Det ledende nultillidsprincip – ”aldrig stole på, altid verificere” – er blevet en vigtig praksis for at sikre nutidens komplekse og forskelligartede cloud-netværk. For ikke så længe siden kunne du låse din virksomheds hoveddør, sikker på, at alle dine værdifulde oplysninger var sikre inden for disse vægge. Så fulgte bærbare computere og diske og hukommelsesstik – og så ofte ville du høre en historie om, at nogen efterlod statshemmeligheder på et tog et sted. I dag er din virksomheds data potentielt tilgængelige overalt, hvor der er forbindelse. Og med den hidtil usete stigning i fjerntliggende og distribuerede arbejdsstyrker, at "hvor som helst" kan bogstaveligt talt være "overalt på kloden".

I disse dage kører de bedste softwareløsninger i skyen – for ikke at sige noget om de millioner af tilsluttede enheder og aktiver i verdens industrielle IoT-netværk. Og selv om cloud-applikationer typisk ikke er mindre sikre end on-premise-programmer – tværtimod, faktisk – er der nye risici i nutidens forbundne verden. Digitale teknologier og cloud-teknologier har udvidet, hvad sikkerhedseksperter kalder hver organisations angrebsoverflade.

Traditionelle cybersikkerhedsprotokoller blev modelleret på ideen om, at brugere skulle igennem sikkerheden ved virksomhedens virtuelle hoveddør og derefter have løbet af stedet, når de kom indenfor. De blev med andre ord udviklet i en pre-cloud verden. Men nu er der flere adgangspunkter – en medarbejders personlige telefon eller en IoT-printer kunne vaere en potentiel portal – og virksomhederne har måttet slå ned på deres sikkerhedsstrategier. Med cyberangreb på et rekordhøjt niveau bør netværkssikkerhed være i en prioriteret position øverst på din opgaveliste. Nul tillidsimplementering kræver engagement og samarbejde på tværs af hele din virksomhed.

Nultillid: Definition og strategi

John Kindervag arbejdede som analytiker hos Forrester Research i 2010 – på et tidspunkt, hvor cloud-applikationer og IoT-enheder begyndte deres hurtige stigning. Kindervag erkendte med rette den enorme følsomhed og værdi af de data og intellektuelle ejendomsrettigheder, der opbevares i Forresters systemer. Som svar på denne voksende risiko opfandt han begrebet nul tillid og ledede udviklingen af mange af dets kerneprincipper.

Nul tillid kan defineres som en IT-sikkerhedsmodel, der kræver, at alle brugere og potentielt tilsluttede enheder nøje verificerer deres identitet, uanset om de befinder sig i eller uden for virksomhedens perimetre. Zero Trust Architecture (ZTA) er afhængig af en række processer og protokoller samt dedikerede digitale løsninger og værktøjer til at opnå succes.

Zero Trust Network Access (ZTNA) er anvendelsen af nul tillid arkitektur, som Gartner definerer som oprettelsen af "en identitets- og kontekstbaseret, logisk adgangsgrænse omkring en applikation eller et sæt af applikationer." Dette fjerner disse applikationer fra offentlig visning og tillader kun de brugere, der er verificerede, og som overholder forudspecificerede adgangspolitikker.

Men i virkeligheden begynder nul tillid som en kulturel transformation i din organisation. Vi har tendens til at tænke på cybersikkerhed i form af dårlige aktører, der stræber efter bevidst at forårsage skade, men desværre er det ofte uvidenhed snarere end ondsindet, der fører til risiko og tab. Faktisk viser en nylig rapport en stigning på 48 % i e-mail-angreb i bare første halvdel af 2022, hvor medarbejderne blev lokket ind i svindel eller røbede detaljer som følge af phishing. Dette illustrerer, hvorfor uddannelse og kulturel buy-in er så kritisk en komponent i nultillidsgennemførelsen.

Hvorfor er nultillidsprincipper så nødvendige lige nu?

Der er ikke megen tvivl om, at cyberangreb er stigende. I 2022 blev der gennemført en større undersøgelse med deltagelse af 1.200 store organisationer på tværs af 14 forskellige sektorer og 16 lande. På trods af prioriteringen af cybersikkerhed indrømmede mange af respondenterne, at de havde utilstrækkelig sikkerhed. Faktisk viste resultaterne en alarmerende stigning på 20,5 % i antallet af væsentlige overtrædelser i månederne mellem 2020 og 2021.

Følgende er nogle af de andre sikkerhedsudfordringer, som nutidens virksomheder står over for:

• Legacy firewalls. Mange virksomheder er alt for afhængige af firewalls, der går forud for udbredelsen af cloud-forbindelse. VPN er en levedygtig band-hjælp til at øge firewalls, men de er ikke en effektiv langsigtet løsning på grund af deres begrænsede omfang og tendens til at bremse business app ydeevne, hvilket igen påvirker medarbejdernes produktivitet.
• Verificeringskompleksitet. Enhedsagnostisk software er fantastisk for brugerne, men tilføjer et komplekst lag til sikkerhedsprotokoller. Selv når brugerne har firmatelefoner og bærbare computere, er de kun lige så sikre som de verifikations- og sikkerhedsprotokoller, der er på plads for at beskytte dem.
• Tredjepartsenheder. Med pandemien blev hele arbejdsstyrken sendt på arbejde hjemmefra – næsten fra den ene dag til den anden. Mange virksomheder havde ikke andet valg end at lade medarbejderne bruge deres egne computere og enheder. I mange tilfælde blev der etableret sikkerhedsløsninger for at holde forretningen kørende og lyset tændt. Men for mange virksomheder har de endnu ikke ryddet op i disse midlertidige foranstaltninger og gennemført mere skudsikre nultillidsforanstaltninger for deres fjernansatte.
• Uautoriserede applikationer. Brugen af SaaS business apps er på en stabil opadgående bane. Desværre er mange it-teams udstrakt tynde, hvilket ofte får brugerne til at ty til at købe deres egne apps og bruge dem inden for virksomhedens netværk, uden at informere deres it-teams. Ikke alene er disse apps ikke underlagt streng nultillidspraksis, men de kan også have overgået sikkerhedsforanstaltninger helt.

• IoT-forbindelse. En industriel IoT-enhed kan være lige så enkel som en ventilator eller en svejsemaskine. Fordi disse enheder ikke betragtes som en "computer" af nogen art, kan brugerne nemt glemme, at de er et potentielt adgangspunkt i virksomhedens netværk. Nultillidsarkitektur sætter automatiseringer og processer på plads, der sikrer sikkerhed for alle slutpunkter, maskiner og IoT-aktiver.
• Omnichannel-portaler. Medarbejdere er ikke de eneste i din virksomheds cloud. I stigende grad ser vi tilsluttede enheder som smarte hylder i butikker og "betal overalt" mobilapps. Enhver af disse omnichannel-portaler udgør en risiko. Nul tillid hjælper med at sikre disse risici uden unødig ulejlighed eller forsinkelse for dine kunder.
• ERP-sikkerhedsudfordringer. I årevis var ERP-systemer begrænset til visse planlægnings- og finansieringsopgaver og havde et begrænset antal brugere inden for forretningen. Nutidens bedste cloud-ERP-systemer er dog drevet af AI, avancerede analyser og kraftfulde, skalerbare databaser. De har evnen til at integrere med forskellige applikationer og systemer på tværs af virksomheden og bliver i stigende grad udnyttet til at optimere og strømline alle driftsområder. Moderne ERP-systemer har avancerede sikkerhedssystemer indbygget, men som ethvert system har de sårbarheder, som kun sammenkobles med større rækkevidde og tilgængelighed. Nul tillidsprincipper, når de anvendes på stærk cloud ERP-sikkerhed, hjælper med at beskytte din virksomhed på alle stadier.

Hvordan virker nul tillid?

Nul tillid kombinerer et sæt teknologier og protokoller såsom multifaktorgodkendelse, løsninger til slutpunktssikkerhed og cloud-baserede værktøjer til at overvåge og verificere en række attributter og identiteter – fra brugere til slutpunkter. Nul tillid kræver også kryptering af data, e-mails og arbejdsbelastninger for at sikre deres sikkerhed. I bund og grund, nul tillid protokoller:

• Styr og begræns netværksadgang fra alle, hvor som helst, via enhver enhed eller et aktiv
• Verificer en bruger eller et aktiv, der gør eller kan få adgang til et hvilket som helst niveau i netværket
• Registrere og inspicere al netværkstrafik i realtid

En nultillidssikkerhedsmodel bruger en behovs-til-kend-politik. Det betyder i bund og grund, at brugerne kun har adgang til de data og applikationer, de har brug for til at udføre deres job. Og endnu en gang er teknologien det dobbeltkantede sværd i kapløbet om bedre cybersikkerhed. Efterhånden som digitale løsninger og konnektivitet forbedres, skaber de en større angrebsoverflade, så der kræves bedre og hurtigere sikkerhedsteknologier for at kunne følge med. Og ikke bare følge med, men også forårsage minimal ulejlighed og disruption for brugeren. Dette kræver meget fleksible og dynamiske sikkerhedspolitikker understøttet af kontekstuel information og den maksimale mængde tilgængelige datapunkter – og i realtid. Hvem er denne person? Hvor er de? Hvad prøver de at få adgang til? Hvorfor har de brug for den adgang? Hvilken enhed eller hvilket slutpunkt kommer de ind på?

Fordele ved nultillidsløsninger

På deres alvorligste kan brud på datasikkerheden være katastrofale. Dine kunders private data er på spil, og det samme gælder din økonomi, din intellektuelle ejendomsret og selvfølgelig dit gode omdømme. Ligesom forsikring kan sikkerhedsinvesteringer virke som en stor udgift… indtil du har brug for dem. Og så ligner de en lille pris at betale for at beskytte din virksomhed.

Nogle af de mange fordele ved nultillidsløsninger omfatter:

• Beskyttelse af hybride og fjerntliggende arbejdsstyrker. Vi har diskuteret, hvordan fjernansatte og personlige enheder har taget cybersikkerhedsspillet op. Men det er ikke kun din virksomhed, der er i fare. Cyberkriminelle kan målrette dine medarbejdere personligt, så det er vigtigt at sikre, at der er strenge foranstaltninger på plads for at reducere deres risiko og din.
• Støtte agilitet og nye forretningsmodeller. For at kunne konkurrere og håndtere forstyrrelser skal virksomhederne kunne pivotere og udforske nye forretningsmodeller. Det betyder onboarding af nye applikationer, software og forbundne aktiver. Sikring af sikkerheden under disse omstændigheder er en skræmmende opgave, hvis den håndteres manuelt. Heldigvis kan de bedste nultillidssoftwareværktøjer fremskynde tingene med intelligent automatisering og tilpassede løsninger, der sikrer, at alle afgørende skridt tages.
• Reduktion af it-ressourceudgifter. Spørg enhver it-professionel, hvor meget tid de bruger på manuelle sikkerhedsopgaver – svaret er nok ”for meget”. Når virksomheder flytter deres centrale virksomhedssystemer til skyen, kan sikkerhedsrettelser og opdateringer automatiseres og udføres i baggrunden. Dette gælder også for sikkerhedsprotokoller uden tillid. Fra brugere til slutpunkter kan mange af de centrale krypterings- og verificeringsopgaver, der er forbundet med nul tillid, automatiseres og planlægges.
• At levere en nøjagtig opgørelse. Nul tillidsprincipper kræver, at virksomheden opbevarer en nøjagtig fortegnelse over alle aktiver, brugere, enheder, applikationer og forbundne ressourcer. Med de rigtige løsninger på plads kan lageropdateringer indstilles til automatisk opdatering, hvilket sikrer nøjagtighed i realtid. I tilfælde af et forsøg på overtrædelse er dette et uvurderligt undersøgelsesværktøj. Desuden har virksomheder ofte millioner bundet op i anlægsaktiver, så en præcis opgørelse er også en økonomisk fordel.
• Leverer en bedre brugeroplevelse. Traditionelle verifikationsprocesser kan være langsomme og vanskelige at styre. Dette førte til, at brugerne enten forsøgte at omgå sikkerhedsprotokoller, eller endda undgik brugen af essentielle vaerktøjer og applikationer på grund af, at de var vanskelige at bruge. De bedste nultillidsløsninger er bygget til at være uforstyrrende og lydhøre, hvilket afhjælper medarbejderne fra besværet med at opfinde (og derefter glemme) adgangskoder og langsomme bekræftelsesprocesser.

Bedste praksis for nultillid: Kom godt i gang

Der er flere opgaver, som du skal udføre, når din nultillidstransformation er begyndt. Dette omfatter katalogisering af dine assets, definition af segmenter i din organisation og klassificering af dine data for en mere smidig overgang.

Nul tillid begynder med en forpligtelse, og følgende trin kan hjælpe dig med at komme i gang:

• Deleger. Dit IT-team er allerede for optaget. Overvej at inddrage eller udnævne en dedikeret ekspert inden for håndtering af cybersikkerhedsændringer, som kan hjælpe dig med at reducere risici, spotte muligheder for forbedringer og opbygge en brugbar køreplan.
• Kommuniker. Lad os se det i øjnene, dine medarbejdere vil ikke straks blive begejstret over nyheder om strengere sikkerhedsforanstaltninger. Når du investerer i bedre sikkerhed, bør du også investere i mere engagerende beskeder og kommunikation omkring denne transformation. Der er masser af virkelige eksempler på farerne ved cyberkriminalitet. Hjælp dine teams med at forstå, at det ikke kun er C-suiten, der bliver ramt af et databrud – det koster job, påvirker enkeltpersoner og truer virksomhedens overlevelse.
• Kontrol. I samarbejde med en sikkerhedsspecialist kan du oprette en tjekliste over sikkerhedsrisici og revidere hvert forretningsområde. Nedbryd siloer, og få kontakt til fagspecialister på tværs af dit team. De ved bedre end nogen, hvor svaghederne og sårbarhederne er i deres områder – især i komplekse, globale operationer som forsyningskæder og logistik.
• Prioriter. Bestem den relative vigtighed og vigtighed af alle dine forretningsoperationer og -opgaver, og tildel en vurdering. Bestem en rolesbaseret vurdering af, hvem der kritisk har brug for adgang til tingene, og hvem der mindre har brug for det. Denne indledende prioritering vil også hjælpe dig med at forberede dig til mikrosegmentering, som er en grundlæggende komponent i nul tillid – forhindrer lateral bevægelse og dens tilknyttede eksponering for dataovertrædelser.

I dagens verden af eufemismer og omhyggelig sprogbrug kan nul tillid synes dine medarbejdere som et noget kynisk udtryk. Så kom ud foran det, når du introducerer nul tillid til dine teams. Fortæl dem i starten, at dette på ingen måde betyder, at du ikke stoler på dem. Det er de cyberkriminelle, som ingen skal stole på – fordi de kan få tingene til at virke som noget, de ikke er. De kan snige sig ind gennem de taetteste huller og når først de er inde, er de ligeglade med, hvem de skader.