Apa itu security lifecycle management?

Rata-rata jaringan perusahaan menampung ribuan—atau bahkan puluhan ribu—identitas, mulai dari pengguna manusia (pengembang dan pemangku kepentingan lainnya) hingga identitas bukan manusia (seperti agen AI, perangkat, beban kerja, dan layanan). Populasi ini bersifat dinamis. Pengguna manusia sering bergabung, meninggalkan, dan berganti peran. Identitas bukan manusia baru terus muncul seiring dengan penyediaan, peningkatan skala, dan penghentian infrastruktur—terutama dalam konteks cloud native dan DevOps , di mana saluran CI/CD dan alur kerja otomatis secara rutin menjalankan layanan dan beban kerja yang berumur pendek.

Setiap identitas merupakan kerentanan yang potensial. Pengguna dapat dengan jahat atau lalai menyalahgunakan hak istimewa mereka, sehingga menjadi ancaman orang dalam. Pelaku ancaman dapat mengambil alih identitas manusia dan bukan manusia dengan menggunakan kredensial curian dan serangan brute force untuk mendapatkan akses tidak sah ke data dan sistem yang sensitif.

Faktanya, serangan berbasis identitas—di mana peretas menyalahgunakan kredensial akun yang valid untuk membobol jaringan—adalah salah satu metode serangan siber yang paling umum. Mereka menyumbang 30% dari pelanggaran data yang tercatat dalam IBM X-Force Threat Intelligence Index.

Security lifecycle management bertujuan untuk mengecilkan permukaan serangan identitas dan menutup celah keamanan dengan memusatkan pengelolaan identitas ini dan izin serta kredensial yang terkait di bawah satu platform atau seperangkat alat yang terintegrasi dengan erat. Security lifecycle management mengotomatiskan fungsi inti keamanan siber—seperti pembuatan dan rotasi kredensial, penyediaan dan penghapusan akun, serta penegakan kebijakan keamanan—untuk memperkuat kontrol akses dan manajemen rahasia tanpa mengganggu alur kerja bisnis yang penting.

Security lifecycle management menggunakan platform atau seperangkat alat terintegrasi untuk mengawasi dan mengotomatiskan fungsi keamanan siber utama secara terpusat, terutama fungsi-fungsi yang berkaitan dengan keamanan akun, manajemen kredensial, dan izin akses pengguna.

Beberapa fungsi inti dari security lifecycle management termasuk manajemen identitas, manajemen rahasia, dan jaringan aman.

Security lifecycle management dapat mengotomatiskan alur kerja manajemen identitas dan akses (IAM) untuk identitas manusia dan bukan manusia, seperti:

• Penerimaan pengguna dan entitas baru, termasuk membuat akun dan memberikan izin.
  
  
• Menyesuaikan hak istimewa pengguna dan entitas saat peran mereka berubah dari waktu ke waktu.
  
  
• Menerapkan kebijakan keamanan melalui langkah-langkah seperti kontrol akses berbasis peran (RBAC), autentikasi dan otorisasi berkelanjutan, dan hak istimewa sementara atas permintaan.
  
  
• Terus memantau aktivitas pengguna melalui perekaman sesi.
  
  
• Penghapusan identitas saat pengguna keluar atau layanan dihentikan.

Selain melindungi identitas, security lifecycle management juga membantu melindungi kredensial yang terkait dengan identitas tersebut. Proses ini dapat mengotomatiskan manajemen kredensial penting dan fungsi manajemen rahasia, seperti:

• Membuat kredensial yang kuat untuk identitas manusia dan bukan manusia baru, termasuk sertifikat, kunci API, kata sandi, dan token.
  
  
• Merotasi kredensial secara teratur.
  
  
• Menyimpan kredensial bernilai tinggi—seperti kredensial akun administratif dan layanan yang memberikan akses sangat istimewa ke informasi dan sistem sensitif—di vault kredensial. Vault, pada gilirannya, dilindungi oleh enkripsi dan langkah otentikasi yang kuat—seperti autentikasi multifaktor (MFA)—untuk membantu memastikan bahwa hanya pengguna berwenang yang dapat mengakses kredensial ini bila diperlukan.
  
  
• Mengganti kredensial persisten dengan kredensial sementara atau kredensial sementara atas permintaan.
  
  
• Secara otomatis memindai dan memperbaiki rahasia yang terpapar yang disimpan dalam kode, repositori, platform kolaborasi, alat pengembang, atau lokasi lain.

Beberapa alat security lifecycle management juga mendukung injeksi kredensial, proses autentikasi di mana pengguna tidak perlu menangani kredensial secara langsung. Sebagai gantinya, kredensial dimasukkan dari vault ke layanan yang sesuai atas nama pengguna, sehingga mengurangi risiko paparan atau pencurian.

Membangun perlindungan identitas dan kredensial, security lifecycle management juga membantu memfasilitasi koneksi yang aman dan komunikasi di antara identitas—terutama antara layanan.

Alat security lifecycle management sering kali menyediakan:

• Sumber kebenaran terpusat untuk identitas layanan, memungkinkan penemuan dan pelacakan layanan, bersama dengan informasi real-time tentang kesehatan layanan dan atribut lainnya.
  
  
• Koneksi berbasis identitas, termasuk enkripsi antara layanan, autentikasi berkelanjutan, dan otorisasi berbasis atribut. Setiap permintaan akses diperiksa dan layanan diberikan akses berdasarkan atributnya, bukan lokasi jaringan.
  
  
• Penyediaan otomatis infrastruktur jaringan yang aman, seperti mesh layanan, penyeimbang beban, firewall, dan gateway. Komunikasi yang aman dibuat, diperbarui, dan dinonaktifkan secara otomatis saat layanan dibuat, diskalakan, atau dihentikan.

Meskipun security lifecycle management biasanya berfokus pada identitas, kredensial, layanan, dan infrastruktur perangkat lunak, namun proses ini terkadang juga melibatkan fungsi manajemen perangkat. Contohnya termasuk penambalan otomatis untuk stasiun kerja dan perangkat mobile, manajemen sertifikat perangkat keras, serta pemantauan berkelanjutan dan remediasi untuk sistem keamanan on premises, seperti kamera dan kontrol akses fisik.

Dengan memusatkan dan mengotomatiskan IAM inti dan fungsi manajemen rahasia, security lifecycle management membantu tim keamanan mendapatkan lebih banyak visibilitas dan kontrol atas pengguna manusia dan identitas bukan manusia. Sentralisasi dan otomatisasi dapat membantu merampingkan pemantauan aktivitas, kontrol akses, dan penegakan kebijakan, sehingga mengurangi risiko serangan berbasis identitas dan insiden keamanan serta ancaman siber lainnya.

Dalam sistem TI yang kompleks, identitas manusia dan bukan manusia dapat berada di—dan bergerak di antara—infrastruktur on premises, jarak jauh, dan cloud. Sifat terdistribusi dari jaringan ini menyulitkan tim keamanan untuk melacak apa yang dilakukan setiap identitas. Selain itu, sumber daya sering bersifat dinamis dan sementara di saluran DevOps. Identitas bukan manusia baru dapat diperkenalkan ke sistem, mengakses informasi yang aman, dan semuanya menghilang sebelum tim keamanan tahu mereka berada di sana. Akibatnya, penegakan kebijakan sulit dilakukan dan risiko keamanan meningkat.

Dengan tidak adanya manajemen yang aman dan pengawasan terpusat, pengguna individu mungkin tidak mengikuti praktik terbaik untuk kebersihan keamanan. Mereka mungkin menetapkan kata sandi yang lemah dan menggunakannya kembali. Mereka mungkin mengabaikan untuk mengaktifkan MFA. Saluran DevOps terkenal rentan terhadap penyebaran rahasia, proliferasi rahasia yang tidak dikelola melalui repo, kode, basis data, dan tempat lain, membuatnya terbuka bagi potensi ancaman.

Penyebaran aplikasi—membawa aplikasi ke dalam ekosistem tanpa manajemen terpusat, terutama aplikasi yang fungsi autentikasi dan otorisasinya tidak terintegrasi dengan sistem IAM yang ada—juga menimbulkan masalah. Ketika aplikasi terpisah memiliki direktori identitas, pengaturan izin, dan kredensial terpisah, kegiatan keamanan penting—seperti audit hak istimewa dan penghapusan— menjadi terlalu mudah untuk terlewat.

Security lifecycle management dapat membantu meminimalkan ancaman keamanan yang ditimbulkan oleh kontrol identitas, akses, dan kredensial yang lemah dengan memusatkan manajemen dan mengotomatiskan proses inti.

Mengelola semua identitas—manusia dan bukan manusia —dalam satu sistem membantu tim keamanan menetapkan kebijakan akses yang lebih konsisten. Penyediaan dan penghapusan otomatis membantu memastikan kebijakan ini diterapkan secara tepat waktu dan terstandardisasi.

Manajemen kredensial otomatis membantu memastikan bahwa kredensial yang kuat digunakan, diamankan, dan dirotasi dengan benar, sementara alat deteksi kredensial dapat membantu menemukan rahasia yang tidak dikelola dan tidak aman untuk remediasi.

Dengan perekaman sesi, tim keamanan dapat melacak semua yang dilakukan pengguna, merampingkan penegakan kebijakan dan respons insiden. Jika dan ketika pelanggaran keamanan terjadi, penyelidik dapat menggunakan rekaman untuk melihat apa yang dilakukan peretas dengan akun yang disusupi.

Terakhir, mengamankan koneksi antara layanan membantu mengatasi salah satu kerentanan paling signifikan dalam rantai pasokan perangkat lunak: koneksi antara komponen dalam sebuah sistem.

Seperti yang dikatakan IBM Distinguished Engineer dan Master Inventor Jeff Crume di podcast Security Intelligence:

“Beberapa kerentanan terbesar terjadi di titik-titik penghubung antara dua hal yang berbeda, tempat antarmuka berada.” Komponen saya mungkin sempurna, dan komponen Anda mungkin sempurna, tetapi tidak demikian dengan antarmuka kami. Dan tentu saja, orang jahat akan pergi ke mana pun titik lemah berada.”

Singkatnya, pendekatan komprehensif terhadap security lifecycle management dapat memberikan organisasi sistem pencatatan tunggal untuk identitas manusia dan bukan manusia, kredensial, dan izin di seluruh ekosistem, mendukung prinsip zero trust dan hak akses minimal.

Penting untuk dicatat juga bahwa alat dan praktik security lifecycle management dimaksudkan untuk mendukung aktivitas saluran DevOps yang cepat dan inovatif. Bahkan, mereka dapat membantu mengoptimalkan proses ini dengan mengambil manajemen kredensial sepenuhnya dari tangan pengembang. Dengan membuat, menyimpan, merotasi, dan melindungi rahasia secara otomatis, security lifecycle management dapat mengamankan ekosistem TI tanpa menghalangi.