Zero Trust - Så ökar du organisationens skydd mot cyberattacker

I takt med digitaliseringens framfart har hotet från cyberkriminella ökat och de som vill begå brott inom IT-området har både blivit fler och mer kompetenta. Idag är cyberattacker vanliga och cybersäkerhetsarbetet står därför högt på de flesta företags agenda.

Hotbilden mot företag idag har förändrats och frågan är inte längre om utan när man kommer att drabbas av ett cyberintrång. 

–Ransomware-attacker där hotaktörer vill komma åt pengar genom att utöva utpressning blir allt vanligare. Ur det perspektivet är alla organisationer idag potentiella måltavlor för intrång, säger Jesper Blomé, Head of Security and Compliance på Iver.

Traditionella säkerhetsprinciper har främst fokuserat på att i största möjliga mån förhindra attacker och intrång utifrån mot de egna nätverken och systemen. Synsättet har varit att allt det ”onda” finns på utsidan och att man därför behöver skapa ett oigenomträngligt perimeterskydd. Problemet med denna typ av säkerhetslösningar är att resurserna på insidan blir relativt oskyddade då det finns en inbyggd tillit i lösningen – allt och alla på insidan litar man på.

– Detta kan liknas vid att du som anställd blippar in dig via ditt passerkort till kontorsbyggnaden, och när du väl är inne så kan du röra dig helt bekymmerslöst överallt eftersom du anses vara en pålitlig anställd. Ett intrång i ett sådant nätverk kan få förödande konsekvenser i och med att inkräktarna då har full access till system och data, säger Jesper Blomé.

Som komplement till traditionella säkerhetsprinciper behövs därför en säkerhetsmodell där ”Trust” är centralt och man tillämpar tillitsbaserad åtkomstkontroll. Zero Trust utgör ett sådant komplement. Chung-wai Lee, Security Specialist på Cisco, utvecklar detta vidare;

– Dagens cyberhot handlar väldigt sällan om att angripare lägger ett stort fokus på att hacka sig in i nätverk och system – i stället loggar de enkelt in med stulna inloggningsuppgifter. Vi kan därför inte längre blint lita på användare och enheter som vi känner till – utan måste aktivt arbeta med tillitsbaserad åtkomstkontroll för att systematiskt minska risker och möjliga attackytor.

Vad är Zero Trust?

Zero trust kan beskrivas som ett strategiskt synsätt och en filosofi kring hur dagens IT-säkerhetshot bör tacklas för att skydda verksamheters viktigaste tillgångar – data – oavsett var de finns. Centralt inom Zero trust är att i alla lägen begränsa åtkomsten till minsta möjliga. I praktiken innebär det att all åtkomst nekas tills användare, enheter och applikationer verifierats och godkänts.

Zero Trust bygger på antagandet om att ”aldrig lita på - alltid verifiera” och ger därmed inte utrymme för inbyggd tillit och säkra zoner. I stället utgår man ifrån att intrång kommer att ske och att potentiella hot finns både innanför och utanför traditionella nätverksgränser. Utifrån det antagandet utvecklas processer, metoder och verktyg för att upptäcka och hantera dessa.

I stället för att anta att allt bakom brandväggen är säkert, utvärderar man med Zero Trust varje enskild begäran, vid varje givet tillfälle.

På så sätt förflyttas säkerhetsbarriären från att vara ett perimeterskydd till att skydda varje enskild enhet i ett system eller nätverk.

– Med Zero Trust skapar man förutsättningar att upptäcka cyberattacker och har rätt verktyg för att snabbt och framför allt metodiskt isolera och stoppa intrång när de väl sker, säger Jesper Blomé, Head of Securit and Compliance på Iver.

Vilka principer bygger Zero Trust på?

Konceptet kring Zero Trust har utvecklats över tid och det finns idag en mängd olika Zero Trust-modeller. Några exempel är Jericho Forum, Forresters Zero Trust, Zero Trust xTended, Googles BeyondCorp och Gartners Carta.

Varje modell har sin egen tolkning, men det finns ett antal handfasta principer som är gemensamma:

• Fokus bör ligga på att skydda data, inte på att stoppa alla attacker (en omöjlig uppgift)
• Alla nätverk (privata, publika, och moln) är ”onda” och ska anses som osäkra tills motsatsen bevisats
• Externa och interna hot existerar hela tiden och överallt
• Ingen åtkomst ska ges förrän användare, enheter och applikationer verifierats
• Auktorisera och kryptera allt (data, transaktioner och flöden)
• Tillit förändras och ska därför prövas kontinuerligt
• Alla aktiviteter ska loggas/övervakas

– Zero Trust som modell utgör ett gediget kravramverk och även om det idag inte finns några organisationer eller verktyg som kan uppfylla alla kraven som ställs, kan vi genom olika kompenserande kontroller (manuella som tekniska) jobba mot att komma så nära som möjligt, säger Chung-wai Lee, Security Specialist på Cisco.

Hur kan Zero Trust tillämpas i praktiken?

För att tillämpa Zero Trust tittar man på alla nätverk och system i en organisation och ifrågasätter all inbyggd tillit. Praktiska exempel kan vara att införa flerfaktor-autentisering vid inloggning – men också att man tittar på parametrar som rör enheten som ansluter.

– Det är intressant både att titta på varifrån enheten ansluter och om förfrågningarna följer användarens normala beteende. Det är till exempel inte rimligt att anslutningar i från en användare kommer från Sverige klockan 10 och Kina klockan 11, säger Jesper Blomé.

Ett annat exempel är att inte längre ge användare permanent administrativ åtkomst. Istället får användare vid varje enskilt tillfälle skicka en specifik förfrågan och får åtkomst under en begränsad tidsperiod. På så sätt prövas åtkomsten kontinuerligt.

Hur implementerar man Zero Trust i sin organisation?

Att gå över till ett Zero Trust-tänk är en omställning i mindset för hela organisationen, menar Chung-wai Lee Security Specialist på Cisco;

– I starten blir det centralt att få verksamhetsledningen att förstå vad syftet är och varför det är nödvändigt att inkludera en Zero Trust-strategi i organisationens digitaliseringsarbete. Det är också viktigt att alla inblandade förstår att det är en stegvis resa över tid. Detta då Zero Trust är en omfattande säkerhetsstrategi som innefattar både tekniska system och arbetssätt.

Jesper Blomé menar att de som ansvarar för IT-frågor i en organisation måste titta på koncepten som Zero Trust bygger på och se hur man kan implementera de på varje enskilt område; nätverk, system och klienter.

– Hur uppnår vi ”aldrig lita på – alltid verifiera” för vårt nätverk? För vilka system har vi inte flerfaktor autentisering (där vi borde ha det)? Och hur loggar och övervakar vi händelser för att se om ett intrång sker (och var det sker) – och var har vi byggt upp förmåga att hantera ett sådant hot?

Det finns många delar att se över kopplat till Zero Trust och även att implementera enskilda delar gör stor skillnad.

– När det kommer till cybersäkerhet blir man aldrig färdig utan det är ett kontinuerligt arbete som man får hålla liv i hela tiden. Därför ska man inte ha panik över att inte kunna göra alla delar på en gång. Varje organisation måste utifrån sitt utgångsläge prioritera insatserna till var de gör som mest skillnad, avslutar Jesper Blomé.