Hva er Zero Trust?
Zero Trust er et hett «buzzword» for tiden, men det er kanskje ikke helt intuitivt hva det egentlig går ut på. Kjernen er at bedriften ikke skal stole blindt på noe eller noen, enten i kraft av hvem de sier de er eller hvor de befinner seg i systemene sine.
Arne Vedø-Hansen
12. oktober 2021
Det høres kanskje litt utrivelig ut at bedriften skal operere med «zero trust» – altså null tillit. Slik IT-systemer og -tjenester fungerer i dag blir det stadig mer nødvendig for å klare å opprettholde datasikkerheten.
Lokal tilgang og sikkerhet
Tidligere var arbeid og data tett knyttet opp til konkrete lokaler med stedbundne datamaskiner og lokale nettverk og servere. Angrepene man måtte unngå, var de som kom utenfra. Så lenge man var innenfor bedriftens fysiske vegger og nettverk, hadde man enkel tilgang til det aller meste.
Kompleksiteten endrer sikkerhetsbildet
Med dagens strukturer blir dette bildet mye mer komplekst. De ansatte jobber gjerne både hjemmefra og fra hytta, og må kanskje også ha tilgang fra mobilen når de er på ferie. Ofte skal også leverandører, samarbeidspartnere og andre eksterne ha tilgang til bedriftens data.
I tillegg har antall systemer og tjenester vokst voldsomt, og de aller fleste virksomheter har tatt i bruk skytjenester. Dette gjør at vi trenger en ny måte å tenke sikkerhet på.
Sikkerheten forsterkes med kontinuerlig autentisering
Uten bedriftens fysiske vegger og brannmurer å beskytte seg bak, er identiteter og autentisering det viktigste sikkerhetsverktøyet de har.
Zero Trust handler om:
→ Å sørge for at enhver identitet verifiseres før tilgang blir gitt til bedriftens data og systemer
→ Det finnes ingen omstendigheter hvor man skal stole på at brukeren er den han sier han er
→ Selv om det ser ut til at brukeren er på et sted bedriften anser som pålitelig, skal vi ikke stole på dette
Flere faktorer bør undersøkes
For å være trygg på at selve autentiseringen er pålitelig og sikker nok, bør man undersøke flere faktorer. Det holder ikke bare med et passord som kan lekkes eller gjettes. Et godt første skritt er to- eller multifaktorautentisering som sikrer at brukeren som forsøker å logge seg på, er den han sier han er.
Kontekstbasert tilgang
I tillegg er det en rekke faktorer man kan se på for å vurdere risikoen ved påloggingen – såkalt kontekstbasert tilgang:
- Hvilken applikasjon eller tjeneste er det man prøver å få tilgang til? Hvor sensitive er dataene man får tilgang til der?
- Hvilken bruker er det som prøver å få tilgang? Er det for eksempel en vanlig eller en privilegert bruker?
- Hvilken IP-adresse logger brukeren seg på fra? Er det en kjent eller ny IP-adresse? Er det en IP-adresse som vi har fått varslinger om fra overvåkingstjenester eller som tilhører en kjent anonymiseringstjeneste?
- Hva slags enhet brukes? Er det en kjent enhet som er brukt før, eller er den ny?
- Hvor befinner brukeren seg? Er det der vi har kontorer, eller er det et tilfeldig sted i Brasil? Er det et nytt sted eller et sted som brukerne våre har vært mange ganger? Er det et sted som ligger 1000 kilometer unna der brukeren så ut til å befinne seg for fem minutter siden?
Basert på alle disse evalueringene kan man regne ut risikoen ved påloggingen, og sette krav til identifiseringen på bakgrunn av det. For eksempel ved å kreve flere faktorer eller rett og slett avvise innloggingen fullstendig, hvis man anser den som for risikabel.
Tilgangsstyring og synlighet
Et annet prinsipp i Zero Trust er tilgangsstyring. Kort sagt handler det om å sørge for å kun gi brukere tilgang til det de trenger for å gjøre jobben sin.
I tillegg kan man segmentere nettverket basert på data- og brukergrupper. Det vil si at dersom én brukerkonto med sitt tilgangsnivå blir utsatt for angrep, så vil ikke angriperne kunne benytte denne til å få tilgang til så altfor mye mer.
Zero Trust-metoden anbefaler full synlighet og logging av hendelser, slik at all trafikk og alle innloggingsforsøk kan overvåkes i sanntid og undersøkes i ettertid. Dermed vil man kunne hele tiden lære av det og videreutvikle autentisering, risikovurdering og tilgangsstyring.
Med Zero Trust sørger bedriften for at de riktige brukerne har riktig tilgangsnivå til de rette tjenestene i den rette konteksten – og at systemene er i stand til å kontinuerlig vurdere disse faktorene og tilpasse seg endringer og justeringer på en smidig måte.