Kerja jarak jauh (terbuka di tab baru) bukanlah konsep baru, tetapi sebelum tahun 2020 cenderung terbatas pada pilihan peran yang terbatas terkait dengan pekerjaan kerah putih. Selain perjalanan bisnis, sebagian besar pekerja diharapkan berada di meja mereka selama jam kerja, dengan bekerja di rumah menjadi pengecualian daripada aturannya.
Tentang Penulis
Tom Jermoluk adalah Salah Satu Pendiri dan CEO Beyond Identity (terbuka di tab baru).
Namun pasca-2020, semakin banyak bisnis yang menyadari manfaat dari sistem kerja hybrid (terbuka di tab baru) lingkungan yang memungkinkan kebebasan yang lebih besar antara kantor (terbuka di tab baru) dan kerja jarak jauh. Temuan ONS terbaru menunjukkan sekitar seperempat dari bisnis Inggris berniat untuk menggunakan peningkatan pekerjaan rumah ke depan, dengan angka yang melonjak hingga hampir setengah dari perusahaan di industri informasi dan komunikasi. Karyawan (terbuka di tab baru) yang pernah merasakan pekerjaan rumah sangat tertarik untuk mempertahankan pendekatan ini – 85 persen mengatakan mereka ingin menggunakan pendekatan hibrida untuk maju.
Tenaga kerja bukan satu-satunya hal yang bermigrasi keluar dari kantor. Semakin banyak teknologi yang mendasari telah meninggalkan gedung juga. Awan (terbuka di tab baru) migrasi telah berjalan dengan baik di sebagian besar bisnis selama bertahun-tahun, dengan pandemi yang mempercepat prosesnya. Banyak organisasi sekarang dibangun di atas model infrastruktur sebagai layanan seperti AWS atau Microsoft Azure, dan menggunakan serangkaian perangkat lunak sebagai layanan (SaaS (terbuka di tab baru)) aplikasi berbasis.
Namun, infrastruktur digital yang tersebar ini juga berarti bahwa strategi keamanan tradisional menjadi semakin tidak relevan. Jadi, bagaimana organisasi dapat menjaga lingkungan hibrid mereka tetap aman?
Bagaimana kerja jarak jauh menyoroti masalah kata sandi
Dengan karyawan yang masuk dari berbagai lokasi berbeda sebagai standar, pendekatan “kastil dan parit” lama untuk keamanan siber (terbuka di tab baru)di mana hanya ada satu gerbang yang terlindungi dengan baik – firewall (terbuka di tab baru) – untuk mencegah orang jahat keluar dan membiarkan orang baik masuk, tidak akan berhasil. Untuk memperluas metafora kastil lebih jauh, saat ini sebagian besar penduduk desa tinggal dan bekerja di luar tembok kastil. Hal-hal menjadi lebih mudah ketika kami dapat membangun tembok di sekitar desa dan hanya memproyeksikan titik masuk/keluar utama. Tetapi karena penduduk desa harus meninggalkan desa untuk mendapatkan sumber daya yang mereka butuhkan untuk bekerja, keamanan yang berpusat pada jaringan lama (terbuka di tab baru) telah menjadi usang.
Oleh karena itu, tantangan keamanan terbesar saat ini adalah memvalidasi identitas pengguna dan memastikan keamanan perangkat titik akhir sebelum memberi mereka akses ke aplikasi dan data penting. Otentikasi identitas telah lama dibuat dengan kombinasi nama pengguna/kata sandi. Kata sandi (terbuka di tab baru) selalu merupakan pilihan yang buruk. Mereka sering dicuri menggunakan teknik rekayasa sosial (situs phishing, dll.) atau malware pencurian kredensial dan digunakan kembali oleh penyerang untuk mengakses sistem dan data. Kata sandi juga dieksploitasi oleh musuh melalui serangan brute force yang secara sistematis mencoba ribuan kata sandi yang biasa digunakan untuk mendapatkan akses. Laporan Investigasi Pelanggaran Data Verizon terbaru menemukan bahwa sekitar 60 persen dari semua insiden keamanan pada tahun 2020 melibatkan kredensial.
Selanjutnya, proliferasi aplikasi berbasis cloud berarti pekerja sekarang memiliki lebih banyak kredensial untuk dilacak daripada sebelumnya. Ini meningkatkan kemungkinan mereka mengulangi kombinasi favorit mereka di beberapa aplikasi dan layanan yang berbeda. Akibatnya, satu kredensial yang dicuri seringkali dapat digunakan di setengah lusin tempat berbeda.
Masalah ini tidak terbantu oleh fakta bahwa saran kata sandi cenderung berkisar dari tidak membantu hingga benar-benar kontraproduktif. Kebijaksanaan yang berlaku di sekitar kata sandi yang lebih panjang dan lebih kuat membuat sedikit perbedaan jika dimasukkan ke dalam situs phishing atau ketika pelaku ancaman memasang malware pada perangkat untuk mencurinya. Situs phishing atau malware tidak peduli apakah kata sandinya terdiri dari empat atau empat ratus karakter atau apakah itu memiliki karakter khusus. Dengan senang hati mencuri kata sandi dengan panjang atau kerumitan apa pun.
Hasilnya adalah aktor jahat tidak perlu lagi membobol jaringan dan aplikasi, mereka cukup login.
Kebutuhan akan otentikasi yang kuat dan akses berbasis risiko
Jadi bagaimana Anda menjaga keamanan perusahaan ketika sebagian besar tenaga kerja tersebar bermil-mil pada waktu tertentu dan mengakses berbagai aplikasi di luar jaringan perusahaan? Prioritas terbesar adalah kemampuan untuk mengonfirmasi identitas pengguna di balik perangkat secara andal, serta keamanan perangkat itu sendiri.
Ini membutuhkan cara yang aman untuk mengautentikasi pengguna, memvalidasi perangkat, dan proses berbasis risiko untuk mengevaluasi apakah keamanannya tepat sebelum mengizinkan akses ke sumber daya dan data penting. Jadi, misalnya, perangkat yang digunakan untuk mengakses aset berisiko rendah tidak memerlukan pemeriksaan yang sama seperti perangkat yang digunakan untuk mengakses sistem kritis misi atau data yang perlu dilindungi dengan baik. Proses ini menjadi lebih penting dalam lingkungan kerja dan komputasi hybrid karena pekerja mungkin perlu menggunakan kombinasi pekerjaan yang dikeluarkan dan titik akhir BYOD.
Kata sandi saja tidak berguna untuk otentikasi. Otentikasi multifaktor (MFA) sering disebut-sebut sebagai jawaban untuk meningkatkan kepercayaan identitas pengguna. Tetapi sistem MFA lama menggunakan kata sandi yang tidak aman sebagai dasar dan menambahkan faktor lemah lainnya seperti kata sandi satu kali yang dikirim melalui SMS atau email yang tidak aman. MFA berdasarkan pemberitahuan push dieksploitasi oleh penyerang menggunakan teknik rekayasa sosial – mengirimkan banyak pemberitahuan secara berurutan yang pada akhirnya akan diterima oleh banyak pengguna untuk menghentikan pesan yang mengganggu. Solusi ini seperti menempatkan pintu kasa di depan pintu kayu yang lemah. Dua pintu yang lemah tidak membuat bangunan lebih aman. MFA apa pun yang dapat di-phishing atau direkayasa secara sosial akan membuat sistem rentan terhadap serangan.
Lebih penting lagi, khususnya dalam model kerja jarak jauh dan komputasi awan yang baru, MFA lama tidak dirancang untuk memvalidasi perangkat atau mengevaluasi seberapa aman perangkat tersebut. Dengan MFA lawas, pengguna dapat masuk dari perangkat apa pun tanpa cara apa pun untuk mengetahui apakah perangkat tersebut aman. Ini membuat sistem dan data terpapar ke sistem yang mungkin sudah disusupi.
Pendekatan terbaik adalah menghapus kata sandi seluruhnya dan pindah ke MFA tanpa kata sandi. Ini hanya menggunakan faktor fundamental yang kuat dan memiliki kemampuan untuk menentukan apakah perangkat yang digunakan untuk mengakses aplikasi dan data dapat dipercaya.
Memberikan keamanan yang andal tanpa mengorbankan pengalaman pengguna
Cara paling efektif untuk mengganti kata sandi adalah dengan mengimplementasikan enkripsi asimetris yang sama dengan yang digunakan dalam Transport Layer Security (TLS). TLS paling dikenal sebagai kunci yang muncul di browser. Ini menggunakan pasangan kunci publik/pribadi dan sertifikat X.509 untuk memvalidasi server internet dan menyiapkan saluran komunikasi yang aman dan pribadi. Teknik ini digunakan di internet untuk mengamankan triliunan dolar transaksi keuangan online setiap hari.
Metode aman yang terbukti sama ini dapat digunakan untuk mengganti kata sandi dan membangun kepercayaan pada suatu perangkat. Dengan memanfaatkan chip yang dibangun di titik akhir modern, kunci pribadi dapat disimpan dengan aman di perangkat keras (TPM atau Enklave) sehingga tidak dapat diakses, disalin, atau dipindahkan. Kunci publik terkait kemudian dapat disimpan di cloud. Selama setiap login, sistem membuat dan menandatangani sertifikat X.509 baru dengan kunci privat. Aplikasi kemudian dapat memvalidasi sertifikat menggunakan kunci publik. Metode ini secara kriptografis mengikat identitas pengguna ke perangkat sehingga keduanya dapat diautentikasi dengan andal. Tidak ada yang bisa dicuri dan digunakan kembali atau disalin oleh penyerang. Autentikasi yang kuat secara fundamental ini dapat digunakan bersama dengan autentikasi biometrik aman yang ada di titik akhir modern untuk mengimplementasikan autentikasi multifaktor yang kuat dengan pengalaman pengguna yang sangat minim gesekan.
Solusi yang memenuhi kebutuhan lingkungan kerja dan komputasi modern juga harus dapat menilai postur keamanan perangkat dan menerapkan kebijakan berbasis risiko — memastikan bahwa hanya perangkat yang memenuhi kebijakan keamanan dan kepatuhan yang memiliki akses ke aplikasi dan data. Dalam lingkungan hybrid modern, setiap pekerja membutuhkan akses yang andal ke aset penting di dalam dan di luar, dari lokasi mana pun dan dengan berbagai perangkat. Setiap titik akhir telah menjadi batasnya, dan autentikasi berbasis risiko yang kuat adalah kunci untuk menjaga keamanannya.
