Identitas telah lama menjadi dinding penahan beban keamanan siber. Logikanya sederhana: verifikasi karyawan, amankan aksesnya. Namun ketika pelaku ancaman profesional mempersenjatai AI dan perangkat phishing yang canggih, tembok tersebut mulai retak. Identitas dipaksa memikul beban struktural yang tidak pernah dirancang untuk menopangnya.
Meskipun identitas tidak ketinggalan zaman, dalam ekosistem yang ditentukan oleh SaaS sprawl, BYOD, dan sistem kerja hybrid, kredensial yang valid tidak lagi menjadi jaminan koneksi yang aman. Bahaya sebenarnya bukanlah kegagalan autentikasi, namun apakah sinyal yang tepat telah diverifikasi. Tanpa pemeriksaan perangkat secara real-time, login yang sah dapat dengan mudah menjadi sesi yang disusupi.
Titik buta pasca-otentikasi
Otentikasi multi-faktor (MFA) seharusnya menutup kesenjangan ini. Namun, perangkat phishing kini membiarkan penyerang duduk di antara pengguna dan portal login sebenarnya, melakukan proksi autentikasi secara real-time dan mencuri token sesi yang dikeluarkan setelah MFA berhasil. Korban menyelesaikan setiap pemeriksaan keamanan persis seperti yang dimaksudkan. Penyerang pergi dengan membawa cookie yang membuktikannya.
Publikasi Khusus NIST 800-207kerangka dasar arsitektur Zero Trust, mengantisipasi masalah ini. Hal ini memperingatkan agar tidak mengandalkan kepercayaan yang tersirat setelah subjek memenuhi tingkat otentikasi dasar, dan menetapkan bahwa keputusan akses harus mempertimbangkan apakah perangkat yang digunakan untuk permintaan tersebut memiliki postur keamanan yang tepat.
Dalam praktiknya, sebagian besar organisasi masih memperlakukan autentikasi sebagai pemeriksaan satu kali. Identitas diverifikasi, MFA disahkan, sesi dimulai, dan kepercayaan dipertahankan hingga token kedaluwarsa. Namun token sesi di browser penyerang terlihat identik dengan token yang sama di browser pengguna. Log autentikasi tradisional tidak dapat membedakannya.
Dimana Zero Trust rusak
Sebagian besar penerapan Zero Trust berakhir dengan sangat berpusat pada identitas. Mereka fokus pada penguatan autentikasi, penerapan MFA, mengurangi ketergantungan kata sandi, dan memperkenalkan kebijakan masuk berbasis risiko. Verifikasi perangkatsementara itu, diterapkan secara tidak konsisten. Seringkali berhenti pada titik login, atau hanya berlaku untuk alur kerja berbasis browser dalam kerangka akses bersyarat modern. Protokol lama, alat akses jarak jauh, dan integrasi API cenderung mewarisi kepercayaan secara implisit setelah identitas terbentuk.
Hasilnya adalah model yang terfragmentasi. Perangkat pribadi dan pihak ketiga mungkin dikontrol secara longgar atau tidak dikelola sama sekali. Kepercayaan sesi tetap ada meskipun postur perangkat menurun di tengah sesi. Sinyal identitas dan sinyal titik akhir berada pada alat terpisah dengan integrasi terbatas. Identitas diperiksa secara ketat saat login, dan kemudian akses jarang dinilai ulang dengan cara yang berarti.
Perangkat adalah separuh dari jawabannya
Kata sandi curian yang digunakan dari laptop yang dikendalikan penyerang tidak boleh diperlakukan sama dengan kata sandi yang sama yang digunakan dari titik akhir perusahaan yang terdaftar, terenkripsi, dan patuh. Namun hal itulah yang terjadi jika hanya identitas yang mengatur akses.
Postur perangkat menjawab pertanyaan identitas tidak bisa. Apakah perangkat dienkripsi? Apakah perlindungan titik akhir aktif dan sehat? Apakah sistem operasinya sudah di-patch? Apakah konfigurasinya menyimpang dari kebijakan? Apakah ini perangkat keras yang disetujui?
Lebih penting lagi, jawaban tersebut harus tetap terkini setelah login awal dan sepanjang sesi. Pembaruan dapat tertunda, perlindungan titik akhir dapat dinonaktifkan, perangkat lunak yang tidak disetujui dapat diinstal. Kondisi saat login bukanlah kondisi pada jam ketiga sesi. Verifikasi perangkat yang berkelanjutan mengurangi nilai kredensial yang dicuri dan token yang disadap, karena akses menjadi terikat tidak hanya pada identitas, namun juga pada titik akhir yang tepercaya dan sehat.
Empat prinsip untuk model yang lebih kuat
Pendekatan yang lebih dapat dipertahankan menggabungkan identitas dengan verifikasi perangkat yang berkelanjutan. Dalam praktiknya, tampilannya seperti ini:
- Verifikasikan pengguna dan perangkat secara terus-menerus: Akses harus tetap bergantung pada kesehatan perangkat, bukan hanya bukti identitas. Jika perlindungan titik akhir dinonaktifkan atau enkripsi dinonaktifkan di tengah sesi, kepercayaan akan disesuaikan secara real-time. Hal ini mengurangi efektivitas kredensial yang dicuri, pemutaran ulang token, kelelahan MFA, dan titik akhir yang dioperasikan penyerang dalam satu gerakan.
- Ikat akses ke perangkat keras yang disetujui: Kontrol berbasis perangkat memungkinkan organisasi mendaftarkan perangkat keras tepercaya dan membedakan antara titik akhir perusahaan, pribadi, dan pihak ketiga. Kredensial valid yang digunakan dari perangkat yang tidak dikenal tidak boleh dilanjutkan begitu saja karena MFA berhasil.
- Terapkan penegakan hukum yang proporsional: Kontrol yang kaku menciptakan solusi. Strategi postur yang matang dapat menerapkan pembatasan bersyarat, pengurangan hak istimewa, atau masa tenggang yang terikat waktu alih-alih melakukan default pada pemblokiran keras. Keseimbangan itu penting bagi tim hybrid dan jarak jauh.
- Aktifkan remediasi layanan mandiri: Jika kepercayaan dikaitkan dengan kesehatan perangkat, pengguna memerlukan cara untuk memulihkan kepercayaan tersebut. Perbaikan terpandu untuk enkripsi, pembaruan OS, atau perlindungan titik akhir memungkinkan karyawan menyelesaikan masalah postur tanpa perlu mengajukan tiket atau kehilangan akses.
Solusi seperti Kepercayaan Perangkat Specops mengoperasionalkan model ini dengan memperluas keputusan kepercayaan melampaui identitas dan mempertahankan penegakan hukum seiring perubahan kondisi. Ini mengautentikasi pengguna dan memverifikasi perangkat mereka secara terus menerus di Windows, macOS, Linux, dan platform seluler, tidak hanya pada saat login.
Identitas masih penting. Ia tidak dapat lagi menanggung seluruh beban keputusan akses sendirian.
Jika Anda ingin mengembangkan strategi keamanan identitas Anda untuk memasukkan kepercayaan perangkat, hubungi Specops hari ini atau pesan demo untuk melihat bagaimana solusi kami dapat bekerja di lingkungan Anda.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
