Zero Trust er ikke en enhet eller et enkelt produkt man kan kjøpe. Det er mer en metodikk som benyttes for å sikre bedriftens data. Det nye sikkerhetsperimeteret er ikke lenger definert av en organisasjons fysiske lokasjoner – den er nå strekt ut til alle lokasjoner og enheter som kjører, lagrer eller aksesserer bedriftens digitale ressurser og tjenester. Dette skjer ofte utenfor bedriftens lokasjonsbaserte sikkerhetsløsninger basert på brannmurer og VPN forbindelser. Bedrifter som utelukkende benytter slike tradisjonelle sikkerhetsmodeller, greier ikke å få den nødvendige ende til ende sikkerheten som den moderne arbeidsplassen krever. Dagens sikkerhet må omfavne den moderne arbeidsplassen og beskytte individer, enheter, applikasjoner og data uansett hvor de måtte befinne seg. Dette er kjernen i metodikken som kalles Zero Trust.

Nå jobber flere enn noen gang fra hjemmekontor samtidig som data og applikasjoner flytter ut i skyløsninger. Da er man ikke nødvendigvis lenger beskyttet bak den flotte brannmuren på kontoret, og det er derfor viktig at IT løsningene sikres på nye måter.

Hva går Zero Trust ut på?

For å forklare dette på en enkel måte er prinsippet for Zero Trust å ikke stole på noen, hverken personer, lokasjoner eller enheter. Alt må verifiseres før tilgang blir gitt. Personer og enheter må kunne verifisere seg før de får tilgang på de dokumenter, applikasjoner og data som de har tillatelse til. Dette må fungere uavhengig av om man er innenfor eller utenfor kontoret. Ansatte tar i dag med egne enheter og jobber fra hvor som helst uten å være innom bedriftens lokalnett. Sikkerheten må derfor bygges rundt brukerne, og de må identifisere seg på en trygg måte fra enheter som er verifisert sikre før de får tilgang til å jobbe med bedriftens data fra godkjente applikasjoner. Slik får bedriften sikret seg fra innsiden og ut.

Den tradisjonelle metoden for å ivareta bedriftens digitale eiendom kan minne om en borg med vollgrav basert på sikring av lokalnett, filstrukturer og serverløsninger. Dette har fortsatt en viktig rolle for bedriftens sikkerhet, men vi trenger nye løsninger for å også beskytte oss i dagens skybaserte verden. Vi må sikre påloggingen slik at vi vet med sikkerhet at det er riktig person som får tilgang. Vi må sikre at tilgangen skjer fra en enhet som har god nok helsetilstand, og vi må sikre at det er tilgang til kun de data man skal ha tilgang til på aktuelt tidspunkt. Dette må fungere selv om både brukere, applikasjoner, enheter og data er utenfor borgen og vollgraven.

«Det er mange fordeler med en Zero Trust-metodikk, og vi ser stadige eksempler hvor denne tilnærmingen kunne forhindret tap av data og sofistikerte cyber-angrep mot bedrifter.»

Mange bedrifter har i dag en praksis som avviker stort fra Zero Trust-metodikken. Mange har hørt om det, men vegrer seg fra å sette i gang tiltak for å få dette på plass – selv om de aktivt bruker skytjenester og tillater tilgang til bedriftens data fra enheter og applikasjoner de ikke har kontroll over. I disse dager er dette et høyaktuelt tema hvor ansatte i tillegg oppfordres til å jobbe utenfor kontoret, på usikrede hjemmenett og gjerne fra dårlig administrerte enheter. Bedriftens data er mer sårbar enn noen gang.

Maskinlæring, kunstig intelligens og automatikk

Organisasjoner må kunne tilby sikker tilgang til sine ressurser uavhengig av brukerens miljø. Før tilgang kan gis, må vi blant annet være sikre på brukerens lokasjon, brukerens rolle, enhetens helsetilstand samt kjenne klassifikasjonen på dataene de ønsker tilgang til. For å få en effektiv håndtering av dette benyttes automatiserte regler, maskinlæring og kunstig intelligens for å få den riktige balansen mellom sikkerhet og best mulig opplevelse for brukerne.

Det har historisk sett vært utfordrende og tungvint å få tilgang til internområder, dokumenter og andre data når du jobber fra andre steder enn arbeidsplassen. Den moderne arbeidsplassen gjør det enklere enn noen gang å jobbe hjemmefra og samtidig opprettholde produktivitet på en fleksibel måte. Zero Trust-metodikken underbygger og sikrer den moderne arbeidsplassen.

Ved å sette opp bedriftens sikkerhetsprosedyrer gjennom en Zero Trust-metodikk, vil den enkelte ansatte få tilgang til det en skal ha på en sikker måte fra hvor som helst i verden. Zero Trust-metodikken er rett og slett en ny måte å drive intelligent sikkerhet basert på automatisk håndheving av sikkerhetsregler for å sikre samsvar med tilgang i hele den digitale reisen. Basert på regelsett i forhold til bruker, enhet, applikasjon, informasjon om plassering og risiko kan man bedre kontrollere hvordan brukere får tilgang til bedriftens ressurser og tjenester. Regelsettene brukes til å bestemme om det skal tillates tilgang, nektes tilgang eller kontrollere tilgang med ekstra autentiseringsutfordringer (for eksempel flerfaktorautentisering), bruksvilkår eller tilgangsbegrensninger. Det hele understøttes av kunstig intelligens og maskinlæring.

Hvordan komme i gang

Sikkerhet er et område som stadig krever ettersyn og utvikling. Microsoft 365 har de verktøy man trenger for komme i gang med en Zero Trust-praksis. Det er viktig å huske at dette ikke er et arbeid man blir ferdig med. En Zero Trust tilnærming bør strekke seg over hele den digitale eiendommen til bedriften. Dette gjøres ved implementasjon på tvers av seks grunnleggende elementer: identitet, enhet, applikasjon, data, infrastruktur og nettverk. Hver av disse elementene er kilder som går inn i håndhevelse av sikkerheten, og er slik sett viktige områder å fokusere på.

1. Identitet
   Uansett om det gjelder personer, tjenester eller internet-of-things (IOT) enheter, har de identiteter som inngår i kjernen av Zero Trust. Ved tilgang til en ressurs, må identiteten verifiseres på en sikker måte og sjekkes opp mot gyldighet, normaliteter og tilganger. Med Azure Active Directory (Azure AD) og Intune kan bedriftene være trygge på at mobile ansatte kan få tilgang til ressurser på en sikker måte, uten at det går ut over produktiviteten. Når man jobber fra usikre nettverk kan man skru på MFA (Multi-faktor-autentisering) som vil sørge for at brukerne må bruke en form for bekreftelse på at de er den de utgir seg for å være før de får tilgang. Her kan man også benytte betinget tilgang basert på en total sikkerhetsvurdering knyttet til enhet, lokasjon, tidspunkt med mere.

   Tradisjonelt identifiseres identiteter ved brukernavn og passord uten enhetlig pålogging mellom tradisjonelle systemer og skybaserte tjenester. En mer avanserte form gir integrerte og federerte løsninger, betingelsesbaserte tilgangsløsninger med tilhørende analyser. Den optimale løsningen har passordløs tilgang og sanntids risikoanalyser.

2. Enhet
   Identitet og enheter er de primære elementene for sårbarhet i et cyberangrep. Når identiteten har fått tilgang til en ressurs, kan data flyte til en mengde forskjellige enheter som IOT enheter, smart telefoner, private enheter og administrerte bedriftsenheter. Dette mangfoldet gir en massiv angrepsflate, noe som krever overvåking og strenge krav til enhetens helsetilstand og samsvar for å sikre tilgangen.

   I en tradisjonell løsning er enhetene administrert gjennom tjenester som krever tilstedeværelse på lokalnettet til bedriften. I en mer avansert løsning er enheten registrert mot skybaserte løsninger for drift. Den optimale løsningen har automatiserte tjenester for deteksjon og monitorering.

3. Applikasjon
   Data blir betjent i applikasjoner. Dette kan være alt fra tradisjonelle lokale applikasjoner til skybaserte tjenester. Her må man sikre at rettigheter og tilganger blir ivaretatt. Her må man kunne kontrollere og sikre eventuell bruk av applikasjoner som brukerne innfører (skygge-IT). Løsningen må overvåke og ha sanntids analyse for å avdekke unormal adferd.

   Tradisjonelt sett er applikasjoner tilgjengelig på fysiske lokale nettverk og over VPN løsninger. Mer avanserte løsninger gir tilgang over internett med enhetlig pålogging (SSO) hvor kritiske applikasjoner er overvåket og kontrollert. En optimal løsning gir tilgang til alle applikasjoner med minste tilgangsrettigheter hvor man også har overvåking og monitorering på alle skybaserte applikasjoner.

4. Data
   Bedriftens data representerer bedriftens verdi, og de bør være sikre selv om de skulle forlate enheter, applikasjoner, infrastruktur og nettverk som er under administrasjon av bedriften. Data bør derfor klassifiseres, merkes og krypteres. Tilgangskontrollen kan så bestemmes ut fra attributtene tilhørende dataene.

   Tradisjonelt sett har man styrt tilgang basert på perimeter tilgang, og ikke dataenes sensitivitet. En mer avansert metode er å klassifisere og merke data, samt kryptering av data. Den optimale løsningen bygger på maskinlæring, skybaserte sikkerhetsregimer og regelverk for å hindre datatap med kryptering og sporing.

   Nettkriminelle ønsker å få tak i bedriftens data – for å kunne bruke dette på en eller annen måte – enten det er for å kryptere filer eller stjele informasjon. Med Microsoft Information Protection, kan man forbedre beskyttelsen av sensitiv informasjon—uansett hvor informasjonen befinner seg. Dataene vil kunne beskytte seg selv uten å måtte ligge i en gitt filstruktur. Microsoft 365 gjør det mulig å:
   – Identifisere og klassifisere sensitive data manuelt og automatisk
   – Bruke fleksible beskyttelsesregler
   – Overvåke og utbedre sensitive data som er i faresonen

5. Infrastruktur
   Telemetri bør benyttes for å oppdage angrep og unormal adferd knyttet til infrastruktur for å automatisk blokkere, varsle og ta beskyttende handlinger. Med Microsoft 365, kan bedrifter styrke sin evne til å beskytte, oppdage og svare på angrep med Microsoft sin integrerte og automatiserte sikkerhet. Her benyttes Microsoft Intelligent Security Graph og avansert automatisering som er drevet av kunstig intelligens (AI) for å forbedre identifisering og respons av hendelser. Slik kan sikkerhetstrusler løses nøyaktig, effektivt og raskt.
6. Nettverk
   Alle data blir konsumert over nettverk, og kontroller i nettverket kan bidra til å hindre at angripere beveger seg sideveis gjennom nettverket. Nettverk bør derfor være segmentert og ha sanntids beskyttelse, kryptering, monitorering og analyse implementert.

Microsoft 365 vil forenkle administreringen av sikkerheten dersom man ønsker å få på plass en Zero Trust-metodikk.

Når du skal vurdere hvordan du skal sikre dine data, enten de finnes i skyen eller på servere, vil vi anbefale en Zero Trust metodikk som den best egnede praksisen. Bakgrunnen for dette er hvordan arbeidssituasjon er for mange i dag – og vil være i all tid fremover. Metodikken er mest effektiv når den er integrert over hele den digitale verdikjeden. De fleste organisasjoner vil ha en fasebasert tilnærming rettet mot bestemte områder. Dette bygger ut fra modenhet, tilgjengelige ressurser og prioriteringer. Det første trinnet på reisen trenger ikke å være et stort løft eller en total omlegging, men gjerne en forlengelse av eksisterende løsninger og investeringer. Hvert steg på veien vil utgjøre en forskjell med tanke på å redusere risiko og sikre den digitale eiendommen. Det viktige er her å komme i gang.

Microsoft 365 kommer i ulike utgaver hvor man kan velge de verktøy og funksjoner man trenger. Med riktig nivå på grunnsikringen kan du fokusere på innovasjon og utvikling av egen forretningsdrift.

Skrevet av: Simon Skotheimsvik, Senior Systemkonsulent, Serit Møre.