Zero Trust – slik beskytter du organisasjonen bedre mot cyberangrep

I takt med digitaliseringen har også trusselen fra cyberkriminelle økt. De som vil begå IT-lovbrudd, har blitt både flere og mer kompetente. I dag er cyberangrep vanlige og arbeidet med cybersikkerhet er derfor høyt prioritert hos de fleste bedrifter.

Trusselbildet mot bedrifter har endret seg og spørsmålet er ikke lenger om, men når man vil bli utsatt for et datainnbrudd.

– Ransomware-angrep, der trusselaktører driver utpressing for å få penger, blir stadig vanligere. Ut fra det perspektivet er alle organisasjoner i dag potensielle mål for innbrudd, sier Jesper Blomé, Head of Security and Compliance i Iver.

Tradisjonelle sikkerhetsprinsipper har først og fremst fokusert på å hindre angrep mot og innbrudd i egne nettverk og systemer. Tanken har vært at alt det «onde» finnes på utsiden, og at man derfor må skape ugjennomtrengelig perimeterbeskyttelse. Problemet med denne typen sikkerhetsløsninger er at ressursene på innsiden forblir relativt ubeskyttet, siden løsningen er basert på innebygd tillit – man stoler på alt og alle på innsiden.

– Dette kan sammenlignes med at du som ansatt får tilgang til bygningen med adgangskortet ditt. Når du først er inne kan du bevege deg fritt siden du regnes som en pålitelig ansatt. Et innbrudd i et slikt nettverk kan få ødeleggende konsekvenser, da inntrengerne da har full tilgang til systemer og data, forklarer Jesper Blomé.

Som et komplement til tradisjonelle sikkerhetsprinsipper trenger man derfor en sikkerhetsmodell der «Trust» er sentralt og man tar i bruk tillitsbasert tilgangskontroll. Zero Trust er et slikt komplement. Chung-wai Lee, Security Specialist i Cisco, utdyper dette:

– Dagens cybertrussel handler veldig sjelden om at angripere hacker seg inn i nettverk og systemer – i stedet logger de seg enkelt inn med stjålet påloggingsinformasjon. Vi kan derfor ikke lenger stole blindt på brukere og enheter vi kjenner. I stedet må vi aktivt jobbe med tillitsbasert tilgangskontroll for å systematisk redusere risiko og potensielle angrepsområder.

Hva er Zero Trust?

Zero Trust kan beskrives som en strategisk tilnærming til, og en filosofi om, hvordan dagens trusler mot IT-sikkerhet bør håndteres for å beskytte virksomhetens viktigste ressurser – data – uansett hvor de befinner seg. Sentralt i Zero Trust er at man i alle situasjoner bør begrense tilgangen mest mulig. I praksis innebærer det at ingen brukere, enheter eller programmer får tilgang før de er verifisert og godkjent.

Ifølge Zero Trust må man «aldri stole på noen og alltid verifisere». Dermed gir tilnærmingen ikke rom for innebygd tillit og sikre soner. I stedet tar man utgangspunkt i at innbrudd vil forekomme, og at potensielle trusler finnes både innenfor og utenfor tradisjonelle nettverksgrenser. Med utgangspunkt i den antakelsen utvikler man prosesser, metoder og verktøy for å identifisere disse truslene.

I stedet for å anta at alt bak brannmuren er sikkert, vurderer man med Zero Trust hver enkelt forespørsel i hvert enkelt tilfelle.

På den måten går sikkerhetsbarrieren fra å være en perimeterbeskyttelse til å beskytte hver enkelt enhet i et system eller nettverk.

– Med Zero Trust skaper man forutsetninger for å oppdage cyberangrep. Med de riktige verktøyene kan man raskt, og ikke minst metodisk, isolere og stoppe innbrudd når de skjer, forklarer Jesper Blomé.

Hvilke prinsipper bygger Zero Trust på?

Zero Trust-konseptet har utviklet seg over tid, og det finnes i dag en rekke ulike Zero Trust-modeller. Noen eksempler er Jericho Forum, Forresters Zero Trust, Zero Trust xTended, Googles BeyondCorp og Gartners Carta.

Hver modell har sin egen tolkning, men de har noen konkrete prinsipper til felles:

• Fokus bør være på å beskytte data, ikke på å stoppe alle angrep (en umulig oppgave).
• Alle nettverk (private, offentlige og skybaserte) er «onde» og må regnes som usikre inntil det motsatte er bevist.
• Eksterne og interne trusler eksisterer hele tiden og overalt.
• Brukere, enheter og programmer må ikke gis tilgang før de er verifisert.
• Alt (data, transaksjoner og prosesser) må autoriseres og krypteres.
• Tillit endrer seg og må derfor sjekkes kontinuerlig.
• Alle aktiviteter må logges/overvåkes.

– Zero Trust som modell utgjør et enormt kravrammeverk. Selv om det i dag ikke finnes noen organisasjoner eller verktøy som oppfyller alle kravene, kan vi gjennom forskjellige kompenserende kontroller (både manuelle og tekniske) jobbe for å komme så nær som mulig, sier Chung-wai Lee, Security Specialist hos Cisco.

Hvordan kan Zero Trust brukes i praksis?

Når man skal ta i bruk Zero Trust, må man se på alle nettverk og systemer i en organisasjon og stille spørsmål ved all innebygd tillit. I praksis kan man for eksempel innføre flerfaktor-autentisering ved pålogging og se på parametere for enheten som kobler seg til.

– Det er interessant å sjekke både hvor fra enheten kobler seg til, og om forespørslene stemmer med brukerens vanlige atferd. Det er for eksempel ikke rimelig at samme bruker kobler seg til, fra Sverige klokken 10 og fra Kina klokken 11, sier Jesper Blomé.

Et annet eksempel kan være at man ikke lenger gir brukere permanent administratortilgang. I stedet sender brukerne i hvert enkelt tilfelle en spesifikk forespørsel og får tilgang i en begrenset periode. På den måten sjekker man tilgangen kontinuerlig.

Hvordan innfører man Zero Trust i egen organisasjon?

Å gå over til en Zero Trust-tankegang er en omstilling for hele organisasjonen, ifølge Chung-wai Lee, Security Specialist i Cisco:

– I starten er det sentralt å få ledelsen til å forstå hva formålet er, og hvorfor det er nødvendig å innføre en Zero Trust-strategi i organisasjonens digitaliseringsarbeid. Det er også viktig at alle involverte forstår at innføringen må skje trinnvis, og at det tar tid. Det skyldes at Zero Trust er en omfattende sikkerhetsstrategi som består av både tekniske systemer og arbeidsmåter.

Jesper Blomé mener at de som har ansvaret for IT-spørsmål i en organisasjon, må se på konseptene som Zero Trust bygger på, og vurdere hvordan de kan implementere dem på hvert enkelt område: nettverk, systemer og klienter.

– Hvordan kan vi i praksis «aldri stole på noen og alltid verifisere» i nettverket vårt? Til hvilke systemer mangler vi flerfaktor-autentisering (selv om vi burde ha det)? Hvordan loggfører og overvåker vi hendelser for å finne ut om det skjer innbrudd (og hvor det skjer) – og hvor har vi bygd opp evne til å håndtere slike trusler?

Zero Trust består av mange deler, og selv om man bare innfører noen av dem, har det stor effekt.

– Når det gjelder cybersikkerhet blir man aldri ferdig. Det er et kontinuerlig arbeid. Derfor må man ikke fortvile om man ikke får gjort alt på en gang. Hver organisasjon må ut fra sine forutsetninger legge innsatsen der den har størst effekt, avslutter Jesper Blomé.