Prinsippet om å sikre null tillit – “aldri stole på, alltid verifiser” – har blitt en viktig praksis for å sikre dagens komplekse og mangfoldige skybaserte nettverk. For ikke så lenge siden kunne du låse bedriftens inngangsdør, trygg på at all verdifull informasjon var sikker innenfor disse veggene. Så kom bærbare datamaskiner og disker og minnepinner – og hver så ofte ville du høre en historie om noen som forlot statshemmeligheter på et tog et sted. I dag er bedriftens data tilgjengelig potensielt hvor som helst der det finnes tilkoblingsmuligheter. Og med den enestående økningen i fjerntliggende og distribuerte arbeidskrefter, kan "hvor som helst" bokstavelig talt være "hvor som helst på kloden."

I disse dager kjører de beste programvareløsningene i skyen – for å si ingenting om millioner av tilkoblede enheter og ressurser i verdens industrielle IoT-nettverk. Og mens skyapplikasjoner vanligvis ikke er mindre sikre enn lokale – helt motsatt, faktisk – er det nye risikoer i dagens tilkoblede verden. Digitale og skybaserte teknologier har utvidet hva sikkerhetseksperter kaller angrepsoverflaten til hver organisasjon.

Tradisjonelle cybersikkerhetsprotokoller ble modellert etter ideen om brukere som gikk gjennom sikkerhet på selskapets virtuelle inngangsdør og deretter å ha driften av stedet når de kom inn. Med andre ord, de ble utviklet i en før-sky verden. Men nå er det flere tilgangspunkter – en ansatts personlige telefon eller en IoT-skriver kan være en potensiell portal – og bedrifter har måttet slå ned på sikkerhetsstrategiene sine. Med cyberangrep på et rekordhøyt nivå, bør nettverkssikkerhet være i en prioritert posisjon på toppen av gjøremålslisten. Implementering av nulltillit krever forpliktelse og samarbeid på tvers av hele virksomheten.

Null klarering: Definisjon og strategi

John Kindervag jobbet som analytiker ved Forrester Research i 2010 – på et tidspunkt da skyapplikasjoner og IoT-enheter begynte sin raske stigning. Kindervag anerkjente med rette den enorme sensitiviteten og verdien av data og intellektuell eiendom som innehas i Forresters systemer. Som svar på denne voksende risikoen innførte han begrepet null tillit og ledet utviklingen av mange av dens kjerneprinsipper.

Null tillit kan defineres som en IT-sikkerhetsmodell som krever at alle brukere og potensielt tilkoblede enheter strengt verifiserer identiteten sin enten de er innenfor eller utenfor selskapets omkretser. ZTA er avhengig av en rekke prosesser og protokoller, samt dedikerte digitale løsninger og verktøy for å oppnå suksess.

Zero Trust Network Access (ZTNA) er anvendelsen av nullklareringsarkitektur som Gartner definerer som opprettelsen av "en identitets- og kontekstbasert, logisk aksessgrense rundt en applikasjon eller et sett av applikasjoner." Dette fjerner disse applikasjonene fra offentlig visning og tillater i bare de brukerne som er verifisert og som overholder forhåndsspesifiserte tilgangspolicyer.

Men i virkeligheten begynner null tillit som en kulturell transformasjon i organisasjonen din. Vi har en tendens til å tenke på cybersikkerhet når det gjelder dårlige skuespillere som streber etter å forårsake skade, men dessverre er det ofte uvitenhet i stedet for ondskapsfull utvikling som fører til risiko og tap. Faktisk viser en nylig rapport en 48% økning i e-postangrep i bare første halvdel av 2022, der ansatte ble lurt til svindel eller avslørt detaljer som følge av phishing. Dette illustrerer hvorfor utdanning og kulturell innkjøp er en så kritisk del av null tillit implementering.

Hvorfor er prinsipper for null tillit så nødvendige akkurat nå?

Det er liten tvil om at cyberangrep er på vei oppover. I 2022 ble det gjennomført en stor undersøkelse som involverte 1200 store organisasjoner på tvers av 14 ulike sektorer og 16 land. Til tross for å prioritere cybersikkerhet, innrømmet mange av respondentene å ha utilstrekkelig sikkerhet. Faktisk viste funnene en alarmerende 20,5 % økning i antall materielle brudd i månedene mellom 2020 og 2021.

Følgende er noen av de andre sikkerhetsutfordringene som dagens bedrifter står overfor:

• Eldre brannmurer. Mange selskaper er altfor avhengig av brannmurer som før datoen for spredning av skytilkobling. VPN-er er en levedyktig band-hjelp for å øke brannmurer, men de er ikke en effektiv langsiktig løsning på grunn av deres begrensede omfang og tendens til å redusere ytelsen til forretningsappen, noe som igjen påvirker ansattes produktivitet.
• Kompleksitet i verifiseringen. Enhetsagnostisk programvare er flott for brukere, men legger til et komplekst lag til sikkerhetsprotokoller. Selv når brukerne har firmatelefoner og bærbare datamaskiner, er de bare like sikre som verifiserings- og sikkerhetsprotokollene som er på plass for å beskytte dem.
• Tredjeparts enheter. Med pandemien ble hele arbeidsstyrkene sendt på jobb hjemmefra – nesten over natten. Mange selskaper hadde ikke noe annet valg enn å la ansatte bruke sine egne datamaskiner og enheter. I mange tilfeller ble det etablert sikkerhetsløsninger for å holde virksomheten i gang og lysene på. Men for mange selskaper har de ennå ikke avdekket disse midlertidige tiltakene og iverksatt flere skuddsikre nulltillitstiltak for sine eksterne arbeidere.
• Uautoriserte søknader. Bruken av SaaS-forretningsapper er på en jevn oppadgående bane. Dessverre er mange IT-team strukket tynt, noe som ofte får brukerne til å ty til å kjøpe sine egne apper og bruke dem i firmanettverket, uten å informere sine IT-team. Ikke bare er disse appene ikke underlagt streng null tillitspraksis, men de kan også ha omgått sikkerhetstiltak helt.

• IoT-tilkobling. En industriell IoT-enhet kan være like enkel som en vifte eller en sveisemaskin. Fordi disse enhetene ikke anses som en "datamaskin" av noe slag, kan brukerne enkelt glemme at de er et potensielt tilgangspunkt i firmanettverket. Null tillitsarkitektur setter automatiseringer og prosesser på plass som sikrer sikkerhet for alle endepunkter, maskiner og IoT-ressurser.
• Omnikanal-portaler. Ansatte er ikke de eneste i forretningsskyen. I økende grad ser vi tilkoblede enheter som smarte hyller i butikker, og “betale hvor som helst” mobile apper. Noen av disse omnikanal-portalene representerer risiko. Null tillit bidrar til å sikre disse risikoene uten unødig ulempe eller forsinkelse for kundene dine.
• ERP-sikkerhetsutfordringer. I mange år tidligere var ERP-systemer begrenset til visse planleggings- og finansoppgaver og hadde et begrenset sett med brukere innenfor virksomheten. Dagens beste skybaserte ERP-systemer drives imidlertid av AI, avanserte analyser og kraftige, skalerbare databaser. De har evnen til å integrere med ulike applikasjoner og systemer på tvers av virksomheten, og blir i økende grad utnyttet for å optimalisere og effektivisere alle driftsområder. Moderne ERP-systemer har avanserte sikkerhetssystemer innebygd, men som alle systemer har de sårbarheter som bare er sammensatt med bredere rekkevidde og tilgjengelighet. Null klareringsprinsipper, når de brukes på sterk skybasert ERP-sikkerhet, bidrar til å beskytte virksomheten din på alle stadier.

Hvordan fungerer null tillit?

Nulltillit kombinerer et sett med teknologier og protokoller som flerfaktorautentisering, endepunktsikkerhetsløsninger og skybaserte verktøy for å overvåke og verifisere en rekke attributter og identiteter – fra brukere til endepunkter. Null tillit krever også kryptering av data, e-post og arbeidsbelastninger for å sikre deres sikkerhet. I hovedsak er null tillitsprotokoller:

• Kontrollere og begrense nettverkstilgang fra hvem som helst, hvor som helst, gjennom en hvilken som helst enhet eller ressurs
• Verifiser alle brukere eller ressurser som har eller kan få tilgang til et hvilket som helst nivå i nettverket
• Registrere og kontrollere all nettverkstrafikk i sanntid

En nullklareringssikkerhetsmodell bruker en policy som er nødvendig å kjenne til. Dette betyr i hovedsak at brukerne bare har tilgang til dataene og applikasjonene de trenger for å utføre jobbene sine. Og nok en gang er teknologien det tveeggede sverdet i kappløpet for bedre cybersikkerhet. Etter hvert som digitale løsninger og tilkoblingsmuligheter forbedres, skaper de en større angrepsflate, så det kreves bedre og raskere sikkerhetsteknologier for å holde tritt. Og ikke bare holde tritt, men også forårsake minimal ulempe og forstyrrelse for brukeren. Dette krever svært smidige og dynamiske sikkerhetspolicyer, støttet av kontekstuell informasjon og den maksimale mengden datapunkter tilgjengelig – og i sanntid. Hvem er denne personen? Hvor er de? Hva prøver de å få tilgang til? Hvorfor trenger de denne tilgangen? Hvilken enhet eller sluttpunkt kommer de inn på?

Fordeler ved løsninger uten tillit

På det mest alvorlige kan datainnbrudd være katastrofale. Dine kunders private data står på spill som din økonomi, din intellektuelle eiendom, og selvfølgelig, ditt gode omdømme. Som forsikring, kan sikkerhetsinvesteringer virke som en stor kostnad... før du trenger dem. Og så ser de ut som en liten pris å betale for å beskytte bedriften din.

Noen av de mange fordelene med null tillitsløsninger inkluderer:

• Beskytter hybride og eksterne arbeidsstyrker. Vi har diskutert hvordan eksterne arbeidere og personlige enheter har brukt cybersecurity-spillet. Men det er ikke bare bedriften din som er i faresonen. Cyberkriminelle kan målrette dine ansatte personlig, så det er viktig å sikre at strenge tiltak er på plass for å redusere risikoen og din.
• Støtter smidighet og nye forretningsmodeller. For å konkurrere og administrere forstyrrelser må bedrifter kunne svinge og utforske nye forretningsmodeller. Dette betyr pålasting av nye applikasjoner, programvare og tilkoblede ressurser. Sikring av sikkerhet under disse omstendighetene er en skremmende oppgave hvis den håndteres manuelt. Heldigvis kan de beste programvareverktøyene uten tillit øke hastigheten på ting med smart automatisering og tilpassbare løsninger som sikrer at alle viktige tiltak blir tatt.
• Redusere IT-ressursutgifter. Spør hvilken som helst IT-fagperson hvor mye tid de bruker på manuelle sikkerhetsoppgaver – svaret er sannsynligvis «for mye». Etter hvert som bedrifter flytter sine kjernesystemer til skyen, kan sikkerhetsoppdateringer og oppdateringer automatiseres og utføres i bakgrunnen. Dette gjelder også sikkerhetsprotokoller uten tillit. Fra brukere til endepunkter kan mange av kjernekrypterings- og verifiseringsoppgavene knyttet til null klarering automatiseres og planlegges.
• Gir en nøyaktig beholdning. Null-klareringsprinsipper krever at selskapet har en nøyaktig oversikt over alle ressurser, brukere, enheter, applikasjoner og tilkoblede ressurser. Med de riktige løsningene på plass, kan beholdningsoppdateringer settes til automatisk oppdatering, noe som sikrer sanntidsnøyaktighet. I tilfelle et forsøk på brudd, er dette et uvurderlig undersøkelsesverktøy. Videre har bedrifter ofte millioner bundet opp i veiovereiendeler, slik at en nøyaktig beholdning også er en økonomisk fordel.
• Gir en bedre brukeropplevelse. Tradisjonelle verifiseringsprosesser kan være langsomme og vanskelige å håndtere. Dette førte til at brukerne enten prøvde å omgå sikkerhetsprotokoller, eller til og med unngå bruk av viktige verktøy og applikasjoner på grunn av at de var vanskelige å bruke. De beste nulltillitsløsningene er bygget for å være upåtrengende og responsive, og lindrer ansatte fra bryet med å finne opp (og deretter glemme) passord, og langsomt-til-svar-verifiseringsprosesser.

God forretningsførsel for nulltillit: Komme i gang

Det er flere oppgaver som du må utføre når null-klareringstransformasjonen har begynt. Dette omfatter katalogisering av anleggsmidlene, definering av segmenter i organisasjonen og klassifisering av dataene dine for en smidigere overgang.

Null tillit begynner med en forpliktelse, og følgende trinn kan hjelpe deg med å rulle:

• Stedfortreder IT-teamet er allerede for opptatt. Vurder å bringe inn eller utnevne en dedikert ekspert innen endringsstyring for cybersikkerhet som kan hjelpe deg med å redusere risiko, oppdage muligheter for forbedring og bygge et fungerende veikart.
• Kommuniser. La oss innse det, dine ansatte kommer ikke til å umiddelbart bli begeistret av nyheter om strengere sikkerhetstiltak. Når du investerer i bedre sikkerhet, bør du også investere i mer engasjerende meldinger og kommunikasjon rundt denne transformasjonen. Det er mange virkelige eksempler på farene ved nettkriminalitet. Hjelp teamene dine med å forstå at det ikke bare er C-suiten som blir rammet av et datainnbrudd – det koster jobber, påvirker enkeltpersoner og truer selskapets overlevelse.
• Revisjon. Arbeide med en sikkerhetsspesialist, etablere en sjekkliste over sikkerhetsrisikoer og revidere hvert område av virksomheten. Bryt ned siloer og kontakt med fagspesialister på tvers av teamet ditt. De vet bedre enn noen hvor svakheter og sårbarheter er i sine områder – spesielt i komplekse, globale operasjoner som forsyningskjeder og logistikk.
• Prioriter. Fastsett den relative viktigheten og hastegrad for alle forretningsoperasjoner og oppgaver, og tilordne en vurdering. Bestem en rolesbasert vurdering av hvem som kritisk trenger tilgang til ting og hvem mindre. Denne innledende prioriteringen vil også bidra til å forberede deg på mikrosegmentering som er en grunnleggende komponent i null tillit – som forhindrer sideveis bevegelse og dens ledsagende eksponering for datainnbrudd.

I dagens verden av eufemismer og forsiktig språk, kan null tillit virke for dine ansatte som et noe kynisk begrep. Så kom deg ut foran det når du introduserer null tillit til teamene dine. Fortell dem i begynnelsen at dette på ingen måte betyr at du ikke stoler på dem. Det er nettkriminelle som ingen bør stole på – fordi de kan få ting til å virke som noe de ikke er. De kan snike seg inn gjennom de minste hullene og når de er inne, bryr de seg ikke om hvem de skader.