
Raghu Nandakumara dari Illumio berpendapat bahwa entitas non-pengguna mewakili 'garis depan risiko berikutnya' dalam keamanan siber.
Identitas adalah inti dari setiap percakapan keamanan saat ini, namun identitas belum tentu dibicarakan dengan benar. Seringkali, identitas dikaitkan secara eksklusif dengan pengguna dan hak akses mereka. Meskipun ini adalah aspek keamanan yang penting, fokus hanya pada pengguna tidak mencerminkan keseluruhan cakupan ancaman identitas.
Identitas tidak hanya mencakup pengguna – identitas juga berlaku pada perangkat, aplikasi, dan koneksi jaringan. Mengenali dan mengelola identitas-identitas ini sangat penting untuk mengamankan ekosistem digital yang lebih luas.
Saatnya untuk memikirkan kembali identitas, beralih dari pandangan yang berpusat pada pengguna ke pandangan yang mencakup seluruh kompleksitas lingkungan saat ini.
Resiko dari pandangan yang sempit
Banyak organisasi saat ini memandang identitas terutama, atau bahkan secara eksklusif, melalui kacamata pengguna – siapa yang login dan siapa yang mengakses aplikasi mana.
Mengapa organisasi cenderung menganut pandangan sempit ini? Jawabannya sederhana: membuat identitas identik dengan pengguna menjadi lebih mudah. Masuk ke desktop atau portal memberikan titik yang jelas dan mudah dikelola untuk menerapkan keamanan, dan organisasi biasanya lebih yakin dengan kualitas data penggunanya dibandingkan dengan metadata lain dari jaringan mereka.
Namun, perspektif yang terbatas ini membuat organisasi mempunyai titik buta yang signifikan. Segala sesuatu yang berinteraksi dalam lingkungan, seperti akun layanan dan sistem, juga membawa identitas yang dapat ditumbangkan dan dieksploitasi semudah akun pengguna manusia.
Ketika identitas non-pengguna ini diabaikan, penyerang akan dengan mudah menemukan titik masuk potensial di luar kredensial pengguna. Misalnya, akun layanan sering kali memiliki akses istimewa tingkat tinggi dalam perannya sebagai fasilitator antar aplikasi. Akun-akun ini dapat direbut melalui taktik seperti serangan Kerberoasting dan Golden Ticket dan digunakan sebagai pijakan untuk pergerakan lateral lebih lanjut.
Organisasi perlu memikirkan kembali arti identitas sebenarnya untuk mengamankan lingkungan mereka secara efektif. Identitas berlaku untuk setiap komponen yang berinteraksi dalam jaringan – bukan hanya orang-orangnya.
Memperluas definisi identitas
Setiap perangkat, aplikasi, dan komponen jaringan memiliki sidik jari digital yang unik. Sama seperti identitas pengguna yang melibatkan banyak atribut, seperti kredensial dan izin akses, demikian pula identitas perangkat atau aplikasi. Misalnya, server bukan hanya perangkat keras; itu juga sistem operasi yang dijalankannya, aplikasi yang dihostingnya, dan interaksinya dengan perangkat lain di jaringan.
Semua elemen ini bersatu untuk membentuk identitas yang harus dikelola pada tingkat yang sama seperti pengguna yang login. Penyerang mengetahui bahwa ini adalah celah umum dalam sebagian besar strategi keamanan dan sering kali menargetkan titik lemah ini, memanfaatkan perangkat atau aplikasi yang tidak diawasi untuk mendapatkan akses.
Dengan memperluas definisi identitas untuk mencakup setiap titik akhir, organisasi dapat mulai menerapkan strategi keamanan yang melindungi setiap lapisan jaringan.
Menghubungkan identitas ke strategi keamanan yang lebih luas
Untuk benar-benar melindungi suatu organisasi, identitas harus tertanam dalam keamanan yang lebih luas, bukan diperlakukan sebagai proses yang berdiri sendiri. Sambil mengamankan identitas pengguna akun untuk 'siapa yang dapat melakukan sesuatu?' dan 'apa yang dapat mereka lakukan?', hal ini harus dibarengi dengan keamanan jaringan untuk mengontrol 'ke mana mereka dapat pergi?' dan 'bagaimana mereka bisa sampai ke sana?'
Organisasi harus mampu menjawab semua pertanyaan tersebut dengan kesiapan yang sama untuk membatasi efektivitas penyerang. Terlalu fokus pada satu area akan menyebabkan strategi tidak seimbang sehingga menimbulkan celah bagi penyerang.
Zero trust adalah sarana yang efektif untuk mewujudkan keseimbangan ini. Meskipun prinsip-prinsipnya sering dibahas dalam kaitannya dengan akses pengguna saja, kebijakan keamanan zero-trust berlaku sama untuk semua identitas sistem.
Setiap entitas di lingkungan, baik pengguna, perangkat, atau aplikasi, harus terus diverifikasi. Hal ini penting karena aplikasi yang rentan atau perangkat yang belum dipatch bisa sama berbahayanya dengan akun pengguna yang tidak sah atau disusupi.
Identitas harus dipasangkan dengan informasi kontekstual lainnya, termasuk kesehatan perangkat dan aset yang sedang diakses. Hal ini membentuk pendekatan berkelanjutan berbasis risiko yang tidak hanya mencakup identitas pengguna saja.
Memanfaatkan segmentasi jaringan
Segmentasi jaringan adalah salah satu pendekatan yang semakin banyak dipadukan dengan teknologi keamanan identitas tradisional. Ini adalah pilar penting dari strategi zero-trust yang sukses, dan penerapan prinsip 'jangan pernah percaya, selalu verifikasi' untuk mengatur segmentasi memungkinkan penerapan segmentasi zero-trust (ZTS).
Teknologi ini bertindak seperti serangkaian gerbang dalam infrastruktur organisasi. Bahkan jika penyerang menerobos satu area, mereka tidak dapat bergerak bebas ke area berikutnya. Metode ini menjadi sangat efektif ketika pemahaman yang kuat tentang identitas setiap entitas di jaringan digunakan untuk membangun jalur komunikasi yang terkendali.
Kemampuan menerapkan segmentasi berdasarkan identitas inilah yang membuat zero trust begitu kuat. Mikrosegmentasi, yang menerapkan tingkat kontrol paling terperinci untuk melakukan segmentasi hingga ke tingkat beban kerja, sangat meningkatkan ketahanan siber.
Dengan menerapkan kontrol granular di setiap lapisan, organisasi dapat memastikan bahwa hanya entitas terverifikasi yang dapat terhubung ke sumber daya penting. Hal ini mempersulit penyerang untuk mengeksploitasi kelemahan apa pun dan memperlambat serangan yang berhasil.
Melihat ke depan
Meskipun identitas pengguna harus tetap menjadi bagian utama dari strategi keamanan apa pun, perangkat, aplikasi, dan koneksi jaringan mewakili risiko berikutnya. Entitas non-pengguna ini harus dimasukkan ke dalam strategi keamanan untuk mencegah kerentanan terabaikan yang suka dieksploitasi oleh penyerang.
Dengan menganut pandangan luas mengenai identitas, organisasi dapat bergerak melampaui langkah-langkah keamanan reaktif dan membangun strategi pertahanan yang lebih proaktif dan tangguh. Mengintegrasikan identitas ke dalam setiap lapisan jaringan, didukung oleh prinsip zero-trust dan segmentasi, memberdayakan tim keamanan untuk mempertahankan kendali, bahkan dalam lanskap ancaman yang dinamis.
Oleh Raghu Nandakumara
Raghu Nandakumara adalah kepala solusi industri di Illumio. Dia bertanggung jawab untuk membantu pelanggan di berbagai industri membangun ketahanan dan mempercepat hasil zero-trust dengan segmentasi zero-trust. Sebelumnya, beliau menghabiskan 15 tahun di Citibank dan memegang beberapa peran teknis dan operasi keamanan jaringan. Baru-baru ini, beliau menjabat sebagai VP senior yang bertanggung jawab untuk menentukan strategi, rekayasa, dan penyampaian solusi untuk mengamankan lingkungan cloud privat, publik, dan hybrid Citi.
Jangan lewatkan pengetahuan yang Anda butuhkan untuk sukses. Mendaftarlah untuk Ringkasan Harianintisari berita teknologi ilmiah yang perlu diketahui dari Silicon Republic.