Selama bertahun-tahun, identitas telah diperlakukan sebagai landasan keamanan tenaga kerja. Jika suatu organisasi dapat memastikan siapa penggunanya dengan andal, maka akan diasumsikan bahwa akses dapat diberikan dengan penuh keyakinan.
Logika tersebut bekerja ketika karyawan mengakses jaringan perusahaan dari perangkat perusahaan dalam kondisi yang dapat diprediksi. Saat ini, hal tersebut tidak lagi mencerminkan bagaimana akses sebenarnya digunakan atau disalahgunakan.
Itu tenaga kerja modern beroperasi di berbagai lokasi, jaringan, dan zona waktu. Karyawan secara rutin beralih antara laptop perusahaan, perangkat pribadi, dan titik akhir pihak ketiga.
Akses tidak lagi terikat pada satu lingkungan atau perangkatnamun tim keamanan diharapkan mendukung fleksibilitas ini tanpa meningkatkan paparan atau mengganggu produktivitas, bahkan ketika sinyal yang digunakan untuk membuat keputusan akses menjadi lebih berisik, lebih terfragmentasi, dan lebih sulit dipercaya.
Akibatnya, identitas diminta untuk memikul tanggung jawab yang tidak pernah dirancang untuk dipikul sendiri. Otentikasi dapat mengkonfirmasi siapa yang diklaim oleh pengguna, tetapi itu tidak memberikan wawasan yang cukup tentang seberapa berisiko akses tersebut setelah kondisi dan konteks perangkat diperhitungkan. Dalam lingkungan modern, permasalahan utamanya bukanlah kegagalan identitas, namun ketergantungan yang berlebihan pada identitas sebagai representasi dari kepercayaan.
Identitas memberi tahu kita siapa, bukan seberapa berisiko akses tersebut
Pengguna sah yang mengakses sistem dari perangkat yang aman dan patuh menunjukkan risiko yang berbeda secara mendasar dibandingkan pengguna yang sama yang terhubung dari titik akhir yang sudah ketinggalan zaman, tidak dikelola, atau disusupi. Namun banyak model akses terus memperlakukan skenario ini sebagai hal yang setara, memberikan akses terutama pada identitas sementara kondisi perangkat tetap sekunder atau statis.
Pendekatan ini gagal memperhitungkan seberapa cepat perubahan risiko perangkat setelah autentikasi. Titik akhir secara teratur mengubah status seiring perubahan konfigurasi, kontrol keamanan dinonaktifkan, atau pembaruan tertunda, sering kali jauh setelah akses diberikan.
Ketika keputusan akses tetap terikat pada kondisi yang ada saat login, kepercayaan akan tetap ada bahkan ketika profil risiko yang mendasarinya menurun.
Kesenjangan ini paling terlihat pada jalur akses yang berada di luar cakupan akses bersyarat modern, termasuk protokol lama, alat akses jarak jauhdan alur kerja berbasis non-browser. Dalam kasus ini, keputusan mengenai akses seringkali dibuat dalam konteks yang terbatas, dan kepercayaan melampaui batas dimana hal tersebut dapat dibenarkan.
Penyerang semakin mengeksploitasi titik-titik buta ini dengan menggunakan kembali kepercayaan yang salah tempat daripada merusak otentikasi, mencuri token sesi, menyalahgunakan titik akhir yang disusupi, atau menyiasatinya. otentikasi multi-faktor.
Lagi pula, lebih mudah untuk masuk daripada membobol. Identitas valid yang diberikan dari perangkat yang salah tetap menjadi salah satu cara paling andal untuk melewati kendali modern dan tidak terdeteksi radar.
Mengapa Zero Trust sering kali gagal
Nol Kepercayaan diterima secara luas sebagai prinsip keamanan, namun kurang diterapkan secara konsisten di seluruh akses tenaga kerja. Ketika kontrol identitas telah matang, kemajuan sering kali terhenti pada lapisan perangkat, khususnya di seluruh jalur akses di luar kerangka akses bersyarat berbasis browser atau modern yang mewarisi kepercayaan secara default.
Membangun kepercayaan perangkat menimbulkan kompleksitas yang tidak dapat diatasi dengan identitas saja. Perangkat yang tidak dikelola dan bersifat pribadi sulit dinilai secara konsisten, pemeriksaan kepatuhan sering kali bersifat statis dan tidak berkelanjutan, dan penerapannya bervariasi bergantung pada cara akses dimulai.
Tantangan-tantangan ini bertambah ketika sinyal identitas dan titik akhir ditangani oleh alat terpisah yang tidak pernah dirancang untuk bekerja sama. Hasilnya adalah visibilitas yang terfragmentasi dan keputusan yang tidak konsisten.
Seiring berjalannya waktu, kebijakan akses dapat menjadi kaku dan statis, sehingga menciptakan lebih banyak peluang untuk penyalahgunaan identitas. Ketika akses diberikan tanpa pemeriksaan berkelanjutan, kontrol tradisional akan lambat untuk dideteksi dan ditanggapi perilaku jahat.
Dari pemeriksaan identitas hingga verifikasi akses berkelanjutan
Mengatasi kontrol akses yang statis dan berpusat pada identitas memerlukan mekanisme yang tetap efektif setelah autentikasi dan beradaptasi seiring perubahan kondisi.
Solusi seperti Infinipoint mengoperasionalkan model ini dengan memperluas keputusan kepercayaan di luar identitas dan mempertahankan penegakan hukum seiring dengan perkembangan kondisi.
Langkah-langkah berikut berfokus pada penutupan titik kegagalan akses yang paling umum tanpa mengganggu cara kerja orang.
- Verifikasi pengguna dan perangkat secara terus-menerus: Pendekatan ini mengurangi efektivitas kredensial yang dicuri, token sesi, dan otentikasi multi-faktor teknik bypass dengan memastikan akses terikat pada titik akhir yang tepercaya, bukan diberikan berdasarkan identitas saja.
- Terapkan kontrol akses berbasis perangkat: Kontrol akses berbasis perangkat memungkinkan untuk mendaftarkan perangkat keras yang disetujui, membatasi jumlah dan jenis perangkat per pengguna, dan membedakan antara titik akhir perusahaan, pribadi, dan pihak ketiga. Hal ini mencegah penyerang menggunakan kembali kredensial yang valid dari perangkat yang tidak tepercaya.
- Terapkan keamanan tanpa mengabaikan gangguan: Penegakan hukum yang proporsional memungkinkan organisasi untuk merespons risiko tanpa mengganggu pekerjaan yang sah secara tidak perlu. Hal ini mencakup pembatasan bersyarat dan masa tenggang yang memberikan waktu kepada pengguna untuk menyelesaikan masalah sambil mempertahankan kontrol keamanan.
- Aktifkan remediasi layanan mandiri untuk memulihkan kepercayaan: Remediasi mandiri dengan sekali klik untuk tindakan seperti mengaktifkan enkripsi atau memperbarui sistem operasi memungkinkan pemulihan kepercayaan secara efisien, mengurangi tiket dukungan dan permintaan pada tim TI sekaligus menjaga standar keamanan tetap utuh.
Specops, divisi Manajemen Identitas dan Akses dari Outpost24, memberikan kontrol ini melalui titik tak terhinggamemungkinkan akses tenaga kerja zero trust yang memverifikasi pengguna dan perangkat di setiap titik akses dan terus menerus sepanjang setiap sesi di Windows, macOS, Linux, dan platform seluler.
Bicaralah dengan pakar Specops tentang menegakkan akses Zero Trust berbasis perangkat di luar identitas.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
