1. Blogg
  2. Cybersecurity
  3. Stol aldri på noe eller noen – verifiser alltid

Stol aldri på noe eller noen – verifiser alltid

Identitet er årsaken

Enkelt forklart er prinsippet til Zero Trust å ikke stole på noen, hverken personer, lokasjoner eller enheter. Alt må verifiseres før tilgang blir gitt. Ved å følge Zero Trust modellen kan man sørge for at både brukere, enheter og applikasjoner får tilgang til virksomhetens IT-miljø, samtidig som man beskytter virksomheten. Det er en omfattende tilnærming der man må sikre at rette bruker har riktig tilgangsnivå, de rette ressursene, i riktig kontekst, og at denne tilgangen kontinuerlig evalueres – uten at brukeropplevelsen blir dårligere.

I disse dager er dette et høyaktuelt tema hvor ansatte i tillegg oppfordres til å jobbe utenfor kontoret, på usikrede hjemmenett og gjerne fra dårlig administrerte enheter. Bedriftens data er mer sårbar enn noen gang.

Zero Trust tar tid å implementere og er et arbeid som aldri blir ferdig.

Zero Trust modenhetskurve

Trinn 0: fragmentert identitet

For mange organisasjoner begynner modenhetskurven med en blanding av lokale og skybaserte applikasjoner. Disse applikasjonene er ikke integrert sammen eller med lokale kataloger som Active Directory.

Dette betyr at identiteter håndteres på ulike måter i en rekke forskjellige systemer. I tillegg blir ofte skybaserte applikasjoner håndtert uten innblanding fra IT og deres kunnskap.

Brukeropplevelsen er ikke den beste, og mange pålogginger er basert på mange forskjellige (sannsynligvis svake) passord. Det er ikke noe klart syn på hvem som får tilgang til hva, og det er potensielt store muligheter for angripere til å utnytte tilgangen til individuelle systemer.

Trinn 1: Enhetlig Identity and Access Management (IAM)

Det første trinnet i å løse sikkerhetsgapet, som betyr å ikke ha en ensartet måte å håndtere identiteter på, er å konsolidere under et IAM-system, både lokalt og sky. Denne trinn 1-konsolideringen, via single sign-on (SSO), er avgjørende for å administrere tilgangen. Det bør ikke være begrenset til bare interne brukere, men for alle brukere som trenger tilgang til en tjeneste, som for eksempel samarbeidspartnere. Legger man til en andre autentiseringsfaktor til det sentraliserte tilgangspunktet for identitet, vil det bidra ytterligere til å dempe angrep rettet mot identitetsinformasjon. I tillegg er ensartet tilgangspolitikk mellom applikasjoner og mot servere nøkkelen til suksess.

Trinn 2: Intelligent tilgang

Når IT har sluttet seg til IAM, er neste trinn i Zero Trust-sikkerhet å lagre kontekstbasert tilgangspolitikk. Dette betyr å samle informasjon om brukeren (dvs. Hvem er de? Er de i en risikofylt brukergruppe?), applikasjonsinformasjon (dvs. Hvilken applikasjon prøver brukeren å få tilgang til), enhetstilkobling, plassering og nettverk, samt bruk av tilgangspolitikk basert på denne informasjonen. For eksempel kan det settes inn en policy som tillater sømløs tilgang til administrerte enheter fra bedriftsnettverket, men enheter som ikke administreres og som logger inn fra nye lokasjoner, vil bli bedt om å gjøre multifaktorautentisering. Organisasjoner kan også velge å blande flere faktorer i forskjellige brukergrupper for å øke autentiseringen basert på en forståelse av disse. For eksempel kan brukere med lav risiko uten smarttelefoner bruke engangskoder, mens andre brukere som trenger tilgang til en applikasjon med forretningssensitive data, kan bli pålagt å bruke harde tokens for å autentisere til en tjeneste.

Livssyklusstyring av brukere er viktig, for eksempel i tilfeller der en rolle endres, så skal automatiserte funksjoner for tilgang til verktøyene han / hun trenger for å utføre arbeidet sitt, endres. Eller, i tilfelle av en oppsigelse, når all tilgang automatisk skal oppheves. Dette reduserer risikoen for løse kontoer eller tilgang etter avsluttet arbeidsforhold.

Til slutt bør disse tilgangskontrollene utvides til å omfatte all teknologi som brukes av de ansatte, inkludert sikker tilgang til APIer som er byggesteinene i moderne applikasjoner, men som kan eksponere sensitive data på nettet.

 

Share