Zero Trust mendapatkan daya tarik dengan perusahaan Australia – Wawasan – Keamanan
Insights

Zero Trust mendapatkan daya tarik dengan perusahaan Australia – Wawasan – Keamanan

Ketika Sport Integrity Australia (dan operasi pendahulunya) berubah untuk berjalan sepenuhnya di cloud, ia mengadopsi arsitektur Zero Trust “tepat di seluruh lingkungan”.

Proyek ini selesai pada bulan Desember tahun lalu, bertepatan dengan kepergian CIO dan CSO Andrew Collins dari organisasi.

Namun, saat dia mengatakan pada acara Australian CISO Confluence akhir tahun lalu, dia hampir tidak menyebutkan Zero Trust sama sekali kepada siapa pun di organisasi tersebut selama dua tahun keberadaan proyek tersebut.

“Saya baru saja mulai setelah dua tahun berbicara tentang Zero Trust, dan alasan saya melakukannya adalah karena sebagian besar tidak relevan dengan orang-orang,” kata Collins.

“Mereka tidak perlu tahu seluk beluknya.

“Dari sudut pandang pengguna – yang merupakan fokus percakapan – mereka memiliki beberapa tahap login, dan kami menunjukkan bahwa itu didasarkan pada kondisi yang ditentukan oleh risiko login Anda, yang ditentukan oleh AI saat login dan saat Anda mengakses sumber daya di lingkungan, jadi Anda mungkin diminta untuk masuk lagi jika Anda mengakses sesuatu yang lebih sensitif.

“Staf senang dengan percakapan itu karena mereka bisa mengerti mengapa kami melakukannya. Itu sebenarnya bukan percakapan keamanan, itu adalah percakapan privasi.”

Collins mengatakan dia hanya mulai berbicara tentang Zero Trust untuk memberi nama pada apa yang telah diterapkan oleh TI selama beberapa tahun terakhir.

Ceritanya agak simptomatik dari diskusi seputar Zero Trust. Itu berarti hal yang berbeda untuk orang yang berbeda, tetapi itu juga berarti sedikit bagi banyak dari mereka.

“Saya suka istilah itu karena berguna untuk membuat semua orang berada di halaman yang sama, dan saya juga membenci istilah itu karena tidak jelas,” kata Neil MacDonald, wakil presiden, analis terkemuka dan rekan emeritus Gartner di Gartner Research.

“Ungkapan ‘Zero Trust’ seperti kata ‘cloud’, [in that] Saya pikir ini membantu membuat semua orang pada halaman yang sama.

“Sangat bagus untuk memulai percakapan – tetapi Anda kemudian membutuhkan lebih banyak konteks untuk memahami apa masalahnya dan apa solusinya dan bagaimana kita dapat memasukkan proyek-proyek tertentu dengan kerangka waktu tertentu untuk mengadopsi pola pikir ini.

“Anda membutuhkan lebih banyak kata di sekitarnya untuk kejelasan.”

Mendefinisikan Nol Kepercayaan

Zero Trust sering diringkas menjadi ‘tidak pernah percaya, selalu verifikasi’. “Terlepas dari lokasi jaringan Anda, pendekatan tanpa kepercayaan terhadap keamanan siber akan selalu merespons dengan, ‘Saya tidak mempercayai Anda! Saya perlu memverifikasi Anda terlebih dahulu sebelum saya dapat mempercayai Anda dan memberikan akses ke sumber daya yang Anda inginkan’,” tulis Institut Standar dan Teknologi Nasional AS (NIST).

MacDonald memandang Zero Trust sebagai pola pikir keamanan.

“Ini adalah cara berpikir yang mencoba menghilangkan kepercayaan implisit di seluruh infrastruktur TI, dan menggantinya dengan kepercayaan adaptif – yang dihitung secara eksplisit, tepat waktu, cukup, kepercayaan adaptif,” katanya.

“Lalu apa yang dilakukan organisasi adalah mengambil pola pikir ini dan mulai menjadikannya nyata, sehingga mereka mengembangkan strategi Zero Trust atau peta jalan yang [comprises] … inisiatif dan proyek Zero Trust tertentu.”

Proyek-proyek ini biasanya berjalan di berbagai bidang seperti Zero Trust Networking Access (ZTNA), yang menjelaskan solusi akses jarak jauh; Perlindungan Data Zero Trust untuk akses data berbasis kebijakan; atau Zero Trust Network Segmentation untuk mengurangi permukaan serangan jaringan.

“Kata-kata tambahan menambah kejelasan” pada istilah umum ‘Zero Trust’, catat MacDonald.

Untuk kepala platform keamanan perusahaan asuransi kesehatan Bupa Michael Kamar, Zero Trust adalah perwujudan dari satu dekade teknologi dan perkembangan keamanan.

“Ini benar-benar mendapatkan daya tarik dalam hal pembicaraan industri dan bagaimana itu disajikan sepanjang waktu, [but] itu menggunakan teknologi yang mungkin dimiliki perusahaan atau proses yang ada dan mengambil pandangan holistik [across them], ”kata Kamar kepada webinar keamanan FST Media.

Ini secara layak dapat menjangkau area teknologi seperti identitas dan akses, akses jarak jauh, keamanan jaringan dan keamanan data, di mana organisasi memiliki sistem dan proses yang ada.

“Anda sudah melakukan beberapa bentuk salah satu pilar Zero Trust, baik itu pemisahan jaringan, semacam identitas dan akses, sistem masuk tunggal, apa pun itu,” saran Kamar.

“Lakukan peta jalan yang ada di dalamnya, dan kemudian buat strategi Zero Trust Anda yang lebih luas, hubungkan semua itu [together].. di peta jalan Anda.”

Arsitektur Zero Trust memiliki momentum baru pasca-Covid, karena berpotensi menawarkan organisasi cara untuk mengamankan akses ke sumber daya perusahaan ketika staf bekerja dari jarak jauh – dari rumah atau di mana pun mereka berada.

Idenya adalah untuk memastikan “orang yang tepat memiliki tingkat akses yang tepat, ke sumber daya yang tepat, dalam konteks yang tepat, dan akses itu dinilai terus menerus – semuanya tanpa menambahkan gesekan bagi pengguna.”

Kesederhanaan dari sudut pandang pengguna akhir adalah kuncinya.

“Seluruh konsep Zero Trust adalah membuatnya mudah bagi pengguna, jadi terlepas dari perangkat apa yang Anda gunakan, di mana pun Anda berada, Anda memiliki keamanan yang Anda inginkan, Anda dapat melakukan pekerjaan Anda, Anda bisa mendapatkan akses ke aplikasi yang Anda inginkan,” kata direktur keamanan informasi ResMed Rassoul Ghaznavi Zadeh kepada acara Australian CISO Confluence.

Pelukan basis pengguna

Selain Integritas Olahraga Australia, iTnews telah menemukan inisiatif aktif seperti Woodside Energy, NAB, Lendlease, Beach Energy, ResMed, University of Queensland, Fire and Rescue NSW dan Horizon Power.

Banyak organisasi besar tambahan diketahui berada di ruang tersebut tetapi tidak akan mengkonfirmasi kehadiran proyek aktif untuk seri laporan ini.

Selama beberapa minggu ke depan, iTnews akan mengeksplorasi beberapa pelukan spesifik dari Zero Trust ini secara lebih rinci.

Petugas keamanan informasi dan siber Horizon Power Dune Sookloll mengatakan kepada webinar baru-baru ini bahwa dia yakin “sebagian besar organisasi telah beralih ke pendekatan Zero Trust di mana Anda tidak lagi mempercayai siapa pun di dalam jaringan Anda atau yang memiliki akses di dalam jaringan Anda.”

“Laporan pelanggaran data Verizon 2020 mengatakan bahwa 80 persen pelanggaran terkait peretasan melibatkan kredensial yang dikompromikan atau lemah, dan 29 persen dari pelanggaran tersebut, terlepas dari jenis serangannya, melibatkan penggunaan kredensial yang dicuri.

“Sangat penting bagi kami untuk meninjau identitas pengguna dalam organisasi kami, baik TI maupun OT [operational technology], dan pastikan bahwa mereka diautentikasi dengan tingkat jaminan yang tinggi, dan juga pastikan bahwa mereka hanya memiliki akses ke sistem atau layanan untuk membantu melakukan pekerjaan mereka dengan cara yang efisien dan efektif.”

University of Queensland mengadopsi beberapa prinsip filosofi Zero Trust sebagai bagian dari program kerja peningkatan keamanan yang berkelanjutan.

“Sebagai prinsip dari apa yang kami kerjakan dalam hal infrastruktur dan keamanan, itu pasti jalan yang akan terus kami lalui,” kata wakil direktur layanan teknologi informasi (ITS) Dr David Stockdale.

“Tidak apa-apa dan baik bagi Anda untuk memberi tahu saya bahwa Anda adalah [X], tetapi kami perlu membuktikannya dan memastikan kami memahami apa yang Anda lakukan, dan bahwa kami mengizinkan Anda melakukan hal-hal yang perlu Anda lakukan seefektif mungkin dan secepat mungkin, tetapi menghentikan Anda dari melakukan hal-hal yang Anda bisa jangan lakukan itu.”

“Saya pikir Zero Trust adalah filosofi yang akan kami kerjakan – dan dalam semua proyek kami, kami memikirkannya dengan mempertimbangkan Zero Trust.”

Zadeh dari ResMed melihat Zero Trust sebagai “normal baru” bagi para profesional keamanan.

Collins melangkah lebih jauh, menggambarkannya “sebagai wajib di dunia modern.”

“Jika Anda melihat Integritas Olahraga, kami terhubung dengan mitra di seluruh dunia,” katanya.

“Saya telah kehilangan hitungan jumlah kemitraan yang kami miliki di mana kami secara aktif berbagi informasi untuk beroperasi pada dasarnya, dan itu akan berlaku untuk sebagian besar organisasi modern.

“Bagi saya Zero Trust adalah wajib dalam melakukan upaya terbaik Anda untuk mengamankan lingkungan semacam itu.

“Yang lain mungkin lalai.”

Nantikan iTnews untuk angsuran berikutnya dalam seri ini pada Kamis 19 Agustus. Temukan artikel Wawasan iTnews lainnya di sini.

Posted By : nomor yang akan keluar malam ini hongkong