Memperluas permukaan serangan dengan cara yang tidak dapat diatasi oleh pertahanan perimeter. Pada tahun 2019, Gartner memperkirakan bahwa TI bayangan menyumbang 30 hingga 40 persen dari pengeluaran TI di perusahaan besar—sebuah titik buta bagi tim keamanan tradisional.
Budaya Kepercayaan Implisit
Mungkin kelemahan paling berbahaya dari model perimeter adalah budaya. Tim keamanan memperlakukan "bagian dalam" sebagai aman. Para pengembang membuat sistem uji tanpa kontrol. Akun admin mengumpulkan hak istimewa. Pergerakan lateral sebagian besar tidak terpantau.
Seperti yang dikatakan Phil Venables dari Google Cloud, “Perimeter tidak hilang. Hanya saja, ia tidak memberi tahu Anda banyak hal lagi.” Kesadaran itu menjadi dasar bagi Zero Trust: sebuah kerangka kerja yang mengasumsikan pelanggaran tidak dapat dihindari dan berfokus pada meminimalkan dampaknya.
Definisi Zero Trust
Pada pertengahan 2010-an, kekurangan keamanan perimeter menjadi jelas. Tantangannya adalah menemukan alternatif yang bisa diterapkan. Alternatif itu muncul di Nol Kepercayaan, sebuah model yang memikirkan kembali seluruh dasar kontrol akses.
Apa Arti Sebenarnya dari Zero Trust
Frasa “Zero Trust” seringkali disederhanakan menjadi slogan: jangan pernah percaya, selalu verifikasi. Namun dalam praktiknya, hal ini bukan tentang paranoia, melainkan lebih tentang jaminan berkelanjutanSetiap permintaan ke sistem—baik dari pengguna manusia, perangkat, maupun aplikasi—diperlakukan sebagai tidak tepercaya hingga terbukti sebaliknya.
Pendekatan ini didasarkan pada beberapa prinsip inti:
- Verifikasi Identitas Berkelanjutan. Autentikasi bukanlah peristiwa satu kali saat login. Sebaliknya, proses ini berulang sepanjang sesi, beradaptasi dengan konteks seperti lokasi, kondisi perangkat, dan perilaku pengguna.
- Integritas Perangkat. Akses tidak hanya bergantung pada yang sedang terhubung tapi apa tempat mereka terhubung. Perangkat yang disusupi atau belum ditambal mungkin ditolak aksesnya, meskipun kredensialnya valid.
- Akses Hak Istimewa Paling Rendah. Izin diminimalkan, hanya memberikan izin yang diperlukan untuk suatu tugas. Hal ini secara drastis mengurangi radius serangan jika akun dibobol.
- Mikrosegmentasi. Jaringan dibagi menjadi zona-zona granular, sehingga membatasi pergerakan lateral. Kerusakan di satu zona tidak serta merta menyebar.
- Pemantauan Berkelanjutan. Log dan analitik bukanlah hal yang terabaikan—keduanya sangat penting. Setiap transaksi dicatat dan dievaluasi untuk menemukan anomali.
Pada dasarnya, Zero Trust bukan sekedar sebuah produk, melainkan lebih merupakan sebuah disiplin skeptisisme.
Cetak Biru NIST
Selama bertahun-tahun, para vendor menggunakan istilah ini secara longgar. Hal ini berubah seiring dengan Publikasi Khusus Institut Standar dan Teknologi Nasional (NIST) 800-207, dirilis pada tahun 2020. Dokumen tersebut mengkodifikasikan Zero Trust menjadi kerangka kerja federal formal: identitas, perangkat, jaringan, aplikasi, dan data semuanya merupakan titik penegakan kebijakan, dengan mesin kebijakan pusat yang memutuskan akses (NIST).
Pedoman NIST membingkai ulang Zero Trust sebagai arsitektur alih-alih sebagai seperangkat alat. Lembaga-lembaga didesak untuk mengadopsinya bukan sebagai solusi tambahan, melainkan sebagai desain ulang bertahap tentang bagaimana akses ditangani. Ini menjadi templat untuk mandat federal maupun adopsi sektor swasta.
Kesalahpahaman yang Masih Ada
Seiring meluasnya istilah tersebut, kebingungan pun ikut menyebar. Tiga kesalahpahaman khususnya masih ada:
- Nol Kepercayaan = Tidak Ada Kepercayaan. Frasa ini menyesatkan. Zero Trust tidak menghilangkan kepercayaan; justru membuatnya kondisional dan kontekstualAkses diberikan apabila terdapat bukti yang cukup.
- Zero Trust adalah sebuah Produk. Banyak vendor memasarkan "solusi Zero Trust". Kenyataannya, solusi ini bukan hanya satu alat, melainkan serangkaian praktik yang saling terkait.
- Zero Trust Menyelesaikan Segalanya. Hal ini mengurangi risiko, tetapi tidak menghilangkannya. Phishing, penyalahgunaan internal, dan serangan rantai pasokan tetap menjadi ancaman.
"Zero Trust sering kali dianggap sebagai solusi mujarab," ujar Katie Moussouris, CEO Luta Security, dalam sebuah wawancara di tahun 2021. "Dalam praktiknya, ini hanyalah lapisan pertahanan tambahan. Zero Trust bekerja paling baik jika menjadi bagian dari budaya keamanan yang lebih luas dan disiplin."
Dimana Itu Cocok
Zero Trust bukanlah mandat untuk mengganti sistem secara asal-asalan. Zero Trust hadir berdampingan dengan sistem yang sudah ada. Organisasi biasanya memulai dengan manajemen identitas—menerapkan autentikasi multifaktor, akses tunggal, dan kebijakan akses bersyarat—sebelum memperluasnya ke segmentasi jaringan dan pemantauan berkelanjutan.
Urutan operasinya bervariasi, tetapi prinsipnya sama: tidak ada kepercayaan implisit sama sekali. Setiap transaksi harus membuktikan dirinya sendiri.
Perubahan Budaya
Mungkin yang lebih penting daripada teknologi adalah pola pikir. Model tradisional menggambarkan garis biner: luar versus dalam, aman versus tidak aman. Zero Trust meruntuhkan biner tersebut. Setiap koneksi, bahkan koneksi internal, harus diverifikasi.
Bagi para pemimpin TI, hal ini membutuhkan budaya di mana akses diperoleh secara terus-menerus, tidak diasumsikan secara permanenHal ini dapat menimbulkan gesekan—pengguna mungkin enggan melakukan verifikasi berulang—tetapi hal ini menunjukkan pergeseran menuju ketahanan.
Mengapa Itu Berakar
Kebangkitan Zero Trust bukanlah sesuatu yang tak terelakkan. Zero Trust menjadi arus utama karena sejalan dengan kebutuhan keamanan praktis ke narasi strategisPerusahaan menginginkan cara untuk mengamankan adopsi cloud. Pemerintah perlu memperkuat infrastruktur penting. Vendor menemukan kesamaan untuk produk identitas, akses, dan pemantauan.
Pada awal 2020-an, istilah Zero Trust tidak hanya muncul dalam dokumen teknis, tetapi juga di ruang rapat, laporan audit, dan bahkan sidang kongres. Model ini telah beralih dari teori ke kebijakan.
Di Dalam Perusahaan
Zero Trust bukanlah produk yang bisa Anda pasang sendiri. Ini adalah proses panjang dan tidak merata untuk mendesain ulang cara kerja akses di dalam organisasi. Bagi sebagian besar perusahaan, ini berarti menerapkan kontrol baru ke sistem lama, menerapkan perubahan secara bertahap, departemen demi departemen. Hasilnya adalah tambal sulam yang terlihat berbeda di setiap industri, tetapi pola-pola tertentu mulai muncul.
Google dan Eksperimen BeyondCorp
Mungkin contoh yang paling sering dikutip dari tindakan Zero Trust adalah BeyondCorp milik GoogleDiluncurkan pada tahun 2011, setelah kampanye spionase cyber yang dikenal sebagai Operasi Aurora Ketika Google dan perusahaan Silicon Valley lainnya menjadi target, perusahaan tersebut meninggalkan gagasan jaringan internal tepercaya. Sebagai gantinya, setiap karyawan dan perangkat, terlepas dari lokasinya, harus diautentikasi melalui proxy yang mengenali identitas sebelum mengakses sumber daya (Google).
BeyondCorp memungkinkan para insinyur bekerja dari jaringan Wi-Fi yang tidak tepercaya seolah-olah mereka berada di kantor, tanpa bergantung pada VPN. Hal ini juga menjadi preseden: jika sebuah perusahaan dengan lebih dari 100,000 karyawan dapat merancang ulang infrastrukturnya berdasarkan prinsip Zero Trust, perusahaan lain pun dapat melakukannya.
Microsoft dan Arus Utama Perusahaan
Microsoft mengambil pendekatan yang berbeda. Alih-alih inisiatif tunggal, mereka menanamkan prinsip-prinsip Zero Trust ke dalam produk-produk seperti Azure Active Directory ke Microsoft DefenderPerusahaan merumuskan panduannya berdasarkan tiga keharusan: verifikasi secara eksplisit, gunakan hak istimewa paling rendah, dan asumsikan adanya pelanggaran.
Bahasa ini mendapat sambutan positif dari pelanggan korporat yang telah bermigrasi ke ekosistem cloud Microsoft. Pada tahun 2021, Microsoft melaporkan bahwa 96 persen pelanggan perusahaannya telah mengaktifkan autentikasi multifaktor dalam beberapa bentuk, sebuah fondasi dasar Zero Trust (Microsoft).
Dorongan Pemerintah Federal
Meskipun raksasa teknologi bergerak lebih dulu, pemerintah AS memberikan mandat yang paling nyata. Setelah insiden Colonial Pipeline dan SolarWinds, Gedung Putih memerintahkan lembaga-lembaga federal untuk mengadopsi peta jalan Zero Trust. Kantor Manajemen dan Anggaran (OMB) menetapkan tonggak-tonggak penting: verifikasi identitas pada tahun 2024, enkripsi semua lalu lintas secara default, dan penegakan kebijakan akses terpusat di seluruh lembaga (OMB).
Berbagai lembaga telah berjuang dengan kemajuan yang tidak merata. Beberapa departemen dengan infrastruktur modern bergerak cepat, sementara yang lain, yang bergantung pada sistem yang telah berusia puluhan tahun, tertinggal. Namun, mandat tersebut memaksa modernisasi keamanan siber dalam skala yang hanya dapat ditandingi oleh sedikit perusahaan swasta.
Layanan Keuangan: Risiko Bertemu Regulasi
Bank dan perusahaan asuransi, yang telah lama terbiasa dengan pengawasan regulasi, telah mengadopsi Zero Trust sebagai bagian dari strategi ketahanan. Pada tahun 2022, Otoritas Regulasi Industri Keuangan (FINRA) mengeluarkan panduan yang mendorong perusahaan untuk mengadopsi model keamanan yang berpusat pada identitas.
Satu perusahaan asuransi besar melaporkan pengurangan akun istimewa lebih dari sepertiga setelah melakukan inventarisasi identitas layanan. Bank lain mengatakan waktu rata-rata (mean time) untuk mendeteksi intrusi turun hampir 30 persen setelah menerapkan mikrosegmentasi di seluruh pusat data. Angka-angka ini dilaporkan sendiri, tetapi menunjukkan bagaimana Zero Trust selaras dengan penekanan lembaga keuangan pada pengurangan risiko.
Keamanan Siber untuk Bisnis
Bisnis Anda menghadapi ancaman dunia maya yang terus berkembang yang dapat membahayakan data sensitif, mengganggu operasi, dan merusak reputasi Anda. Keamanan siber untuk solusi bisnis dirancang untuk memenuhi tantangan unik perusahaan segala ukuran, menyediakan perlindungan tangguh terhadap malware, phishing, ransomware, dan banyak lagi.
Baik Anda perusahaan rintisan kecil atau perusahaan besar, kami menawarkan paket keamanan siber multi-lisensi yang memastikan perlindungan tanpa hambatan bagi seluruh tim Anda, di semua perangkat. Dengan fitur-fitur canggih seperti pemantauan ancaman secara real-time, keamanan titik akhir, dan enkripsi data yang aman, Anda dapat fokus mengembangkan bisnis sementara kami menangani kebutuhan keamanan digital Anda.
Dapatkan Penawaran Gratis Hari Ini! Lindungi bisnis Anda dengan solusi yang terjangkau dan dapat diskalakan. Hubungi kami sekarang untuk meminta kutipan gratis untuk paket keamanan siber multi-lisensi yang dirancang untuk menjaga perusahaan Anda tetap aman dan patuh. Jangan menunggu—lindungi bisnis Anda sebelum ancaman menyerang!
Layanan Kesehatan: Perjuangan Melawan Sistem Lama
Rumah sakit menghadapi tantangan yang berbeda. Sistem rekam medis elektronik (RME) dan perangkat medis yang terhubung seringkali menggunakan perangkat lunak yang sudah usang, sehingga menyulitkan segmentasi dan penegakan identitas. Di saat yang sama, industri ini menjadi target utama ransomware.
Beberapa rumah sakit telah menerapkan prinsip-prinsip Zero Trust di portal berbasis cloud baru untuk pasien dan dokter, meskipun sistem inti masih tertinggal. Departemen Kesehatan dan Layanan Kemanusiaan telah mendesak para penyedia layanan kesehatan untuk memperlakukan Zero Trust sebagai cara untuk mencegah pelanggaran, alih-alih solusi mujarab. "Tidak realistis untuk menghapus semua perangkat lama," ujar seorang pejabat. "Tetapi Anda masih dapat membatasi bagaimana perangkat-perangkat tersebut berkomunikasi dengan seluruh jaringan."
Benang Merah di Berbagai Industri
Meskipun memiliki titik awal yang berbeda, perusahaan yang mengadopsi Zero Trust sering kali memiliki prioritas awal yang sama:
- Identitas Pertama. Luncurkan autentikasi yang kuat, akses tunggal, dan akses bersyarat.
- Visibilitas. Catat setiap transaksi dan pusatkan analitik.
- Kontrol Jaringan. Tahap dalam mikrosegmentasi, terutama di sekitar beban kerja yang sensitif.
- Ekspansi Bertahap. Memperluas model dari sistem TI ke teknologi operasional, IoT, dan akses pihak ketiga.
Yang menyatukan mereka bukanlah keseragaman tetapi niat: untuk mengikis kepercayaan implisit di mana pun kepercayaan itu masih ada.
Budaya sebagai Lapisan Terkeras
Teknologi dapat diperoleh. Budaya tidak. Perusahaan melaporkan bahwa tantangan terberat adalah meyakinkan karyawan dan pengembang bahwa verifikasi tambahan sepadan dengan usaha yang dikeluarkan.
Di Google, para insinyur awalnya menolak BeyondCorp, mengeluhkan akses yang lebih lambat. Di sebuah perusahaan jasa keuangan, para pengembang menentang aturan segmentasi yang memperlambat lingkungan pengujian. Kisah-kisah ini menggarisbawahi tema yang konsisten: Zero Trust merupakan proyek manajemen sekaligus teknis.
Tolok Ukur yang Tenang
Pada awal tahun 2020-an, adopsi Zero Trust telah menjadi tolok ukur kematangan keamanan siber. Para analis tidak bertanya apakah organisasi “menggunakan Zero Trust”, melainkan seberapa jauh perjalanan merekaModel beralih dari slide aspirasional ke daftar periksa audit.
Dan meskipun tidak ada dua implementasi yang terlihat sama, cerita umum yang ada adalah adopsi bertahap di bawah tekananBaik didorong oleh regulasi, ketahanan, maupun reputasi, Zero Trust telah menjadi arsitektur keamanan yang tidak dapat diabaikan oleh perusahaan.
Bagian yang Sulit
Meskipun menarik, Zero Trust tidaklah mudah diimplementasikan. Implementasinya membutuhkan pemikiran ulang terhadap asumsi yang telah ada selama puluhan tahun, penggantian praktik yang sudah mengakar, dan negosiasi dengan vendor yang melihat label tersebut sebagai peluang pemasaran. Hambatannya terbagi dalam tiga kategori besar: teknologi, budaya, dan biaya.
Sistem Lama yang Tidak Sesuai
Salah satu hambatan paling membandel adalah infrastruktur yang sudah ada sejak puluhan tahun sebelum Zero Trust. Rumah sakit seringkali menjalankan perangkat medis yang sangat penting bagi kehidupan manusia di Windows XP. Produsen mengoperasikan sistem pabrik yang dirancang jauh sebelum enkripsi menjadi standar. Bahkan beberapa instansi pemerintah masih mengandalkan mainframe yang dikodekan dalam COBOL.
Sistem-sistem ini sulit untuk dimodifikasi. Seringkali tidak dapat mendukung pemeriksaan identitas modern atau segmentasi granular. Menggantinya dapat menghabiskan biaya jutaan dolar, dan pemasangan patch berisiko jika mengganggu operasional.
Laporan tahun 2022 dari Departemen Kesehatan dan Layanan Kemanusiaan memperingatkan bahwa teknologi usang di rumah sakit masih menjadi hambatan utama bagi adopsi Zero Trust. Laporan tersebut mendesak "strategi penahanan" — membungkus sistem lama dengan lapisan pelindung alih-alih mengharapkannya memenuhi standar modern (HHS).
Gesekan dan Penolakan Pengguna
Zero Trust menuntut pengguna untuk melakukan verifikasi lebih sering dan terkadang menunggu lebih lama untuk mendapatkan persetujuan. Para teknisi mengeluhkan permintaan autentikasi yang berulang. Pekerja jarak jauh tidak menyukai langkah-langkah login tambahan. Para pengembang berpendapat bahwa segmentasi memperlambat alur kerja mereka.
Di Google, penolakan awal terhadap BeyondCorp begitu kuat sehingga tim keamanan harus menciptakan pendukung internal — para insinyur yang dihormati yang menjelaskan mengapa ketidaknyamanan tersebut sepadan dengan perlindungan yang diberikan. Kisah serupa muncul di berbagai industri: kesuksesan seringkali bergantung pada dukungan budaya sebelum peluncuran.
Di sinilah kepemimpinan berperan. CISO yang memperlakukan Zero Trust sebagai proyek teknis semata sering kali gagal. Mereka yang membingkainya sebagai bagian dari ketahanan bisnis — yang memungkinkan adopsi cloud yang aman, audit yang lebih lancar, dan perlindungan reputasi — lebih sukses.
Keamanan Siber untuk Bisnis
Bisnis Anda menghadapi ancaman dunia maya yang terus berkembang yang dapat membahayakan data sensitif, mengganggu operasi, dan merusak reputasi Anda. Keamanan siber untuk solusi bisnis dirancang untuk memenuhi tantangan unik perusahaan segala ukuran, menyediakan perlindungan tangguh terhadap malware, phishing, ransomware, dan banyak lagi.
Baik Anda perusahaan rintisan kecil atau perusahaan besar, kami menawarkan paket keamanan siber multi-lisensi yang memastikan perlindungan tanpa hambatan bagi seluruh tim Anda, di semua perangkat. Dengan fitur-fitur canggih seperti pemantauan ancaman secara real-time, keamanan titik akhir, dan enkripsi data yang aman, Anda dapat fokus mengembangkan bisnis sementara kami menangani kebutuhan keamanan digital Anda.
Dapatkan Penawaran Gratis Hari Ini! Lindungi bisnis Anda dengan solusi yang terjangkau dan dapat diskalakan. Hubungi kami sekarang untuk meminta kutipan gratis untuk paket keamanan siber multi-lisensi yang dirancang untuk menjaga perusahaan Anda tetap aman dan patuh. Jangan menunggu—lindungi bisnis Anda sebelum ancaman menyerang!
Biaya Perubahan
Menerapkan Zero Trust tidaklah murah. Organisasi harus menginventarisasi setiap perangkat dan pengguna, menerapkan sistem identitas baru, melakukan segmentasi jaringan, dan memusatkan pemantauan. Bagi perusahaan besar, biayanya bisa mencapai puluhan juta dolar.
Perusahaan yang lebih kecil menghadapi pilihan yang lebih sulit. Hanya sedikit yang mampu mengadopsi secara grosir. Sebagai gantinya, mereka menerapkan "Zero Trust lite", yang berfokus pada autentikasi multi-faktor dan kebijakan akses cloud, sementara jaringan internal sebagian besar tidak tersentuh.
Para analis memperingatkan bahwa ketimpangan ini dapat menciptakan kesenjangan keamanan. Perusahaan yang lebih kaya membangun pertahanan berlapis, sementara perusahaan yang lebih kecil tetap rentan terhadap pergerakan lateral yang sama yang telah dieksploitasi oleh para penyerang selama beberapa dekade.
Hype dan Kebingungan Vendor
Hambatan lainnya adalah industri itu sendiri. Vendor keamanan berlomba-lomba memberi label "Zero Trust" pada setiap produk mereka. Firewall, agen endpoint, dan gateway cloud semuanya dipasarkan dengan merek tersebut. Hal ini menimbulkan kebingungan, karena para eksekutif percaya bahwa mereka dapat membeli Zero Trust secara langsung.
Analis Gartner memperingatkan bahwa Zero Trust adalah "sebuah strategi, bukan produk." Kerangka kerja ini membutuhkan orkestrasi lintas identitas, perangkat, jaringan, dan aplikasi. Tidak ada satu vendor pun yang dapat menyediakan semuanya. Namun, gembar-gembor pemasaran seringkali mengaburkan kenyataan tersebut.
Pada tahun 2022, Badan Keamanan Siber dan Infrastruktur AS (CISA) merilis Model Kematangan Zero Trust untuk membantu organisasi mengukur kemajuan. Tujuannya antara lain untuk menyederhanakan pesan vendor dan menyediakan peta jalan yang menekankan kemajuan bertahap dibandingkan pembelian satu kali (CISA).
Mengukur Keberhasilan
Bahkan ketika organisasi mengadopsi Zero Trust, mengukur efektivitasnya tetap sulit. Pelanggaran yang tidak Apa yang terjadi sulit diukur. Sebaliknya, perusahaan mengandalkan proksi:
- Pengurangan pada akun istimewa.
- Lebih sedikit pengecualian terhadap kebijakan akses.
- Deteksi perilaku yang tidak biasa lebih cepat.
Metrik-metrik ini memang tidak sempurna, tetapi membantu menunjukkan kemajuan kepada dewan direksi dan regulator. Namun, kurangnya pengukuran standar membuat beberapa perusahaan melebih-lebihkan kematangan mereka, sementara yang lain meremehkan kemajuan mereka.
Kelelahan Perubahan
Terakhir, ada kelelahan. Tim keamanan sudah kewalahan dengan patching, kepatuhan, dan respons insiden. Menambahkan transformasi Zero Trust jangka panjang di atas semua itu bisa terasa sangat membebani.
Beberapa organisasi mengadopsi pendekatan parsial: kontrol identitas terlebih dahulu, segmentasi kemudian, dan pemantauan berkelanjutan terakhir. Yang lain mencoba peluncuran besar-besaran dan terhenti. Para veteran industri memperingatkan bahwa Zero Trust harus diperlakukan sebagai program multi-tahun daripada perbaikan cepat.
Takeaway The
Zero Trust bukan hanya soal politik, anggaran, dan psikologi, tetapi juga soal firewall atau proksi. Visi teknisnya mungkin jelas, tetapi pelaksanaannya berbenturan dengan sistem lama, pengguna yang enggan, anggaran terbatas, dan vendor yang oportunis.
Realitas tersebut tidak membatalkan model tersebut. Malah, hal itu menunjukkan mengapa istilah tersebut tetap relevan. Zero Trust bukanlah garis akhir. Ini adalah negosiasi berkelanjutan antara aspirasi keamanan dan kendala operasional.
Masa Depan Tanpa Kepercayaan
Zero Trust bukan lagi konsep pinggiran. Konsep ini telah menjadi cetak biru standar bagi lembaga pemerintah dan perusahaan global. Namun, langkah selanjutnya bukan lagi tentang prinsip, melainkan lebih tentang eksekusi dalam skala besar. Seiring organisasi memperluas Zero Trust ke luar sistem TI, teknologi operasional, tumpukan cloud-native, dan penegakan hukum yang digerakkan oleh AI, model itu sendiri sedang berkembang.
AI dan Pembelajaran Mesin: Menuju Penegakan Adaptif
Salah satu perkembangan yang paling menjanjikan adalah integrasi Mesin belajar dalam keputusan akses. Alih-alih aturan statis—mengizinkan atau menolak berdasarkan atribut tetap—sistem berbasis AI menganalisis perilaku secara real-time.
Misalnya, jika pengguna masuk dari lokasi baru pada jam yang tidak biasa, sistem dapat meningkatkan autentikasi atau menandai aktivitas tersebut untuk ditinjau. Seiring waktu, model-model ini membangun dasar perilaku "normal" untuk setiap pengguna dan perangkat.
Microsoft dan Google telah meluncurkan fitur autentikasi adaptif yang menggabungkan sinyal perilaku. Menurut Microsoft, organisasi yang menggunakan kebijakan akses bersyarat berbasis risiko telah melaporkan penurunan pelanggaran terkait phishing yang berhasil, karena login penyerang sering kali menyimpang dari pola yang dipelajari (Microsoft).
Tantangannya adalah keandalan. Sistem pembelajaran mesin rentan terhadap positif palsu, dan terlalu banyak alarm palsu dapat menyebabkan kelelahan peringatan. Perusahaan perlu menyeimbangkan otomatisasi dengan pengawasan manusia, setidaknya untuk waktu dekat.
Kebijakan-sebagai-Kode: Mengotomatiskan Pagar Pembatas
Tren lainnya adalah kebijakan-sebagai-kode, yang memungkinkan aturan akses ditulis dalam bahasa pemrograman dan diberlakukan secara otomatis di seluruh sistem.
Alih-alih mengonfigurasi izin secara manual di lusinan aplikasi, organisasi dapat menentukan kebijakan secara terpusat—seperti “Semua admin harus menggunakan MFA, dan tidak ada kredensial yang dapat digunakan kembali”—dan membiarkan otomatisasi menerapkannya.
Pendekatan ini semakin populer dalam alur kerja DevSecOps. Pengembang dapat menanamkan kebijakan keamanan di samping kode aplikasi, memastikan penerapan baru mematuhi prinsip-prinsip Zero Trust sejak awal. Open Policy Agent (OPA), sebuah proyek sumber terbuka, telah menjadi kerangka kerja yang populer untuk tujuan ini.
Kebijakan sebagai kode menjanjikan skalabilitas. Hal ini juga menimbulkan pertanyaan: Siapa yang menulis kebijakan? Siapa yang mengauditnya? Jika sebuah bug masuk ke dalam kode, ia dapat menerapkan aturan yang salah dengan kecepatan mesin. Terlepas dari potensinya, hal ini masih merupakan tantangan baru.
Memperluas Zero Trust ke IoT dan OT
Zero Trust lahir di dunia TI perusahaan, tetapi semakin banyak diterapkan di teknologi operasional (OT) dan Internet of Things (IOT).
Pabrik, jaringan listrik, dan rumah sakit dipenuhi perangkat yang tidak dirancang untuk autentikasi ulang secara berkala. Banyak yang menggunakan sistem operasi usang, tidak memiliki mekanisme patching, dan dirancang untuk ketersediaan, bukan keamanan.
Namun, lingkungan ini kini menjadi target utama. Serangan Colonial Pipeline tahun 2021 menggarisbawahi bagaimana pelanggaran TI dapat merembet ke infrastruktur penting. Menanggapi hal ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) telah mendesak operator jaringan pipa, utilitas, dan transportasi untuk menerapkan prinsip-prinsip Zero Trust sedapat mungkin (CISA).
Beberapa strategi mencakup membungkus perangkat lama dalam "proksi" yang menerapkan aturan akses atas nama mereka, atau melakukan segmentasi jaringan sehingga peralatan yang rentan tidak dapat berkomunikasi secara bebas dengan sistem yang sensitif. Kemajuannya tidak merata, tetapi arahnya jelas: pola pikir perimeter tidak dapat dipertahankan untuk infrastruktur penting.
Kepercayaan Nol Berbasis Cloud
Adopsi cloud telah mendorong Zero Trust lebih dalam ke dalam perangkat lunak itu sendiri. Dalam lingkungan berbasis kontainer seperti Kubernetes, layanan mikro terus berkomunikasi satu sama lain melalui API. Zero Trust dalam konteks ini berarti memverifikasi setiap panggilan layanan-ke-layanan, bukan hanya login manusia.
Jaring layanan seperti Istio ke Linkerd mengaktifkan “TLS bersama” antara layanan mikro, memastikan bahwa bahkan dalam kluster yang sama, kepercayaan diperoleh, bukan diasumsikan.
Penegakan yang terperinci ini mengurangi dampak beban kerja yang terganggu. Namun, hal ini juga menimbulkan kompleksitas karena tim operasi harus mengelola ribuan sertifikat sementara. Mengotomatiskan proses ini tanpa mengganggu aplikasi menjadi area inovasi yang penting.
Mempersiapkan Era Kuantum
Jika kita melihat lebih jauh ke depan, Zero Trust mungkin akan berbenturan dengan kenyataan yang akan datang komputasi kuantumKriptografi kunci publik saat ini mendasari sebagian besar autentikasi dan enkripsi. Komputer kuantum yang cukup canggih dapat memecahkan algoritma tersebut dalam hitungan jam.
Meskipun serangan kuantum praktis masih jauh dari kenyataan, pemerintah dan perusahaan sudah bersiap. Institut Nasional Standar dan Teknologi (NIST) sedang menstandardisasi algoritma kriptografi pasca-kuantum untuk menggantikan yang rentan (NIST).
Bagi Zero Trust, ini berarti lapisan identitas dan enkripsi yang tahan masa depan. Kebijakan pada akhirnya mungkin perlu memperhitungkan algoritma mana yang dianggap aman kuantum dan secara otomatis memigrasikan koneksi seiring perkembangan standar.
Batasan Visi Masa Depan
Meskipun Zero Trust mengintegrasikan AI, kode, dan pertahanan pasca-kuantum, batasannya tetap ada. Otomatisasi dapat menjadi bumerang jika tidak disesuaikan dengan cermat. Perangkat lama akan terus menolak integrasi yang mudah. Dan organisasi berisiko mengalami "teater keamanan" jika mereka menerapkan terminologi Zero Trust tanpa perubahan budaya yang rumit di baliknya.
Masa depan yang sesungguhnya mungkin tidak glamor. Akan ada perjuangan yang terus-menerus: mengukur risiko, menulis ulang kebijakan, meningkatkan sistem, dan meyakinkan orang untuk mengubah kebiasaan. Zero Trust mungkin tidak lagi sekadar kata kunci, melainkan lebih merupakan asumsi dasar—seperti sabuk pengaman di mobil.
Gambaran Besar
Zero Trust berawal dari sebuah kerangka kerja teknis, tetapi implikasinya jauh melampaui firewall dan login. Seiring diadopsinya oleh pemerintah, perusahaan, dan seluruh industri, model ini tidak hanya membentuk strategi keamanan siber, tetapi juga pertanyaan tentang tata kelola, etika, dan geopolitik.
Keamanan Siber untuk Bisnis
Bisnis Anda menghadapi ancaman dunia maya yang terus berkembang yang dapat membahayakan data sensitif, mengganggu operasi, dan merusak reputasi Anda. Keamanan siber untuk solusi bisnis dirancang untuk memenuhi tantangan unik perusahaan segala ukuran, menyediakan perlindungan tangguh terhadap malware, phishing, ransomware, dan banyak lagi.
Baik Anda perusahaan rintisan kecil atau perusahaan besar, kami menawarkan paket keamanan siber multi-lisensi yang memastikan perlindungan tanpa hambatan bagi seluruh tim Anda, di semua perangkat. Dengan fitur-fitur canggih seperti pemantauan ancaman secara real-time, keamanan titik akhir, dan enkripsi data yang aman, Anda dapat fokus mengembangkan bisnis sementara kami menangani kebutuhan keamanan digital Anda.
Dapatkan Penawaran Gratis Hari Ini! Lindungi bisnis Anda dengan solusi yang terjangkau dan dapat diskalakan. Hubungi kami sekarang untuk meminta kutipan gratis untuk paket keamanan siber multi-lisensi yang dirancang untuk menjaga perusahaan Anda tetap aman dan patuh. Jangan menunggu—lindungi bisnis Anda sebelum ancaman menyerang!
Tata Kelola dan Akuntabilitas
Model keamanan tradisional seringkali mengaburkan tanggung jawab. Jika perimeter gagal, tidak jelas apakah kelalaian tersebut disebabkan oleh TI, kepatuhan, atau perilaku pengguna. Zero Trust menuntut kejelasan. Setiap permintaan akses dicatat, setiap keputusan terikat pada kebijakan, dan setiap pengecualian terlihat.
Visibilitas ini membentuk kembali akuntabilitas. Dewan direksi dan regulator semakin mengharapkan metrik pada akun istimewa, deteksi pergerakan lateral, dan pengecualian kebijakan. Di Eropa, regulator telah mengisyaratkan bahwa perusahaan yang gagal mengadopsi prinsip Zero Trust mungkin menghadapi pengawasan yang lebih ketat di bawah Undang-Undang Peraturan Perlindungan Data Umum (GDPR), yang memerlukan “tindakan teknis dan organisasi yang tepat” untuk melindungi data pribadi (Komisi Eropa).
Bagi organisasi, Zero Trust bukan sekadar mekanisme pertahanan. Zero Trust juga merupakan instrumen kepatuhan.
Etika Verifikasi
Verifikasi berkelanjutan menimbulkan pertanyaan etis. Jika setiap tindakan dicatat, apakah privasi karyawan terkikis? Jika sistem berbasis AI menilai pengguna berdasarkan "risiko", mungkinkah skor tersebut bias berdasarkan geografi, pola kerja, atau jenis perangkat?
Para pendukung privasi memperingatkan bahwa Zero Trust dapat berubah menjadi pengawasan secara default jika tidak dibatasi dengan cermat. "Verifikasi memang perlu, tetapi visibilitas atas semua yang Anda lakukan di tempat kerja bisa melewati batas," kata Albert Fox Cahn, direktur Proyek Pengawasan Teknologi Pengawasan, dalam sebuah wawancara pada tahun 2022.
Tantangan bagi organisasi adalah menyeimbangkan keamanan yang bermartabatKebijakan yang transparan, pengumpulan data minimal, dan audit independen mungkin diperlukan untuk memastikan Zero Trust tidak menjadi rezim pemantauan yang tidak terkendali.
Geopolitik Kepercayaan
Zero Trust juga memiliki dimensi geopolitik. Seiring meningkatnya keterlibatan aktor negara dalam serangan siber, model ini tidak hanya diadopsi oleh perusahaan, tetapi juga oleh pemerintah.
Amerika Serikat, Uni Eropa, dan sekutu-sekutunya bersekutu dengan Zero Trust sebagai landasan untuk melindungi infrastruktur penting. Di saat yang sama, negara-negara yang berseteru sedang menerapkan model serupa untuk jaringan mereka sendiri, seringkali memadukannya dengan kebijakan yang sarat pengawasan.
Dengan cara ini, Zero Trust dapat menjadi bagian dari norma siber global Negara-negara yang dapat menerapkannya secara efektif mungkin akan merasa lebih tangguh, tidak hanya terhadap serangan, tetapi juga terhadap dampak diplomatik dan ekonomi akibat pelanggaran.
Namun, bagi negara-negara berkembang, biaya adopsi dapat memperlebar kesenjangan digital. Negara-negara kaya akan mengamankan infrastruktur mereka dengan prinsip-prinsip Zero Trust, sementara negara-negara miskin mungkin tetap bergantung pada model perimeter yang sudah ketinggalan zaman—lebih rentan terhadap serangan yang mengganggu layanan kesehatan, perbankan, dan utilitas.
Pergeseran Budaya yang Bertahan Lebih Lama dari Kata Kunci
Meskipun Zero Trust telah memasuki ranah regulasi dan geopolitik, dampak jangka panjangnya mungkin bersifat kultural. Model ini membingkai ulang cara organisasi memandang kepercayaan digital: bukan sebagai jabat tangan sesaat di tepi, melainkan sebagai hubungan dinamis yang harus terus-menerus dibangun.
Pergeseran budaya ini mencerminkan tren teknologi yang lebih luas. Sebagaimana penerapan berkelanjutan menggantikan rilis perangkat lunak tahunan, verifikasi berkelanjutan menggantikan login statis. Keduanya mencerminkan realitas sistem yang selalu berubah, selalu terekspos, selalu diuji.
Kembali ke Lede
Ketika ransomware mematikan sistem penjadwalan rumah sakit, kegagalannya bukanlah sesuatu yang eksotis. Melainkan hal biasa: kata sandi yang digunakan berulang kali, pergerakan lateral yang tak terkendali, kepercayaan implisit.
Zero Trust, dengan segala kompleksitas dan kontroversinya, adalah upaya untuk memperbaiki hal-hal yang biasa. Upaya ini tidak akan mencegah setiap pelanggaran. Upaya ini tidak dapat menghilangkan penyalahgunaan internal. Bahkan dapat menimbulkan risiko baru jika diterapkan secara salah. Namun, upaya ini mengubah persamaan: satu kata sandi yang dicuri seharusnya tidak lagi cukup untuk membuka seluruh jaringan.
Penendang
Batas-batas masih ada. Hanya saja, batas-batas itu tidak lagi menentukan siapa yang boleh masuk. Dalam beberapa dekade mendatang, organisasi yang beradaptasi bukanlah mereka yang membangun tembok yang lebih tinggi, melainkan mereka yang memperlakukan kepercayaan sebagai sesuatu yang dinamis, kontekstual, dan kondisional.
Zero Trust, jika dilepaskan dari kata-kata kunci, hanyalah sebuah pengakuan atas fakta itu.
Pelanggaran yang Menghancurkan Kastil
Ketika ransomware menyerang sistem penjadwalan sebuah rumah sakit menengah musim semi lalu, para dokter kembali menggunakan pena dan kertas. Para penyerang tidak memanfaatkan malware eksotis—mereka menggunakan kredensial login yang digunakan ulang, bergerak secara lateral melintasi jaringan hingga sistem inti terkunci. Insiden semacam itu umum terjadi di layanan kesehatan, di mana kredensial yang dicuri memicu kampanye ransomware dan membebani tim TI yang kekurangan sumber daya (Kabel).
Rumah sakit itu bukan satu-satunya target. Pada bulan Mei 2021, sebuah serangan ransomware memaksa Pipa Kolonial, yang memasok hampir setengah dari bahan bakar yang dikonsumsi di Pantai Timur AS, untuk menghentikan operasi. Penyerang telah memperoleh akses menggunakan akun VPN yang disusupi dan tidak memiliki autentikasi multifaktor (Wikipedia). Gangguan tersebut memicu kekurangan bahan bakar, pembelian panik, dan tindakan darurat federal.
Sebelumnya, pada bulan Desember 2020, SuryaAngin Pelanggaran rantai pasokan merusak kepercayaan terhadap perangkat lunak yang banyak digunakan. Pembaruan berbahaya—yang diyakini telah diatur oleh kelompok negara-bangsa—didistribusikan dengan kedok patch yang sah, memberikan penyerang akses ke lembaga pemerintah AS selama berbulan-bulan sebelum terdeteksi (CISA).
Insiden-insiden ini memiliki pelajaran penting yang sama: penyerang jarang perlu menyerbu perimeter digital. Begitu masuk, segala sesuatu di balik tembok diperlakukan sebagai sesuatu yang tepercaya, membuat eskalasi pelanggaran menjadi cepat dan merusak.
Perimeter Runtuh
Selama beberapa dekade, organisasi bergantung pada kastil dan parit model: memperkuat perimeter—dalam bentuk firewall, VPN, dan sistem intrusi—dan semua yang ada di dalamnya dianggap aman.
Kerangka kerja tersebut terurai seiring berkembangnya teknologi:
- Migrasi awan. Beban kerja sensitif dipindahkan ke AWS, Azure, dan Google Cloud.
- Akses jarak jauh dan seluler. Pandemi memperluas pekerjaan melampaui tembok perusahaan, memperluas VPN.
- API dan SaaS. Data sekarang mengalir melintasi batas-batas yang berpori.
"Perimeter belum hilang," kata Phil Venables, kepala petugas keamanan informasi di Google Cloud, dalam sebuah wawancara tahun 2022. "Hanya saja, perimeter tidak lagi memberi tahu banyak hal. Berada 'di dalam' bukan berarti aman."
Model Lama dan Mengapa Gagal
Metafora kastil dan parit mendominasi pemikiran keamanan hampir sepanjang sejarah internet. Bangun tembok tinggi—firewall, sistem pencegahan intrusi, perangkat lunak antivirus—dan Anda dapat mencegah musuh masuk. Di balik tembok tersebut, pengguna dan mesin tepercaya dapat berkeliaran dengan bebas.
Munculnya Pertahanan Perimeter
Pada tahun 1990-an dan awal 2000-an, model ini masuk akal. Sebagian besar sistem perusahaan berada di pusat data lokal. Karyawan duduk di meja dalam jaringan kantor. "Tepi" adalah batas yang dapat didefinisikan, biasanya serangkaian rentang IP yang dikendalikan oleh organisasi.
Firewall lalu lintas yang difilter. VPNs menciptakan terowongan terenkripsi untuk staf yang bepergian. Paket antivirus waspada terhadap ancaman yang diketahui. Untuk sementara, pertahanan ini berhasil.
Namun keretakan mulai terlihat.
- Cacing seperti Code Red dan Slammer menyebar dengan cepat ke seluruh jaringan perusahaan di awal tahun 2000-an, mengeksploitasi mesin yang belum ditambal setelah berhasil masuk.
- Pelanggaran Target tahun 2013, di mana penyerang masuk melalui vendor HVAC pihak ketiga dan bergerak secara lateral ke sistem titik penjualan, menunjukkan betapa rentannya zona “tepercaya”.
- Pengungkapan Edward Snowden pada tahun 2013 menyoroti risiko orang dalam: setelah pengguna memiliki akses istimewa, pertahanan perimeter tidak banyak membantu menghentikan eksfiltrasi data.
Asumsi implisit—bahwa ancaman datang dari luar—tidak lagi benar.
Hambatan VPN
Jaringan pribadi virtual (VPN), yang selama ini dianggap sebagai bagian penting dari pekerjaan jarak jauh yang aman, justru menjadi kelemahan yang mencolok. Pada tahun 2020, ketika pandemi COVID-19 memaksa seluruh karyawan bekerja dari rumah, server VPN kewalahan. Karyawan menyalurkan semua lalu lintas melalui server tersebut, menciptakan hambatan kinerja dan, yang lebih parah, titik-titik kegagalan tunggal.
Para penyerang menyadarinya. Menurut FBI, kerentanan VPN termasuk dalam kategori yang paling banyak dieksploitasi pada tahun 2020–2021, yang memberikan akses langsung bagi penyerang ke lingkungan perusahaan (FBI).
VPN, yang dulunya merupakan jembatan yang dapat dipercaya, semakin lama semakin menjadi beban.
Keamanan Siber untuk Bisnis
Bisnis Anda menghadapi ancaman dunia maya yang terus berkembang yang dapat membahayakan data sensitif, mengganggu operasi, dan merusak reputasi Anda. Keamanan siber untuk solusi bisnis dirancang untuk memenuhi tantangan unik perusahaan segala ukuran, menyediakan perlindungan tangguh terhadap malware, phishing, ransomware, dan banyak lagi.
Baik Anda perusahaan rintisan kecil atau perusahaan besar, kami menawarkan paket keamanan siber multi-lisensi yang memastikan perlindungan tanpa hambatan bagi seluruh tim Anda, di semua perangkat. Dengan fitur-fitur canggih seperti pemantauan ancaman secara real-time, keamanan titik akhir, dan enkripsi data yang aman, Anda dapat fokus mengembangkan bisnis sementara kami menangani kebutuhan keamanan digital Anda.
Dapatkan Penawaran Gratis Hari Ini! Lindungi bisnis Anda dengan solusi yang terjangkau dan dapat diskalakan. Hubungi kami sekarang untuk meminta kutipan gratis untuk paket keamanan siber multi-lisensi yang dirancang untuk menjaga perusahaan Anda tetap aman dan patuh. Jangan menunggu—lindungi bisnis Anda sebelum ancaman menyerang!
Bayangan TI dan SaaS
Sementara itu, unit bisnis mengadopsi platform SaaS—Salesforce, Slack, Microsoft 365—tanpa pengawasan TI terpusat. Data sensitif mengalir melalui layanan pihak ketiga, yang seringkali diakses dengan kata sandi yang lemah atau digunakan berulang kali.
Kredensial mikro “bayangi itu” Memperluas permukaan serangan dengan cara yang tidak dapat diatasi oleh pertahanan perimeter. Pada tahun 2019, Gartner memperkirakan bahwa TI bayangan menyumbang 30 hingga 40 persen dari pengeluaran TI di perusahaan besar—sebuah titik buta bagi tim keamanan tradisional.
Budaya Kepercayaan Implisit
Mungkin kelemahan paling berbahaya dari model perimeter adalah budaya. Tim keamanan memperlakukan "bagian dalam" sebagai aman. Para pengembang membuat sistem uji tanpa kontrol. Akun admin mengumpulkan hak istimewa. Pergerakan lateral sebagian besar tidak terpantau.
Seperti yang dikatakan Venables, “Perimeter tidak hilang. Hanya saja, ia tidak memberi tahu Anda banyak hal lagi.” Kesadaran itu menjadi dasar bagi Zero Trust: sebuah kerangka kerja yang mengasumsikan pelanggaran tidak dapat dihindari dan berfokus pada meminimalkan dampaknya.
Kesimpulan: Kepercayaan, Dipertimbangkan Kembali
Zero Trust terkadang dianggap remeh, sebuah siklus baru dalam deretan akronim industri keamanan yang tak ada habisnya. Namun, daya tahannya menunjukkan sesuatu yang lebih mendalam. Apa yang awalnya hanya ungkapan analis telah menjadi mandat federal, seruan vendor, dan, yang semakin menjadi norma organisasi. Ketahanannya bukan berasal dari kebaruan, melainkan dari kebutuhan.
Perimeter runtuh. Cloud, pekerjaan seluler, dan rantai pasokan yang saling terhubung melenyapkan batas antara dalam dan luar. Para penyerang menyadarinya. Mereka mengeksploitasi VPN, menyalahgunakan pembaruan perangkat lunak tepercaya, dan mengubah kata sandi yang dicuri menjadi pesan tebusan. Kegagalan-kegagalan ini biasa saja, tidak spektakuler—dan itulah yang membuatnya menjadi bencana.
Zero Trust adalah upaya untuk menghadapi hal-hal yang biasa saja. Zero Trust tidak bergantung pada pertahanan yang sempurna atau respons insiden yang heroik. Sebaliknya, Zero Trust mengasumsikan kelemahan, mengantisipasi kompromi, dan membatasi kerusakan. Kredensial yang dicuri tidak seharusnya menjadi kunci utama. Server yang belum di-patch tidak seharusnya mengekspos seluruh perusahaan. Akses harus bersifat sementara, kontekstual, dan dapat dicabut kapan saja.
Transisi ini tidaklah murah dan mudah. Berbagai organisasi menghadapi sistem lama yang tidak dapat dimodernisasi, karyawan yang tidak suka dengan verifikasi berulang, dan vendor yang ingin memperpanjang istilah tersebut hingga kehilangan maknanya. Namun, terlepas dari adanya gesekan, model ini telah berkembang dari program percontohan menjadi strategi tingkat dewan direksi. Rumah sakit, bank, lembaga federal, dan raksasa teknologi berada pada tahap yang berbeda-beda, tetapi semuanya bergerak ke arah yang sama.
Yang membuat Zero Trust signifikan bukanlah karena ia menghilangkan pelanggaran. Ia tidak bisa. Penyalahgunaan internal, kompromi rantai pasokan yang canggih, dan kesalahan manusia akan tetap ada. Yang dilakukannya adalah mengubah geometri kegagalan. Pelanggaran di satu sudut tidak lagi menyebar tanpa terkendali. Kemajuan penyusup diperlambat, visibilitas meningkat, dan biaya kompromi meningkat bagi penyerang.
Ada pula faktor budaya yang dipertaruhkan. Zero Trust mengubah cara kita memandang kepercayaan digital itu sendiri. Selama beberapa dekade, kepercayaan merupakan properti yang statis: setelah diberikan, ia akan bertahan. Kini, kepercayaan bersifat dinamis, diperoleh berulang kali, dan diukur secara berkelanjutan. Pergeseran ini mencerminkan perubahan teknologi yang lebih luas, di mana sistem terus diperbarui, pengguna selalu mobile, dan ancaman terus beradaptasi.
Di tahun-tahun mendatang, Zero Trust akan berevolusi. Pembelajaran mesin akan mengotomatiskan lebih banyak keputusan. Kebijakan sebagai kode akan memperluasnya lebih jauh ke dalam infrastruktur. Kriptografi pasca-kuantum akan mempersiapkannya menghadapi ancaman baru. Namun esensinya akan tetap sama: kepercayaan bukanlah kondisi permanen, hanya keputusan sementara berdasarkan bukti terkini.
Batas-batas masih ada, tetapi tidak lagi mendefinisikan keamanan. Dalam hal ini, Zero Trust lebih merupakan pengakuan akan realitas daripada kerangka kerja teknis. Ini bukan tentang paranoia. Ini tentang kerendahan hati—kerendahan hati untuk mengakui bahwa tidak ada sistem yang sempurna, tidak ada tembok yang tak tertembus, tidak ada akun yang luput dari kecurigaan.
Pelanggaran yang memaksa perhitungan ini memang mahal, mengganggu, dan, dalam beberapa kasus, berbahaya. Namun, pelanggaran tersebut juga membuka jalan bagi filosofi baru: filosofi yang memandang keamanan bukan sebagai parit, melainkan sebagai pagar pembatas yang memandu setiap interaksi, setiap permintaan, dan setiap aliran data.
Zero Trust mungkin suatu hari nanti akan memudar sebagai sebuah frasa. Praktik-praktik yang diwujudkannya tidak akan. Praktik-praktik tersebut akan menjadi infrastruktur ketahanan yang senyap di dunia yang mengasumsikan kompromi. Dan jika berhasil, tolok ukur terbesar keberhasilannya adalah ketidaktampakannya—fakta bahwa pelanggaran biasa tidak lagi meningkat menjadi krisis luar biasa.
