MYE MER: Zero Trust handler ikke bare om identitet eller bare om nettverkskontroll, men om begge deler og mye mer, skriver Kim Hansen. (Foto: Sicra)

Lettere Zero Trust i bedriften din

KOMMENTAR: Gjennomføring av en Zero Trust-arkitektur kan virke overveldende, men nye retningslinjer kan gjøre det lettere.

Publisert Sist oppdatert

Ifølge FireEyes årlige M-Trends-rapport er tiden en trusselaktør kan være i nettverket uten å bli oppdaget kraftig redusert. Mens median oppholdstid for en trusselaktør var 229 dager i 2013, tok det i 2020 bare 56 dager før trusselen ble oppdaget og tiltak ble iverksatt.

Selv om dette er en stor forbedring, er det neppe noen som ønsker å ha en trusselaktør i nettverket sitt i nesten to måneder. Mange bedrifter lurer derfor på hvordan de skal forbedre sikkerheten, spesielt med tanke på Zero Trust.

Hva er egentlig Zero Trust?

Zero Trust er en strategisk tilnærming til cybersikkerhet som sikrer en organisasjon ved å eliminere implisitt tillit og kontinuerlig validere alle faser av en digital samhandling.

Det er lett å tenke at Zero Trust handler om å skaffe seg de rette produktene. Noen leverandører er svært flinke på mikrosegmentering og nettverk, og snakker derfor mye om nettverksbasert Zero Trust. Andre leverandører har mer søkelys på brukeridentitet. For dem handler Zero Trust om å sikre at rett bruker er logget inn.

Zero Trust handler ikke bare om identitet eller bare om nettverkskontroll, men om begge deler og mye mer. Det handler om at blant annet følgende spørsmål må håndteres:

• Hvem trenger tilgang? Bruker, maskin, arbeidsoppgave. Tenk rolle i bedriften, ikke gi tilgang til den enkelte bruker om dette kan unngås.

• Hvordan verifiserer vi at korrekt bruker er pålogget? Og hvordan evaluereres dette? Om brukeren bytter IP-adresse skal da brukeren re-autentiseres?

• Hva skal det gis tilgang til? Kun nødvendig tilgang skal gis.

• Hvor skal det gis tilgang fra? Er det nødvendigvis slik at det skal være lik tilgang fra hjemmekontor over VPN som fra en kontrollert terminal-server?

• Når skal tilgang gis? Tid på døgnet? Avtalt tidsperiode? Er det prosjektstyrt eller risikostyrt?

• Hvorfor skal tilgangen gis? Dokumentasjon er kritisk.

• Hvordan skal kommunikasjonen foregå? Hvilke plattformer kan benyttes? Er det vilkårlig om det er en driftet PC, Mac eller BYOD-enhet som spør om tilgang?

• Hvilken helsetilstand skal enheten som kobles opp være i? Og skal tilgang opprettholdes om denne endres underveis?

Basert på de ovennevnte spørsmålene må man fortløpende gi ansatte tilgang kun hvis de har et reelt behov for det, og kun gi tilgang til systemer og data som den ansatte er avhengig av for å kunne gjøre jobben sin. Systemer må også kun få tilgang til de dataene eller andre systemer som systemet er avhengig av (mikrosegmentering).

Uventet adferd

Et nytt begrep som er vesentlig i Zero Trust er å «kontinuerlig validere alle faser av en digital samhandling.» Dette betyr at all digital kommunikasjon skal valideres kontinuerlig for skadevare og unormal oppførsel. Denne typen transformasjon har sikkerhet som grunnmur og gir organisasjoner en mulighet til å velge en skalerbar modell som automatisk samkjører det vi trenger av kilder for å ta automatiske valg, som igjen reduserer ressursbehov. Hvis sikkerheten er innebygd av leverandøren og verifisert automatisk, kan vi også begynne å skifte tankesett som gjør det lettere å oppdage uventet atferd.

Som et eksempel på dette kan du forhindre og oppdage angrep ut ifra hvite-listemetoder. Dette er i stedet for å stole på produkter som sammenligner artefakter og atferd med kjente dårlige lister eller nekter tilgang basert på «svarte-listing».

Hvor skal du begynne? Bruk de nye CIS-retningslinjene som guide.

Center for Internet Security (CIS) har publisert en ny og forbedret versjon 8 av sine CIS-kontroller, som er retningslinjer for beste praksis innenfor IT-sikkerhet. Det er 18 CIS-kontroller, hvor det innenfor hver av dem er et sett med sikkerhetstiltak.

Hvis du leter etter et utgangspunkt på reisen mot Zero Trust, bør du vurdere å bruke CIS Controls v8 for å prioritere reisen din. Det er et flott verktøy som vil ha stor innvirkning på risikoreduksjon basert på nåværende trusler. Ved å bryte reisen ned i oppnåelige trinn kan en organisasjon gjøre fremskritt i reisen – vel innforstått med at trinnene som tas er prioritert på en meningsfull måte.

Oppsummert:

• Kjenn nettverket ditt, ha kontroll på komponentene, hva som er installert og hvordan dette er ment å fungere.

• Sørg for at alle systemer og komponenter er konfigurert og satt opp på best mulig måte.

• Verifiser at tilganger kun er gitt basert på det som er nødvendig.

• Ha en fortløpende evaluering av helsetilstand på både utstyr og innloggede brukere – ha kontroll på hvem de er, og hva de gjør!

• Om endring i helsetilstand eller unormal oppførsel blir detektert, ha regler på plass som tilsier at identitet blir vurdert på nytt og tenk nøye over om tilgangen som er gitt fremdeles skal være den samme eller om den nå burde vært endret.

Husk at din sikkerhet er bare like sterk som den svakeste lenken. Hvis trusselaktøren først finner et avvik i bedriftens infrastruktur, er sannsynligheten stor for at aktøren vil klare å finne en vei inn i kritiske systemer og data. 

Kim Hansen, systemarkitekt i Sicra