Zero Trust Meningkatkan Keamanan Siber Menurut 99% Perusahaan yang Mengadopsinya

Diterbitkan: 2022-08-18

Hampir 99% dari mereka yang mengadopsi zero trust mengatakan telah meningkatkan keamanan siber perusahaan mereka. Inilah yang perlu Anda ketahui untuk memulai perjalanan tanpa kepercayaan perusahaan Anda.

Tanpa kepercayaan adalah strategi keamanan—tetapi juga merupakan pola pikir. Itu tidak berarti tidak ada kepercayaan, tetapi itu berarti tidak ada kepercayaan implisit . Jernih? Tidak? Oke, mari kita telusuri.

Survei Zero Trust 2022 kami [*] mengungkapkan bahwa 84% perusahaan telah memutuskan untuk mengadopsi strategi zero trust . Jika perusahaan Anda khawatir dengan meningkatnya ancaman keamanan, baca terus untuk mengetahui manfaat beralih ke zero trust, dan cara menghadapi tantangan yang menyertainya.

Apa itu kepercayaan nol, dan mengapa saya terus mendengarnya?

Zero trust adalah strategi yang mempermudah pengoptimalan keamanan untuk bisnis Anda dengan mengidentifikasi pengguna secara eksplisit dan memberi mereka jumlah akses yang tepat ke jaringan Anda.

Kepercayaan nol menggantikan moto sederhana kepercayaan implisit tentang " kepercayaan, tetapi verifikasi " dengan pepatah tanpa ampun " jangan pernah percaya, selalu verifikasi. “Jika terdengar sinis, seharusnya. Keamanan tanpa kepercayaan beroperasi di bawah pola pikir bahwa pelanggaran tidak dapat dihindari atau telah terjadi.

Oleh karena itu, keamanan tanpa kepercayaan berfungsi sebagai pengganti langsung untuk keamanan kepercayaan implisit , yang secara historis telah menjadi default untuk infrastruktur TI. Dengan kepercayaan implisit, begitu seseorang berada di dalam perimeter keamanan Anda, Anda memercayai mereka secara implisit tanpa pengawasan lebih lanjut. Strategi ini terbukti tidak memadai untuk lingkungan ancaman modern yang ditargetkan.

Peningkatan keamanan dari zero trust, yang akan kita bahas di bawah, banyak dan beragam. Strategi tanpa kepercayaan sudah direkomendasikan oleh organisasi seperti CISA [1] dan NIST [2] , dan sekarang diamanatkan untuk lembaga federal di bawah Perintah Presiden Biden untuk Meningkatkan Keamanan Siber Negara [3] .

Lebih lanjut menunjukkan langkah menuju nol kepercayaan, 44% dari perusahaan yang kami survei telah memulai implementasi tanpa kepercayaan dan 40% lainnya berencana untuk mengadopsinya di beberapa titik di masa depan—hanya 16% yang belum mempertimbangkan atau memutuskan untuk tidak melakukannya. Dari mereka yang berencana untuk mengadopsinya di masa depan, 72% berniat untuk memulai implementasi dalam tahun depan.

Grafik yang menunjukkan tahapan adopsi keamanan tanpa kepercayaan.

Namun terlepas dari adopsi massal yang tak terhindarkan dari kepercayaan nol, survei kami menemukan bahwa hampir setengah dari profesional TI yang kami survei (47%) mengatakan bahwa kepemimpinan perusahaan mereka tidak memahami keamanan tanpa kepercayaan. Lebih buruk lagi, 40% responden kami mengatakan bahwa mereka menghadapi tantangan dalam memperoleh anggaran untuk teknologi baru yang diperlukan untuk menerapkan keamanan tanpa kepercayaan.

Dan sementara masalah ini mungkin memperumit perjalanan tanpa kepercayaan organisasi Anda, Anda tidak dapat mempertahankan keamanan yang memadai menggunakan strategi keamanan kepercayaan implisit di lingkungan ancaman yang meningkat pesat saat ini.

Apa yang salah dengan pendekatan keamanan yang sudah kita gunakan (yaitu, kepercayaan implisit)?

Model keamanan kepercayaan implisit dirancang untuk masa lalu dan tidak lagi cocok untuk ancaman keamanan siber modern. Di masa lalu, ketika sebagian besar pekerjaan dilakukan dalam jaringan tertutup dengan sedikit koneksi ke ancaman luar, nama pengguna dan kata sandi tampaknya cukup, dan mudah untuk mengasumsikan bahwa siapa pun yang beroperasi dalam batas keamanan Anda dapat dipercaya.

Maju cepat ke hari ini, dan perusahaan terhubung ke berbagai platform Software-as-a-Service (SaaS), bergantung pada solusi penyimpanan data berbasis cloud, dan semakin banyak menampung pekerja jarak jauh di seluruh dunia. Dengan kata lain, batas keamanan telah diperluas dan permukaan serangan telah berkembang.

Selain itu, ancaman keamanan siber sendiri telah bergeser dari infeksi malware yang umumnya pasif menjadi serangan yang semakin bertarget dan destruktif yang ditujukan kepada perusahaan atau individu tertentu, yang sering kali diluncurkan oleh organisasi kriminal yang sangat terorganisir. Untuk alasan ini, perusahaan memerlukan strategi keamanan yang terus-menerus memverifikasi identitas dan meminimalkan potensi dampak serangan.

Jadi, apakah kepercayaan nol lebih baik daripada kepercayaan implisit? Hampir 99% dari mereka yang telah memulai atau menyelesaikan adopsi zero trust mengatakan telah meningkatkan keamanan siber perusahaan mereka—78% mengatakan telah meningkatkan keamanan siber secara signifikan.

Grafik menunjukkan bahwa 99% perusahaan yang telah mengadopsi zero trust mengatakan telah meningkatkan keamanan siber.

Apa nilai bisnis dari kepercayaan nol?

Zero trust dirancang untuk meningkatkan ketahanan infrastruktur TI Anda dan mengurangi gangguan bisnis. Ini penting karena Survei Dampak Ransomware kami baru-baru ini [**] menemukan bahwa satu-satunya dampak terbesar dari serangan adalah pada produktivitas dengan lebih dari satu dari empat serangan yang berlangsung lebih dari 24 jam (termasuk 8% yang berlangsung seminggu atau lebih lama). Maka, tidak mengherankan bahwa dalam serangan ransomware di mana korban tidak membayar uang tebusan, satu dari tiga korban (34%) masih mengalami kerugian lebih dari $50.000.

Zero trust mengurangi ancaman serangan cyber seperti ransomware dengan tidak hanya mencegahnya sejak awal, tetapi juga dengan membatasi kemampuannya untuk bergerak di seluruh jaringan Anda jika Anda diserang. Hal ini dicapai dengan menggunakan strategi seperti klasifikasi data, hak akses terbatas, dan segmentasi jaringan sehingga akses ke sebagian jaringan Anda tidak berarti akses ke semuanya.

Penelitian kami menemukan alasan utama penerapan zero trust adalah untuk memperkuat keamanan data (72%), diikuti oleh kebutuhan untuk meningkatkan manajemen identitas dan akses (63%). Sebagian besar serangan siber melibatkan kredensial yang disusupi atau kata sandi yang diretas sementara daftar peraturan privasi data yang terus bertambah telah mendorong bisnis untuk memperkuat praktik keamanan data, yang semuanya ditangani dengan nol kepercayaan.

Terlebih lagi, lingkungan kerja hybrid modern harus cukup fleksibel untuk mendukung pekerja jarak jauh sekaligus mencegah akses yang tidak sah. Akses jaringan tanpa kepercayaan (ZTNA) mendukung keamanan kerja jarak jauh dengan mengganti teknologi jaringan yang rentan seperti VPN.

Apa saja tantangan penerapan zero trust?

Menurut survei Zero Trust kami, membatasi akses data tanpa memengaruhi alur kerja adalah tantangan utama yang dihadapi oleh perusahaan yang telah menerapkan zero trust (49%) , diikuti dengan pengembangan kebijakan keamanan baru (47%), dan memilih vendor zero trust (46 %). Mari kita lihat masing-masing.

Grafik yang menunjukkan tantangan penerapan zero trust.

Membatasi akses data tanpa memengaruhi alur kerja

Saat menerapkan zero trust, perusahaan harus memastikan bahwa karyawan, kontraktor, dan mitra bisnis dapat mengakses data yang mereka butuhkan sambil membatasi akses ke data yang tidak mereka butuhkan.

Penting untuk diketahui bahwa menghapus akses ke sistem atau data yang tersedia sebelumnya dapat menyebabkan frustrasi jika ditangani secara sembarangan. Itulah mengapa kepercayaan nol harus menjadi bagian dari budaya perusahaan Anda jika ingin sukses. Karyawan harus memahami bahwa nol kepercayaan tidak berarti mereka tidak dipercaya dan itu hanya dimaksudkan untuk memungkinkan bisnis berhasil dalam lingkungan ancaman modern.

Cara mengatasinya: Sangat penting untuk mengidentifikasi sistem, perangkat, dan pengguna yang mengakses jaringan Anda. Dari sana, Anda dapat mengembangkan strategi untuk memetakan bagaimana data mengalir di seluruh jaringan Anda dan bergerak untuk membatasi akses bagi mereka yang membutuhkannya sambil menolak akses ke semua orang dan yang lainnya.

Mengembangkan kebijakan keamanan baru

Zero trust biasanya memerlukan pengembangan identitas yang lebih luas dan kebijakan manajemen akses bersama dengan segmentasi jaringan granular yang beradaptasi dengan beban kerja tertentu. Kontrol keamanan yang ada kemungkinan akan diganti sedikit demi sedikit, baik karena biaya maupun masa transisi yang diperlukan. Sementara itu, staf TI sering bertanggung jawab untuk menjaga standar yang tumpang tindih.

Cara mengatasinya: Jika Anda tidak yakin harus mulai dari mana, mulailah memecahkan masalah tertentu, seperti meningkatkan manajemen identitas, dengan beralih ke kontrol baru yang terus memverifikasi pengguna berdasarkan peran dan perilaku. Kemudian, pindah ke proyek mikrosegmentasi yang secara aman menghubungkan identitas ke beban kerja yang sesuai (misalnya, aplikasi, wadah, mesin virtual).

Memilih vendor tanpa kepercayaan

Zero trust adalah kata kunci dan telah ditambahkan sebagai fitur ke produk vendor perangkat lunak yang tak terhitung jumlahnya. Di sini, di Capterra, katalog kami menampilkan lebih dari 1000 produk yang mengklaim fitur tanpa kepercayaan. Dan sementara itu, zero trust jelas telah menjadi alat pemasaran sekaligus alat keamanan, yang semakin membingungkan maknanya dan memperumit proses seleksi.

Cara mengatasinya: Memilih perangkat lunak bukanlah tugas yang mudah, terutama jika melibatkan perubahan strategi yang mendasar. Gunakan strategi kami untuk memilih perangkat lunak yang tepat untuk perusahaan Anda dengan 5 Taktik kami untuk Meningkatkan Peluang Anda untuk Kecocokan Perangkat Lunak yang Hebat.

Tanpa kepercayaan adalah sebuah perjalanan, bukan tujuan

Serangan Ransomware, pekerja jarak jauh, dan semuanya berbasis cloud hanyalah beberapa alasan mengapa perusahaan harus mulai merencanakan transisi akhirnya ke keamanan tanpa kepercayaan. Dengan demikian, tidak mungkin sebagian besar perusahaan dapat sepenuhnya beralih ke arsitektur tanpa kepercayaan dalam waktu dekat—dan itu tidak masalah. Setiap dan semua tonggak pencapaian perusahaan Anda dalam perjalanannya menuju nol kepercayaan membuatnya lebih aman.

Ingin mempelajari lebih lanjut tentang futureproofing keamanan perusahaan Anda? Baca laporan kami Kata Sandi Adalah W0r$T!—Saatnya Mengadopsi Otentikasi Tanpa Kata Sandi

Metodologi Survei

* Survei Nol Kepercayaan Capterra 2022 dilakukan pada Juni 2022 di antara 235 responden AS untuk mempelajari lebih lanjut tentang tren adopsi tanpa kepercayaan. Semua responden diidentifikasi sebagai profesional TI, eksekutif, atau pemilik di perusahaan mereka.

** Survei Dampak Ransomware 2022 Capterra dilakukan pada Mei 2022 di antara 300 pemimpin bisnis AS yang telah mengalami serangan ransomware. Semua responden adalah bagian dari tim tanggapan atau dibuat sepenuhnya menyadari tanggapan perusahaan.

Sumber

  1. Model Kematangan Tanpa Kepercayaan, CISA
  2. Arsitektur Tanpa Kepercayaan, NIST
  3. Perintah Eksekutif untuk Meningkatkan Keamanan Siber Bangsa, Gedung Putih