Apa itu Zero Trust
Zero Trust adalah model keamanan siber dengan prinsip Never Trust Always Verify Tidak ada perangkat aplikasi atau pengguna yang dipercaya begitu saja meskipun berada di dalam jaringan internal Semua akses harus melalui verifikasi ketat dan dikontrol secara berlapis
Konsep Zero Trust pertama kali diperkenalkan oleh Forrester Research pada 2010 dan kini menjadi standar di berbagai organisasi modern untuk mengatasi ancaman siber yang semakin kompleks
Mengapa Zero Trust Penting di 2025
Ancaman Internal dan Pergerakan Lateral
Serangan siber modern kerap memanfaatkan celah internal dan bergerak tidak terdeteksi di dalam jaringan Biaya rata-rata kebocoran data global meningkat signifikan setiap tahun
Serangan siber modern kerap memanfaatkan celah internal dan bergerak tidak terdeteksi di dalam jaringan Biaya rata-rata kebocoran data global meningkat signifikan setiap tahun
Kerja Hybrid dan Akses Fleksibel
Pola kerja jarak jauh dan akses dari berbagai perangkat menuntut kontrol akses yang lebih ketat dan dinamis Zero Trust memberikan solusi melalui autentikasi multi faktor dan hak akses minimum
Pola kerja jarak jauh dan akses dari berbagai perangkat menuntut kontrol akses yang lebih ketat dan dinamis Zero Trust memberikan solusi melalui autentikasi multi faktor dan hak akses minimum
Tuntutan Regulasi
Beberapa negara mulai mewajibkan pendekatan Zero Trust pada sistem pemerintahan dan sektor kritis untuk memperkuat keamanan siber nasional
Beberapa negara mulai mewajibkan pendekatan Zero Trust pada sistem pemerintahan dan sektor kritis untuk memperkuat keamanan siber nasional
Contoh Kasus
Kasus SolarWinds 2020
Peretasan melalui update software SolarWinds menembus ribuan klien termasuk instansi pemerintah Zero Trust dapat mencegah eskalasi dengan segmentasi jaringan dan kontrol akses granular
Peretasan melalui update software SolarWinds menembus ribuan klien termasuk instansi pemerintah Zero Trust dapat mencegah eskalasi dengan segmentasi jaringan dan kontrol akses granular
Kasus Target 2013
Kebocoran data kartu kredit pelanggan supermarket Target terjadi akibat akun vendor HVAC yang diretas Zero Trust membatasi akses vendor hanya pada sistem yang relevan
Kebocoran data kartu kredit pelanggan supermarket Target terjadi akibat akun vendor HVAC yang diretas Zero Trust membatasi akses vendor hanya pada sistem yang relevan
Cara Penerapan Zero Trust
1. Gunakan Multi-Factor Authentication (MFA) dan enkripsi
Contoh:
Seorang karyawan ingin mengakses sistem cloud perusahaan. Sebelum berhasil masuk, ia harus:
Login dengan username dan password (faktor pertama),
Memasukkan kode OTP yang dikirim ke ponselnya (faktor kedua).
2. Terapkan kebijakan hak akses minimum
Contoh:
Seorang staf keuangan hanya diberikan akses ke aplikasi akuntansi dan dokumen laporan keuangan. Ia tidak dapat membuka data HRD, proyek pengembangan produk, atau konfigurasi jaringan.
Setiap akses tambahan harus disetujui oleh atasan dan dibatasi waktu penggunaannya (time-bound access).
3. Lakukan segmentasi jaringan untuk membatasi pergerakan yang tidak terdeteksi
Contoh:
Jaringan internal perusahaan dibagi menjadi beberapa segmen:
- Segmen untuk keuangan,
- Segmen untuk tim pengembangan,
- Segmen untuk tamu/wifi publik.
Jika satu segmen (misalnya WiFi publik) diretas, penyerang tidak otomatis bisa masuk ke segmen keuangan atau data penting karena antar-segmen dibatasi oleh firewall dan kontrol akses
4. Monitor aktivitas pengguna dan log secara berkelanjutan
Contoh:
Sistem SIEM (Security Information and Event Management) perusahaan secara real-time memantau log aktivitas pengguna.
Jika seorang pengguna biasa login hanya pada jam kerja, tapi tiba-tiba ada percobaan login pukul 2 pagi dari lokasi IP luar negeri, sistem akan:
- Mengirim notifikasi ke admin keamanan,
- Memblokir login tersebut secara otomatis,
- Menandainya sebagai insiden untuk investigasi lebih lanjut.
1. Gunakan Multi-Factor Authentication (MFA) dan enkripsi
Contoh:
Seorang karyawan ingin mengakses sistem cloud perusahaan. Sebelum berhasil masuk, ia harus:
Login dengan username dan password (faktor pertama),
Memasukkan kode OTP yang dikirim ke ponselnya (faktor kedua).
2. Terapkan kebijakan hak akses minimum
Contoh:
Seorang staf keuangan hanya diberikan akses ke aplikasi akuntansi dan dokumen laporan keuangan. Ia tidak dapat membuka data HRD, proyek pengembangan produk, atau konfigurasi jaringan.
Setiap akses tambahan harus disetujui oleh atasan dan dibatasi waktu penggunaannya (time-bound access).
3. Lakukan segmentasi jaringan untuk membatasi pergerakan yang tidak terdeteksi
Contoh:
Jaringan internal perusahaan dibagi menjadi beberapa segmen:
- Segmen untuk keuangan,
- Segmen untuk tim pengembangan,
- Segmen untuk tamu/wifi publik.
Jika satu segmen (misalnya WiFi publik) diretas, penyerang tidak otomatis bisa masuk ke segmen keuangan atau data penting karena antar-segmen dibatasi oleh firewall dan kontrol akses
4. Monitor aktivitas pengguna dan log secara berkelanjutan
Contoh:
Sistem SIEM (Security Information and Event Management) perusahaan secara real-time memantau log aktivitas pengguna.
Jika seorang pengguna biasa login hanya pada jam kerja, tapi tiba-tiba ada percobaan login pukul 2 pagi dari lokasi IP luar negeri, sistem akan:
- Mengirim notifikasi ke admin keamanan,
- Memblokir login tersebut secara otomatis,
- Menandainya sebagai insiden untuk investigasi lebih lanjut.
Zero Trust bukan hanya tren tetapi strategi wajib untuk membangun pertahanan siber yang tangguh pada 2025 Dengan Zero Trust organisasi dapat mencegah serangan dari luar dan dalam secara lebih efektif
Penulis Muhammad Sulton Hasan Wibowo
Olah Grafis Muhammad Sulton Hasan Wibowo
Olah Grafis Muhammad Sulton Hasan Wibowo
Sumber Referensi
The White House Executive Order 14028
https://www.whitehouse.gov/briefing-room/statements-releases/2021/05/12/executive-order-on-improving-the-nations-cybersecurity
https://www.whitehouse.gov/briefing-room/statements-releases/2021/05/12/executive-order-on-improving-the-nations-cybersecurity
Cybersecurity and Infrastructure Security Agency CISA SolarWinds Advisory
https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-008a
https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-008a
Target Data Breach — Krebs on Security
https://krebsonsecurity.com/2014/05/target-hackers-broke-in-via-hvac-company
https://krebsonsecurity.com/2014/05/target-hackers-broke-in-via-hvac-company