2023-01-27 10:44

Så inför du äkta zero trust i fem steg

Vill ni ta steget vidare på resan mot nolltillit? De här stegen hjälper er att hålla strategin på rätt spår.

Nolltillit – eller zero trust – har länge varit den logiska efterföljaren till en säkerhetsmodell som bygger på att man bygger en yttre gräns i form av vallgravar eller murar – en modell som inte har fungerat särskilt bra för att skydda företag från cyberattacker och som håller på att bli påtagligt omodern i en tid då medarbetarna blir mer mobila och då applikationer flyttar till molnet.

Nolltillitsmodellen skapades för över tio år sedan av den tidigare Forresteranalytikern John Kindervag, men det har tagit tid för den att slå igenom. Ovilja till förändring tillsammans med farhågor om att det kan bli riskfyllt, komplext och dyrt att byta ut perimetersäkerhet mot något nytt gör att många har tvekat.

Allt detta ändrades när pandemin slog till, med tomma kontor och miljoner medarbetare arbetande hemifrån som följd. It-chefer flyttade snabbt applikationer till molnet för att göra dem mer tillgängliga, och började säkra uppkopplingarna med hjälp av metoder som ligger i linje med nolltillitsmodellen – som flerfaktorsautentisering, accesskontroll och SASE (secure access service edge), en molnbaserad tjänst som kombinerar anslutbarhet med säkerhet.

I praktiken gjorde detta att många företag nästan oavsiktligt inledde sin resa mot nolltillit, menar Steve Turner, analytiker på Forrester.

– Många av kunderna kommer nu tillbaka och frågar ’vad mer kan vi göra med nolltillit’? De inser att det finns en massa lösningar där ute som marknadsförs som nolltillit, och de vill navigera genom den här labyrinten för att förstå vad nästa steg egentligen är.

Det här är fem steg som säkerställer att er resa mot nolltillit håller sig på rätt spår och levererar värde till verksamheten.

Steg ett: Förstå vad nolltillit egentligen innebär

En del av förvirringen kring begreppet nolltillit har med ordet ”tillit” att göra. Som John Kindervag, idag ansvarig för cybersäkerhetsstrategi på säkerhetsleverantören On2it, formulerar det:

– Nolltillit handlar helt enkelt om att tillit är något vi behöver ta bort. Det är en mänsklig känsla som har introducerats i digitala system utan någon som helst anledning. Nolltillit är ett strategiskt sätt att förebygga dataintrång genom att tilliten tas bort från organisationen. Det här är rotat i principen av aldrig lita på – verifiera alltid.

Alla på företaget känner John och litar på John. Men när paket från en enhet som är kopplad till John kommer in på nätverket – hur vet vi att de verkligen kommer från John och inte från en hackare? Nolltillitsmodellen utgår helt enkelt från att antagandet att de kommer från John måste kontrolleras och verifieras. Det gör att policyer måste skapas för att bekräfta Johns identitet, kontrollera vilka resurser John har tillgång till, förebygga att John kan göra saker som faller utanför policyn och övervaka och logga alla Johns aktiviteter.

I praktiken betyder det här att en övergång från lösenord till flerfaktorsautentisering inte är tillräckligt, man behöver också fundera på (som vi ska se nedan) hur enheterna i sig – både plats och beteende – kan verifieras.

Steg två: Bestäm vad ni vill skydda

Syftet med nolltillit är att skydda verksamheten från dataintrång, och de konsekvenser sådana kan få när det gäller ekonomi, rykte och eventuella åtgärder från reglerande myndigheter. Ett viktigt steg på resan mot nolltillit är att bestämma vad ni faktiskt behöver skydda.

Det kan handla om data rörande kunder, anställda, ekonomi, immateriell egendom, affärsprocesser, applikationer eller tjänster som DNS eller Active Directory.

– Fokusera på verksamheten, säger John Kindervag. Om du inte känner din verksamhets behov kommer du inte att lyckas.

När ni har identifierat vilka data som behöver skyddas och var den finns är det dags att applicera principerna för nolltillit. Det innebär att man inför policyer som bara tillåter åtkomst baserat på behov och att all trafik till och från skyddad data övervakas.

Att ha säkerhetspolicyer på plats som säkerställer att känsliga data inte kan exfiltreras är kritiskt då det gör att hackare inte kan få den kontroll som behövs för många typer av attacker, inklusive gisslanattacker.

Kris Burkhardt, ciso på Accenture, menar att hans företag påbörjade resan mot nolltillit för 20 år sedan, i samband med att man beslutade att flytta många av företagets applikationer till molnet, så att de mycket mobila medarbetarna kunde ha tillgång till dem. Istället för att använda VPN – som var en dyr lösning på den tiden – gjorde Accenture det möjligt för medarbetarna att koppla upp sig via det publika nätet och en vanlig webbläsare – men införde också klientsäkerhetsåtgärder, flerfaktorsautentisering, identitets- och accesskontroller och mikrosegmentering.

– Företaget ger de mest kritiska informationssystemen särbehandling, med extra noggrann övervakning, accesskontroll och till och med ett krav på att två personer måste vara inblandade för att genomföra vissa saker, säger Kris Burkhardt.

Steg tre: Designa nätverket inifrån och ut

Perimetermodellen bygger på tanken att det finns en insida (företagets huvudkontor) där man kan lita på alla, och att det finns en utsida där man inte litar på någon alls. Gränsen skyddas med brandväggar och andra säkerhetsverktyg. Nolltillitsmodellen innebär att gränsen mellan insida och utsida försvinner, och ersätts med nätverkssegment som skapas för särskilda syften. John Kindervag föreslår att företag kan börja med en enskild dataström, exempelvis kreditkortsdata.

Kris Burkhardt menar att mikrosegmentering är ett sätt att snabbt skaffa sig problem, och att det lätt blir onödigt komplicerat.

– Men verktygen utvecklas snabbt på det här området, så det blir enklare och enklare. Det viktiga är att ha en tydlig strategi för segmentering och att implementera den korrekt, både lokalt och i molnet.

Han menar att några av de klassiska segmenteringarna innebär att man skapar ett mikrosegment för katastrofåterställning, separation mellan datacenter och applikationer och att man skapar ett särskilt segment för den ” demilitariserade zonen” för hantering av kopplingen mot internet.

Steg 4: Logga all trafik

John Kindervag menar att en viktig del av en arkitektur för nolltillit är att logga att trafik. Realtidsanalys av trafikloggar kan underlätta när det gäller att identifiera cyberattacker. Han lägger till att de stora mängderna telemetri som samlas in kan användas för att skapa en återkoppling som gör nätverket starkare med tiden.

Kris Burkhardt berättar att Accenture skickar sina trafikloggar till Splunk för en rad olika analyser. Man letar bland annat efter hot och försöker särskilja mellan skarpa hot där angriparen finns inne i miljön och de fall då hotdetektionen triggas på grund av någons misstag. Analyser av klientloggar kan göra att man kan se angriparens aktiviteter och ”hjälpa till att förstå vad som hänt forensiskt”.

Steg 5: Sikta högt, men börja med mindre steg

Resan mot nolltillit tar aldrig slut, menar Kris Burkhardt.

– Börja med ett mindre system och använd det som ett testfall. Se till att du har all kontroll, övervakning och alla loggar på plats. Det finns ingen anledning att stressa på det här, se till att göra allt rätt i det lilla innan du satsar på det stora. Och fokusera på att skydda kronjuvelerna i första hand – och gör det stegvis och icke-destruktivt.

På Accenture finns alltid mer arbete att göra på det här området – trots att de började tillämpa nolltillit innan begreppet ens var uppfunnet. Idag ligger fokus på molnet. Applikationsutveckling sker i molnet, applikationer flyttar dit och mer data än någonsin lagras i molnet.

– Jag håller noggrann koll på nya erbjudanden från molnleverantörerna som kan användas för att applicera nolltillit, säger Kris Burkhardt.

Han rekommenderar att andra ciso:s inser att säkerhetslandskapet har ändrats de senaste åren – tänk attacker på hela nationer, Solarwinds och gisslanattacker. Att fortsätta som vanligt håller inte.

– Teamen vet att världen förändras och att de måste förändras med den. Det är kanske läskigt, men det bästa är att omfamna förändringen och förstå att perimitermodellen förvisso har haft sitt värde under många år, men att nolltillit är betydligt mer flexibelt och att det är det enda sättet att lyckas i det publika molnet.

Neal Weinberg

Senaste nytt

2023-03-24 15:10Computer Sweden Viktor Eriksson Microsofts molnanvändare hamnade i Uzbekistan
2023-03-24 13:11CIO Sweden Mary K Pratt Ny som cio? Fall inte i de här fällorna
2023-03-24 12:20Computer Sweden Joakim Arstad Djurberg Boliden har valt konsulter – de ska ta gruvan till molnet
2023-03-24 11:28Computer Sweden Mikael Markander Meta vill inte betala operatörernas nätbyggen
2023-03-24 11:14Computer Sweden Mikael Markander SAP-kunder kräver att nya molnfunktioner även kommer till lokala installationer

100 Senaste

CIO Sweden

CIO Sweden är den självklara mötesplatsen för Sveriges CIO:er. Här finns nyheter, reportage, djuplodande intervjuer och event för svenska it-beslutsfattare.

Chefredaktör & ansvarig utgivare: Marcus Jerräng
Annonsansvarig: Lina Vikman
Teknikfrågor: Henric Jogin

Computer Sweden | CIO Sweden | IDG.se

Nyttiga länkar

Om

Besöksadress: Magnus Ladulåsgatan 65 106 78 Stockholm Tel: 08-453 60 00

Foundry

Sajter om it & teknik

CIO SwedenIt-strategi, affärsnytta och kundrelationer.
Computer SwedenDagliga nyheter om it, telekom och affärer.
IDG.seDe viktigaste nyheterna från sajterna i vårt nätverk.
M3Sveriges prylsajt.
MacWorldAllt om Mac, OS X, Iphone och Ipad.
PC för AllaSveriges största och mest lästa datortidning.
SmartworldDin guide till det smarta hemmet.

Tjänster

Karriär & ledarskap

Event

Stäng

Meny

IT för proffs

Het teknik

Samhälle & politik

Big Tech

Om

Neal Weinberg

Så inför du äkta zero trust i fem steg

Steg ett: Förstå vad nolltillit egentligen innebär

Steg två: Bestäm vad ni vill skydda

Steg tre: Designa nätverket inifrån och ut

Steg 4: Logga all trafik

Steg 5: Sikta högt, men börja med mindre steg

Neal Weinberg

CIO Sweden

Nyttiga länkar

Om

IDG.se

Nordens största it-nätverk

Foundry

Sajter om it & teknik

Tjänster

Karriär & ledarskap

Event