Apa itu Kepercayaan Nol?  |  Blog NVIDIA
totosgp

Apa itu Kepercayaan Nol? | Blog NVIDIA

Untuk semua kecanggihannya, era Internet telah membawa wabah digital pelanggaran keamanan. Dentuman keras pencurian data dan identitas melahirkan gerakan baru dan mantra modern yang bahkan telah menjadi subjek mandat presiden AS — tanpa kepercayaan.

Jadi, Apa Itu Zero Trust?

Zero trust adalah strategi keamanan siber untuk memverifikasi setiap pengguna, perangkat, aplikasi, dan transaksi dengan keyakinan bahwa tidak ada pengguna atau proses yang harus dipercaya.

Definisi itu berasal dari laporan NSTAC, sebuah dokumen setebal 56 halaman tentang nol kepercayaan yang disusun pada tahun 2021 oleh Komite Penasihat Telekomunikasi Keamanan Nasional AS, sebuah kelompok yang mencakup lusinan pakar keamanan yang dipimpin oleh mantan CEO AT&T.

Dalam sebuah wawancara, John Kindervag, mantan analis Forrester Research yang menciptakan istilah tersebut, mencatat bahwa ia mendefinisikannya dengan cara ini dalam Zero Trust Dictionary: Zero trust adalah inisiatif strategis yang membantu mencegah pelanggaran data dengan menghilangkan kepercayaan digital dengan cara yang dapat dikerahkan menggunakan teknologi siap pakai yang akan meningkat seiring waktu.

Apa Prinsip Dasar dari Zero Trust?

Dalam laporannya tahun 2010 yang menciptakan istilah tersebut, Kindervag memaparkan tiga prinsip dasar tanpa kepercayaan. Karena semua lalu lintas jaringan tidak boleh dipercaya, katanya pengguna harus:

  • memverifikasi dan mengamankan semua sumber daya,
  • membatasi dan menegakkan kontrol akses secara ketat, dan
  • memeriksa dan mencatat semua lalu lintas jaringan.

Itu sebabnya zero trust terkadang dikenal dengan motto, “Never Trust, Always Verify.”

Bagaimana Anda Menerapkan Zero Trust?

Seperti yang disarankan oleh definisi, kepercayaan nol bukanlah teknik atau produk tunggal, tetapi seperangkat prinsip untuk kebijakan keamanan modern.

Dalam laporan mani 2020, Institut Nasional untuk Standar dan Teknologi (NIST) AS merinci pedoman untuk menerapkan kepercayaan nol.

Apa itu Kepercayaan Nol?  |  Blog NVIDIA

Pendekatan umumnya dijelaskan dalam bagan di atas. Ini menggunakan sistem informasi keamanan dan manajemen peristiwa (SIEM) untuk mengumpulkan data dan diagnostik dan mitigasi berkelanjutan (CDM) untuk menganalisisnya dan menanggapi wawasan dan peristiwa yang diungkapkannya.

Ini adalah contoh rencana keamanan yang juga disebut arsitektur tanpa kepercayaan (ZTA) yang menciptakan jaringan yang lebih aman yang disebut lingkungan tanpa kepercayaan.

Tapi satu ukuran tidak cocok untuk semua tanpa kepercayaan. Tidak ada “rencana penerapan tunggal untuk ZTA [because each] perusahaan akan memiliki kasus penggunaan dan aset data yang unik,” kata laporan NIST.

Lima Langkah menuju Nol Kepercayaan

Tugas menyebarkan kepercayaan nol dapat diringkas menjadi lima langkah utama.

Ini dimulai dengan mendefinisikan apa yang disebut permukaan pelindung, yang ingin diamankan oleh pengguna. Permukaan pelindung dapat menjangkau sistem di dalam kantor perusahaan, cloud, dan edge.

Dari sana, pengguna membuat peta transaksi yang biasanya mengalir di seluruh jaringan mereka dan arsitektur tanpa kepercayaan untuk melindungi mereka. Kemudian mereka menetapkan kebijakan keamanan untuk jaringan.

Terakhir, mereka memantau lalu lintas jaringan untuk memastikan transaksi tetap sesuai dengan kebijakan.

Proses lima langkah untuk kepercayaan nol

Baik laporan NSTAC (di atas) dan Kindervag menyarankan langkah-langkah yang sama untuk menciptakan lingkungan tanpa kepercayaan.

Penting untuk dicatat bahwa nol kepercayaan adalah perjalanan bukan tujuan. Konsultan dan lembaga pemerintah merekomendasikan pengguna untuk mengadopsi model jatuh tempo tanpa kepercayaan untuk mendokumentasikan peningkatan keamanan organisasi dari waktu ke waktu.

Badan Keamanan Infrastruktur Keamanan Siber, bagian dari Departemen Keamanan Dalam Negeri AS, menggambarkan salah satu model tersebut (lihat bagan di bawah) dalam dokumen tahun 2021.

Model jatuh tempo Zero Trust dari CISA

Dalam praktiknya, pengguna di lingkungan tanpa kepercayaan meminta akses ke setiap sumber daya yang dilindungi secara terpisah. Mereka biasanya menggunakan otentikasi multi-faktor (MFA) seperti memberikan kata sandi di komputer, lalu kode yang dikirim ke ponsel cerdas.

Laporan NIST mencantumkan bahan untuk algoritme (di bawah) yang menentukan apakah pengguna mendapatkan akses ke sumber daya atau tidak.

Algoritma NIST untuk akses tanpa kepercayaan

“Idealnya, algoritma kepercayaan harus kontekstual, tetapi ini mungkin tidak selalu memungkinkan,” mengingat sumber daya perusahaan, katanya.

Beberapa berpendapat pencarian algoritma untuk mengukur kepercayaan bertentangan dengan filosofi nol kepercayaan. Yang lain mencatat bahwa pembelajaran mesin memiliki banyak hal untuk ditawarkan di sini, menangkap konteks di banyak peristiwa di jaringan untuk membantu membuat keputusan yang tepat tentang akses.

Big Bang of Zero Trust

Pada Mei 2021, Presiden Joe Biden merilis perintah eksekutif yang mengamanatkan nol kepercayaan untuk sistem komputasi pemerintah.

Perintah tersebut memberi agen federal 60 hari untuk mengadopsi arsitektur tanpa kepercayaan berdasarkan rekomendasi NIST. Ini juga menyerukan pedoman tentang menangani pelanggaran keamanan, dewan keselamatan untuk meninjau insiden besar – bahkan sebuah program untuk menetapkan label peringatan keamanan siber untuk beberapa produk konsumen.

Itu adalah momen besar tanpa kepercayaan yang masih bergema di seluruh dunia.

“Kemungkinan efek ini pada memajukan percakapan tanpa kepercayaan di dalam ruang rapat dan di antara tim keamanan informasi tidak dapat dilebih-lebihkan,” kata laporan NSAC.

Bagaimana Sejarah Zero Trust?

Sekitar tahun 2003, ide-ide yang mengarah ke nol kepercayaan mulai menggelegak di dalam Departemen Pertahanan AS, yang mengarah ke laporan tahun 2007. Pada waktu yang hampir bersamaan, sekelompok informal pakar keamanan industri yang disebut Forum Jericho menciptakan istilah “de-perimeterisasi.”

Kindervag mengkristalkan konsep tersebut dan memberinya nama dalam laporannya yang mengejutkan pada September 2010.

Fokus industri untuk membangun parit di sekitar organisasi dengan firewall dan sistem deteksi penyusupan adalah salah arah, katanya. Aktor jahat dan paket data yang tidak dapat dipahami sudah berada di dalam organisasi, ancaman yang menuntut pendekatan baru yang radikal.

Keamanan Melampaui Firewall

Dari hari-hari awal menginstal firewall, “Saya menyadari model kepercayaan kami adalah masalah,” katanya dalam sebuah wawancara. “Kami membawa konsep manusia ke dunia digital, dan itu konyol.”

Di Forrester, dia ditugaskan untuk mencari tahu mengapa keamanan siber tidak berfungsi. Pada tahun 2008, ia mulai menggunakan istilah zero trust dalam pembicaraan yang menjelaskan penelitiannya.

Setelah beberapa perlawanan awal, pengguna mulai merangkul konsep tersebut.

“Seseorang pernah mengatakan kepada saya bahwa nol kepercayaan akan menjadi seluruh pekerjaan saya. Saya tidak percaya padanya, tapi dia benar,” kata Kindervag, yang, dalam berbagai peran industri, telah membantu ratusan organisasi membangun lingkungan tanpa kepercayaan.

Ekosistem Tanpa Kepercayaan yang Berkembang

Memang, Gartner memproyeksikan bahwa pada tahun 2025 setidaknya 70% dari penyebaran akses jarak jauh baru akan menggunakan apa yang disebutnya akses jaringan tanpa kepercayaan (ZTNA), naik dari kurang dari 10% pada akhir tahun 2021. (Gartner, Teknologi Berkembang: Wawasan Pertumbuhan Adopsi untuk Akses Jaringan Tanpa KepercayaanG00764424, April 2022)

Itu sebagian karena penguncian COVID mempercepat rencana perusahaan untuk meningkatkan keamanan bagi pekerja jarak jauh. Dan banyak vendor firewall sekarang menyertakan kemampuan ZTNA dalam produk mereka.

Pengamat pasar memperkirakan setidaknya 50 vendor dari Appgate hingga Zscaler sekarang menawarkan produk keamanan yang selaras dengan konsep nol kepercayaan.

AI Mengotomatiskan Nol Kepercayaan

Pengguna di beberapa lingkungan tanpa kepercayaan mengungkapkan frustrasi dengan permintaan berulang untuk otentikasi multi-faktor. Ini adalah tantangan yang dilihat oleh beberapa pakar sebagai peluang untuk otomatisasi dengan pembelajaran mesin.

Misalnya, Gartner menyarankan untuk menerapkan analitik dalam pendekatan yang disebut kepercayaan adaptif berkelanjutan. CAT (lihat bagan di bawah) dapat menggunakan data kontekstual — seperti identitas perangkat, identitas jaringan, dan geolokasi — sebagai semacam pemeriksaan realitas digital untuk membantu mengautentikasi pengguna.

Gartner di MFA ke CAT untuk perjalanan tanpa kepercayaan
Gartner menjabarkan langkah-langkah keamanan tanpa kepercayaan. Sumber: Gartner, Pergeseran Fokus Dari MFA ke Continuous Adaptive Trust, G00745072, Desember 2021.

Faktanya, jaringan penuh dengan data yang dapat disaring AI secara real time untuk meningkatkan keamanan secara otomatis.

“Kami tidak mengumpulkan, memelihara, dan mengamati bahkan setengah dari data jaringan yang kami bisa, tetapi ada kecerdasan dalam data itu yang akan membentuk gambaran holistik keamanan jaringan,” kata Bartley Richardson, manajer senior infrastruktur AI dan teknik keamanan siber di NVIDIA.

Operator manusia tidak dapat melacak semua data yang dihasilkan jaringan atau menetapkan kebijakan untuk semua kemungkinan peristiwa. Tetapi mereka dapat menerapkan AI untuk menjelajahi data untuk aktivitas yang mencurigakan, lalu merespons dengan cepat.

“Kami ingin memberi perusahaan alat untuk membangun dan mengotomatisasi lingkungan tanpa kepercayaan yang kuat dengan pertahanan yang hidup di seluruh struktur pusat data mereka,” kata Richardson, yang memimpin pengembangan NVIDIA Morpheus, kerangka kerja keamanan siber AI terbuka.

NVIDIA Morpheus untuk kepercayaan nol

NVIDIA menyediakan model AI yang telah dilatih sebelumnya untuk Morpheus, atau pengguna dapat memilih model dari pihak ketiga atau membuatnya sendiri.

“Pekerjaan backend engineering dan pipeline sulit, tetapi kami memiliki keahlian dalam hal itu, dan kami dapat merancangnya untuk Anda,” katanya.

Ini adalah jenis kemampuan yang dilihat oleh para ahli seperti Kindervag sebagai bagian dari masa depan tanpa kepercayaan.

“Respons manual oleh analis keamanan terlalu sulit dan tidak efektif,” tulisnya dalam laporan tahun 2014. “Kematangan sistem sedemikian rupa sehingga tingkat otomatisasi yang berharga dan andal sekarang dapat dicapai.”

Untuk mempelajari lebih lanjut tentang AI dan zero trust, baca blog ini atau tonton video di bawah ini.

Dalam bermain permainan result hongkong, mempunyai beraneka jenis permainan yang dapat dimainkan oleh bettor. Terdapat hk prize pada masing – masing taruhan yang kalian mainkan. Contohnya terhadap togel 2D, 3D, 4D, Colok Jitu, Colok Bebas dan lain – lain miliki hk prize yang tidak serupa semua. Sama halnya saat bermain togel online lainnya yang terhitung punya hadiah jackpot togel yang berbeda.