Skab en effektiv tilgang til sikkerhed med afsæt i Zero Trust
Som et led i temarækken ”Stay safe, start smart” vil Globeteams specialister inden for Infrastructure, Cloud og Security sætte fokus på, hvordan virksomheder på en pragmatisk måde kan arbejde med Zero Trust og benytte de værktøjer, de allerede har til rådighed til at sikre forretningen.
Hen over efteråret vil vi med en blanding af artikler og webinarer lave nedslag i hele eller dele af Zero Trust-tankegangen og enten komme med vores egne løsningsforslag eller lade eksterne fortælle om deres erfaringer med at ændre virksomhedens strategi fra en traditionel tilgang til IT-sikkerhed til Zero Trust.
I denne indledende artikel, skrevet af sikkerhedsrådgiver og leder af Globeteams Infrastructure, Cloud og Security-enhed, Jesper Krogh, får du en introduktion til Zero Trust, samt hvad du kan forvente at læse om i artikelseriens øvrige artikler og hente inspiration fra gennem fagligt inspirerende webinarer. Dem kan du også følge med i på Globeteams LinkedIn-side samt på www.globeteam.com.
Læs artikel 2 i serien om Zero Trust: Pragmatisk sikkerhed er første skridt på vej mod Zero Trust, som er skrevet af Jesper Krogh og Jesper Hanno Hansen.
Sikkerhedsudfordringer for virksomheder
I de seneste år har vi i medierne kunnet læse artikler om velrenommerede virksomheder, der er blevet udsat for sikkerhedsangreb, og som er kommet i alvorlige problemer, på grund af at deres IT-systemer er blevet kompromitteret.
I år har der været indtil flere forsøg på at udnytte de nuldagssårbarheder (zero-day), som Microsoft har haft med bl.a. PrintNightmare og Exchange, og som potentielt kan give hackere direkte adgang til en virksomheds netværk. Mere kritisk er det, at vi i 2021 har set eksempler på, at også andre softwarekomponenter i virksomheder er blevet benyttet til kompromittering. Her kan nævnes bl.a. Kaseya og Solarwinds.
Omfanget af de nye angrebsflader giver i høj grad anledning til en Zero Trust-tankegang, som er tilpasset kompleksiteten af det moderne IT-miljø og understøtter den hybride arbejdsplads. Men hvad handler Zero Trust egentlig om?
Hvorfor er Zero Trust vigtigt?
I en Zero Trust-strategi fjerner man ”trust” og arbejder ud fra en antagelse om, at virksomhedens systemer på et eller andet tidspunkt bliver kompromitteret. Dette kaldes også ”Assume Breach”. På samme tid tager man som virksomhed højde for en ”Blast Radius”, altså den radius af systemer som en kompromittering kan påvirke.
Zero Trust er velbeskrevet af NIST (National Institute of Standards and Technology) i det whitepaper, der kaldes ”Zero trust Architecture”. Af dette whitepaper fremgår det bl.a., at sikkerhed skal flyttes fra den statiske, netværksbaserede perimetersikkerhed til i stedet at fokusere på brugerne, data og de elementer (fx. systemer, services, komponenter, enheder, lokationer osv.), der tilgås.
Zero Trust-arkitektur tager således udgangspunkt i, at man ikke har en privilegeret adgang baseret på netværksforbindelse eller den fysiske lokation, virksomhedens brugere sidder på, og understøtter dermed, at brugernes adgange sker via internettet, egne enheder (BYOD), cloud-baserede tjenester som fx Office 365, Salesforce m.m. og de sikkerhedsmæssige problemstillinger, dette kan medføre.
Nuanceret tilgang til styring af adgangen til identiteter, data og enheder
Adgange i et Zero Trust-miljø gives ikke alene baseret på en implicit betingelse (som fx netværksplacering), men skal kontinuerligt evalueres baseret på en række forskellige elementer, hvor de vigtigste er:
- Identitet
- Hvilken adgang, der ønskes
- Hvilken enhed, der benyttes til adgangen
- Hvor dataene opbevares
Fokus er således at begrænse en brugers og enheds adgang til data eller services til ”Need to have” og ikke ”Nice to have”. Adgangene skal være minimale; eksempelvis skal man udelukkende give læseadgang til data, såfremt en bruger eller et system ikke har behov for at redigere disse data.
Vigtige trin mod en Zero Trust-model
Zero Trust er altså baseret på at forebygge uretmæssig adgang til ressourcer (data, services, printere osv.) og på samme tid benytte så granulerede adgange som muligt, hvor der ikke må være implicitte ”Trust zoner”, som fx netværket, og hvor uretmæssig adgang til et system ikke må kunne benyttes til at tilgå andre systemer.
En række specifikke principper, man som virksomheder bør benytte ved en Zero Trust-tankegang, er således:
- Alle datakilder og services skal ses som ressourcer, hvor adgange kontinuerligt skal evalueres
- Al kommunikation skal sikres, uanset hvor på netværket det er
- Adgange til ressourcer gives per session
- Adgange til ressourcer skal kontinuerligt evalueres af dynamiske politikker, som bl.a. skal fokusere på:
- Sikkerhedsstadie på klienten
- Klientens placering (netværk)
- Hvilke ressourcer der forsøges tilgået
- Virksomheden skal kontinuerligt evaluere og måle på sikkerhedstilstanden på alle aktiver på netværket og herunder fokusere på ”Continuous Security Improvements” (CSI).
Zero Trust er med andre ord ikke bare et produkt, man som virksomhed installerer eller en service, der startes på en server eller arbejdsstation. Det er en række principper og forholdsregler, der skal tænkes ind i alle implementeringer i virksomheden. Ligesom der altid skal tages højde for ”Assume Breach / Blast Zones” og begrænsning af adgange. Og sidst men ikke mindst at virksomheden med en Zero Trust-arkitektur ikke kan se hele netværket som værende en umiddelbart betroet zone.
Fakta: Cybersikkerhed er på agendaen
I undersøgelsen ”2021 Digital Business Survey” fra IDG fremgår det at 61 % af virksomhederne grundet Corona-pandemien er blevet tvunget til at igangsætte en ”digital first”-strategi – hvor næsten halvdelen (49 %) siger, at det er med fokus på at højne produktiviteten for medarbejderne (vha. Mobile Apps, adgang til data m.m.). Dette har så medført, at 58 % af virksomhederne siger, at cybersikkerhed er et nøglemål for virksomhederne, hvilket også understreges i: ”KPMG 2021 CEO Outlook Pulse Survey”, hvor 24 % af CEO’s siger, at deres virksomhed er ændret for evigt grundet pandemien. Samtidigt siger flertallet, at cybersikkerhed er den største fare for den fortsatte vækst i virksomheden.
Efter mange års eskalerende bekymring for cybertrusler lægger amerikanske administrerende direktører endelig ressourcer bag en bedre håndtering af cyberrisici. I den seneste undersøgelse sagde 71 % af amerikanske administrerende direktører, at de er “ekstremt bekymrede” over cybertrusler – forud for pandemier og andre sundhedskriser (46 %). Det viser CEO- undersøgelsen fra PwC gennemført i starten af 2021, som du kan læse her: 2021 CEO Survey: US findings: PwC
Det kan du lade dig inspirere af i artikelserien og webinarrækken om Zero Trust
Der er i dag mange gode muligheder for at starte på en Zero Trust-tilgang. Det beskriver vi nærmere i vores artikler og webinarer, hvor vi også deler ud af vores erfaringer med at designe og implementere Zero Trust.
- Artikel om: Zero Trust og om hvordan virksomheden skaber en effektiv Zero Trust-tankegang
- Webinar: Zero Trust og pragmatisk sikkerhed
- Artikel og webinar om: Identity and Access Management (IAM)
- Artikler og webinar om EndPoint Management og Security, Mobile Security
- Artikler og webinar om Hybrid Cloud og sikkerhed, Information Protection, Cloud App Security og sikkerhed i Microsoft 365
Uanset om I er enige eller uenige i vores tilgang eller overvejelser, hører vi gerne fra jer.
Stay safe, start smart
Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.
Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.
Læs mere om temarækken her
