Bygg tillit med “Zero Trust” som sikkerhetsstrategi

Om du har hørt mye om det som kalles Zero Trust i det siste så er du ikke den eneste. I juli i år lanserte det britiske National Cyber Security Centre (NCSC) åtte prinsipper for Zero Trust med klare anbefalinger for private og offentlige virksomheter i Storbritannia. Tidligere i høst så lanserte USAs regjering sitt utkast til en “Federal Zero Trust Strategy” som konstanterer at Zero Trust skal legge føringene for hvordan USAs føderale myndigheter praktiserer sin cybersikkerhet. Og nå i oktober i år anbefaler Nasjonal Sikkerhetsmyndighet (NSM) norske virksomheter å ta utgangspunkt i Zero Trust.

Zero Trust er derfor ikke bare et moteord, men noe som stadig vinner terreng nasjonalt og internasjonalt for hvordan offentlige og private virksomheter bør tenke digital sikkerhetsstrategi. For norske virksomheter kan Zero Trust bety å gå bort fra rigide sikkerhetsløsninger og over til mer moderne og agile måter å gjøre sikkerhet på. Dette kan bety mindre gnisninger mellom sikkerhet og produktivitet, noe som igjen kan bety økt fortjenest og bedre omstillingsevne.

Datanettverk og perimeterforsvar

For å bedre forstå hva som menes med en Zero Trust kan det være nyttig å ta en rask tur innom konseptet nettverk, mer bestemt datanettverk.

Enkelt forklart er et datanettverk når flere datamaskiner er koblet sammen og som legger til rette for at datamaskiner kan kommunisere, dele ressurser og informasjon med hverandre. Av verdens mange datanett så er nok internett det flest av oss kjenner, og det er faktisk et globalt datanettverk som kobler sammen flere mindre nettverk. Et annet velkjent type nettverk er VPN, eller Virtual Private Network, som nok mange kjenner som datanettverket som driftes av sin egen virksomhet. VPN har lenge blitt brukt av virksomheter for at ansatte kan koble seg til virksomhetens interne nettverk på en kryptert og sikker måte. Tanken bak en VPN er at virksomheter ikke skal eksponere sine sensitive ressurser på det åpne internettet. 

For mange virksomheter har cybersikkerhet lenge handlet om å beskytte sitt eget datanettverk (VPN) fra utsiden. Her har den grunnleggende tanken vært at trusler som kan forårsake skade for ens IT-ressurser og verdier primært finnes utenfor virksomhetens nettverk, mens det som befinner seg “på innsiden” har vært ansett som relativt ufarlig. Denne typen tilnærming til sikkerhet er kjent som perimeterforsvar. Denne måten å tenke sikkerhet på er utdatert og har de seneste årene blitt kraftig utfordret av trender som skyløsninger, digitale verdikjeder, ansatte som jobber fra hvor som helst og når som helst, og mer målrettede trusselaktører.

Heldigvis inneholder Zero Trust flere prinsipper som muliggjør både bedre og mer smidig sikkerhet. Hvor deilig er det ikke å kunne bli kvitt trege VPN-løsninger, rutinemessige passordbytter og samtidig oppnå bedre sikkerhet?

Tilgang og tillit i nettverk

En av de mest sentrale mekanismene i ethvert nettverk er tilgangsstyring. I en vanlig virksomhetshverdag kjennetegnes tilgang som regel ved at man logger seg inn på sin egen brukerkonto med brukernavn, passord og forhåpentligvis en slags form for tilleggsfaktor som biometri eller engangskode. Når man har logget seg inn vil man ofte få tilgang til en rekke ressurser, slik som applikasjoner og filområder. Nettverkene har tradisjonelt blitt designet for at brukerne skal ha enkel og beleilig tilgang til det de trenger: når man først logget seg inn har brukeren fått tillit til å drive med det de ønsker. 

Mange cyberhendelser har vært mulig nettopp fordi en virksomhets nettverk har hatt tillit til alle som har kommet seg innenfor perimeteren. Dette har gjort at hackere kan bevege seg forholdsvis fritt rundt i nettverket og gradvis opparbeide seg tilgang til flere ressurser. Zero Trust anerkjenner at sikkerhetstrusler like gjerne kan komme innenfra som utenfra. Det er derfor nødvendig at tillit i et nettverk hele tiden blir bekreftet, at rettigheter konstant verifiseres og at systemer i størst mulig grad segmenteres.

Zero Trust handler derfor grunnleggende om å jobbe mot en mer risikobasert tilnærming til sikkerhet, hvor tekniske signaler fortløpende analyseres. Eksempelvis bør det ikke lenger være nok at en ansatt kun oppgir riktig passord for å logge seg på sin konto, men virksomheten bør også ha på plass verktøy og rutiner som i sanntid analyserer den ansattes risikoprofil. Forsøker den ansatte å logge seg på fra en ny enhet og fra et land hvor den ansatte ikke tidligere har logget seg på fra, så bør ekstra verifikasjon etterspørres, tilgang til sensitiv data begrenses eller kanskje til og med et varsel om mistenkelig pålogging sendes for manuell verifikasjon før den ansatte får logge seg på. Alt dette kan styres av virksomheten selv basert på den risikoprofilen man ønsker.

Hva betyr Zero Trust for norske virksomheter?

Hvordan veien til Zero Trust vil se ut for en virksomhet avhenger av flere faktorer, herunder virksomhetens kompleksitet, trusselbilde, modenhetsnivå og nåværende IT-infrastruktur. Men tross at det er flere variabler i bildet så er det noen grunnleggende prinsipper som vil være veiledende på veien mot Zero Trust:

• Brukeridentiteter og verifisering: Identitet- og tilgangsstyring (IAM) er kanskje den mest sentrale komponenten når det kommer til Zero Trust. Virksomheter må ha enda bedre kontroll på brukerkonti, tilganger og rettigheter - gjerne i en sentral skybasert identitetstjeneste - og disse må sikres med flerfaktor og være underlagt kontinuerlig monitorering og deteksjon for å avdekke angrepsforsøk.
• Nettverks- og enhetssikkerhet: Evnen til å segmentere, isolere og kontrollere nettverket er et avgjørende trinn i implementeringen og realiseringen av en Zero Trust arkitektur. Og hver enhet (PCer, servere, IOT-enheter osv.) som kobler seg til nettverket kan være en potensiell trussel eller kan innføre sårbarheter, og må derfor kontinuerlig identifiseres og autoriseres.
• Gå til anskaffelse av riktig teknologi: Mange av mekanismene bak Zero Trust er avhengig av at teknologien har visse funksjonaliteter. Her kan det for eksempel nevnes at det burde være en automatisert monitorering og respons knyttet til identitet og tilgang. Når virksomheter anskaffer nye teknologiske sikkerhetsverktøy er det derfor viktig at disse kan automatisere tidligere manuelle prosesser.
• Oversikt over virksomhetens IT-arkitektur: Zero Trust forutsetter at en virksomhet har oversikt over enhetene, dataene, brukerne og andre ressurser som er en del av IT infrastrukturen. Du kan ikke beskytte det du ikke vet at du har.

Avslutningsvis er det viktig å presisere at Zero Trust ikke er noen quick-fix eller et magisk verktøy som kjøpes for å løse alle sikkerhetsutfordringer. Zero Trust er en overordnet strategi, som hvis implementert riktig, kan bidra til bedre sikkerhet og en mer smidig opplevelse for virksomhetens ansatte og brukere. Som med så mye annet er det viktigste at man starter - og gjerne helst før sikkerhetshendelsen inntreffer.

Har du eller din virksomhet spørsmål om Zero Trust eller hvor man kan starte for å implementere dette som strategi i egen virksomhet? Ikke nøl med å ta kontakt!