Den vägledande nollförtroendeprincipen – ”aldrig lita på, alltid verifiera” – har blivit en viktig metod för att säkra dagens komplexa och mångsidiga molnnätverk. För inte så länge sedan kunde du låsa ditt företags ytterdörr, säker på att all din värdefulla information var säker inom dessa väggar. Sedan följde bärbara datorer och diskar och minnespinnar – och varje så ofta skulle du höra en historia om att någon lämnar statshemligheter på ett tåg någonstans. Idag är företagets data tillgängliga var som helst där det finns anslutning. Och med den aldrig tidigare skådade ökningen av avlägsna och distribuerade arbetsstyrkor, kan ”var som helst” bokstavligen vara ”var som helst på jordklotet”.

I dag körs de bästa mjukvarulösningarna i molnet – för att inte tala om de miljontals anslutna enheterna och tillgångarna i världens industriella IoT-nätverk. Och även om molnapplikationer vanligtvis inte är mindre säkra än on-premise-program – snarare tvärtom – finns det nya risker i dagens uppkopplade värld. Digital teknik och molnteknik har breddat vad säkerhetsexperter kallar attackytan för varje organisation.

Traditionella cybersäkerhetsprotokoll modellerades på idén att användare skulle gå igenom säkerhet vid företagets virtuella ytterdörr och sedan ha driften av platsen när de väl kom in. Med andra ord utvecklades de i en värld före molnet. Men nu finns det fler åtkomstpunkter – en anställds personliga telefon eller en IoT-skrivare kan vara en potentiell portal – och företag har varit tvungna att slå ner på sina säkerhetsstrategier. Med cyberattacker på en rekordhög nivå bör nätverkssäkerhet ha en prioriterad position överst på din att-göra-lista. Noll förtroendeimplementering kräver engagemang och samarbete i hela din verksamhet.

Noll trust: Definition och strategi

John Kindervag arbetade som analytiker på Forrester Research 2010 – vid en tidpunkt då molnapplikationer och IoT-enheter började sin snabba uppgång. Kindervag insåg med rätta den enorma känsligheten och värdet hos data och immateriella rättigheter i Forresters system. Som svar på denna växande risk myntade han termen noll förtroende och ledde utvecklingen av många av dess kärnprinciper.

Noll förtroende kan definieras som en IT-säkerhetsmodell som kräver att varje användare och potentiellt ansluten enhet strikt verifierar sin identitet oavsett om de befinner sig inom eller utanför företagets perimetrar. Zero trust arkitektur (ZTA) bygger på en uppsättning processer och protokoll samt dedikerade digitala lösningar och verktyg för att nå framgång.

Zero Trust Network Access (ZTNA) är tillämpningen av nollförtroendearkitektur som Gartner definierar som skapandet av ”en identitets- och kontextbaserad logisk åtkomstgräns runt en applikation eller uppsättning applikationer”. Detta tar bort dessa program från offentlig vy och tillåter endast de användare som är verifierade och som följer fördefinierade åtkomstpolicyer.

Men i verkligheten börjar noll förtroende som en kulturell omvandling inom din organisation. Vi tenderar att tänka på cybersäkerhet när det gäller dåliga aktörer som strävar efter att orsaka skada, men tyvärr är det ofta okunskap snarare än illvilja som leder till risk och förlust. Faktum är att en färsk rapport visar en 48-procentig ökning av e-postattacker under bara första halvåret 2022, där anställda lurades till bedrägerier eller avslöjades detaljer till följd av nätfiske. Detta illustrerar varför utbildning och kulturellt inköp är en så viktig del av nollförtroende.

Varför är nollförtroendeprinciper så nödvändiga just nu?

Det råder ingen tvekan om att cyberattacker är på frammarsch. År 2022 genomfördes en stor undersökning som omfattade 1 200 stora organisationer i 14 olika sektorer och 16 länder. Trots prioritering av cybersäkerhet medgav många av respondenterna att de hade otillräcklig säkerhet. Faktum är att resultaten visade på en alarmerande ökning på 20,5 % av antalet materiella överträdelser under månaderna mellan 2020 och 2021.

Följande är några av de andra säkerhetsutmaningar som dagens företag står inför:

• Gamla brandväggar. Många företag är alltför beroende av brandväggar som föregår spridningen av molnkonnektivitet. VPN-tjänster är ett användbart bandstöd för att öka brandväggarna, men de är inte en effektiv långsiktig lösning på grund av deras begränsade omfattning och tendens att sakta ner affärsappens prestanda, vilket i sin tur påverkar de anställdas produktivitet.
• Kontrollkomplexitet. Enhetsagnostisk programvara är bra för användare men lägger till ett komplext lager till säkerhetsprotokoll. Även när användare har företagstelefoner och bärbara datorer är de bara lika säkra som de verifierings- och säkerhetsprotokoll som finns på plats för att skydda dem.
• Apparater från tredje part. I och med pandemin skickades hela arbetskraft till jobbet hemifrån – nästan över en natt. Många företag hade inget annat val än att låta anställda använda sina egna datorer och enheter. I många fall upprättades säkerhetslösningar för att hålla verksamheten igång och lamporna tända. Men för många företag har de ännu inte rivit upp dessa tillfälliga åtgärder och genomför mer skottsäkra nollförtroendeåtgärder för sina distansarbetare.
• Obehöriga program. Användningen av SaaS affärsappar är på en stadigt uppåtgående bana. Tyvärr är många IT-team trånga, vilket ofta gör att användare tar till att köpa sina egna appar och använda dem inom företagets nätverk, utan att informera sina IT-team. Dessa appar är inte bara föremål för strikt nollförtroende, utan de kan också ha kringgått säkerhetsåtgärder helt och hållet.

• IoT-anslutning. En industriell IoT-enhet kan vara lika enkel som en fläkt eller en svetsmaskin. Eftersom dessa enheter inte betraktas som en ”dator” av något slag kan användarna lätt glömma att de är en potentiell åtkomstpunkt in i företagets nätverk. Noll förtroendearkitektur sätter automatiseringar och processer på plats som säkerställer säkerhet för alla slutpunkter, maskiner och IoT-tillgångar.
• Omnikanalsportaler. Anställda är inte de enda i ditt affärsmoln. I allt större utsträckning ser vi uppkopplade enheter som smarta hyllor i butiker, och ”betala var som helst” mobilappar. Någon av dessa omnikanalsportaler representerar risk. Noll förtroende hjälper till att säkra dessa risker utan onödiga olägenheter eller förseningar för dina kunder.
• ERP-säkerhetsutmaningar. Tidigare var ERP-system begränsade till vissa planerings- och ekonomiuppgifter och hade en begränsad uppsättning användare inom verksamheten. Dagens bästa affärssystem i molnet drivs dock av AI, avancerad analys och kraftfulla, skalbara databaser. De har förmågan att integrera med olika applikationer och system i hela verksamheten och utnyttjas i allt större utsträckning för att optimera och effektivisera varje operativt område. Moderna ERP-system har avancerade säkerhetssystem inbyggda men precis som alla system har de sårbarheter som bara förenas med bredare räckvidd och tillgänglighet. Noll förtroendeprinciper, när de tillämpas på stark molnbaserad ERP-säkerhet, hjälper till att skydda din verksamhet i varje steg.

Hur fungerar noll förtroende?

Zero trust kombinerar en uppsättning tekniker och protokoll som multifaktorsautentisering, slutpunktssäkerhetslösningar och molnbaserade verktyg för att övervaka och verifiera en mängd attribut och identiteter – från användare till slutpunkter. Noll förtroende kräver också kryptering av data, e-post och arbetsbelastning för att säkerställa deras säkerhet. I grund och botten, noll förtroendeprotokoll:

• Styr och begränsa nätverksåtkomst från vem som helst, var som helst, genom vilken enhet eller tillgång som helst
• Verifiera alla användare eller resurser som har eller kan få åtkomst till alla nivåer i nätverket
• Registrera och inspektera all nätverkstrafik i realtid

En nollförtroendesäkerhetsmodell använder en policy för behovskunskap. I grund och botten innebär detta att användarna endast har tillgång till de data och applikationer som de behöver för att utföra sina jobb. Och än en gång är tekniken det tveeggade svärdet i jakten på bättre cybersäkerhet. I takt med att digitala lösningar och anslutningar förbättras skapar de en större attackyta, så bättre och snabbare säkerhetsteknik krävs för att hålla jämna steg. Och inte bara hänga med utan också orsaka minimal olägenhet och störningar för användaren. Detta kräver mycket flexibla och dynamiska säkerhetspolicyer, som stöds av kontextuell information och maximal mängd tillgängliga datapunkter – och i realtid. Vem är den här personen? Var är de? Vad försöker de komma åt? Varför behöver de den tillgången? Vilken enhet eller slutpunkt kommer de in på?

Fördelar med nollförtroendelösningar

Som allvarligast kan dataintrång vara katastrofala. Dina kunders privata data står på spel liksom din ekonomi, din immateriella egendom och naturligtvis ditt goda rykte. Liksom försäkringar kan säkerhetsinvesteringar verka som en stor utgift… tills du behöver dem. Och då ser de ut som ett litet pris att betala för att skydda ditt företag.

Några av de många fördelarna med nollförtroendelösningar är:

• Skydda hybrid- och fjärrarbete. Vi har diskuterat hur distansarbetare och personliga enheter har höjt cybersäkerhetsspelet. Men det är inte bara ditt företag som är i riskzonen. Cyberbrottslingar kan rikta sig till dina anställda personligen så det är viktigt att se till att strikta åtgärder finns på plats för att minska deras risk och din.
• Stöd för smidighet och nya affärsmodeller. För att kunna konkurrera och hantera störningar måste företagen kunna pivotera och utforska nya affärsmodeller. Det innebär onboarding av nya applikationer, mjukvara och anslutna tillgångar. Att garantera säkerheten under dessa omständigheter är en skrämmande uppgift om den hanteras manuellt. Lyckligtvis kan de bästa noll förtroendeverktygen snabba på saker med smart automatisering och anpassningsbara lösningar som säkerställer att alla avgörande steg tas.
• Minska kostnaderna för IT-resurser. Fråga någon IT-expert hur mycket tid de lägger på manuella säkerhetsuppgifter – svaret är förmodligen ”för mycket”. När företag flyttar sina kärnsystem till molnet kan säkerhetskorrigeringar och uppdateringar automatiseras och utföras i bakgrunden. Det gäller även nollförtroendeskyddsprotokoll. Från användare till slutpunkter kan många av de grundläggande krypterings- och verifieringsuppgifter som är kopplade till nollförtroende automatiseras och schemaläggas.
• Tillhandahålla ett korrekt lager. Noll förtroendeprinciper kräver att företaget håller en korrekt inventering av alla tillgångar, användare, enheter, applikationer och anslutna resurser. Med rätt lösningar på plats kan lageruppdateringar ställas in på automatisk uppdatering, vilket säkerställer noggrannhet i realtid. Vid ett försök till överträdelse är detta ett ovärderligt utredningsverktyg. Dessutom har företag ofta miljoner bundna i oförutsedda tillgångar så en korrekt inventering är också en ekonomisk fördel.
• Leverera en bättre användarupplevelse. Traditionella verifieringsprocesser kan vara långsamma och svåra att hantera. Detta ledde till att användare antingen försökte kringgå säkerhetsprotokoll, eller till och med undvika användning av viktiga verktyg och applikationer på grund av att de är svåra att använda. De bästa nollförtroendelösningarna är byggda för att vara diskreta och lyhörda, vilket befriar anställda från krånglet med att uppfinna (och sedan glömma) lösenord och verifieringsprocesser med långsam respons.

Noll förtroende för bästa praxis: Komma igång

Det finns flera uppgifter som du kommer att behöva utföra när din nollförtroendeomvandling har påbörjats. Detta inkluderar att katalogisera dina tillgångar, definiera segment inom din organisation och klassificera dina data för en smidigare övergång.

Noll förtroende börjar med ett åtagande och följande steg kan hjälpa dig att komma igång:

• Delegat. IT-teamet är redan för upptaget. Överväg att ta in eller utse en dedikerad expert inom hantering av cybersäkerhetsförändringar som kan hjälpa dig att minska riskerna, upptäcka möjligheter till förbättring och bygga en fungerande vägkarta.
• Kommunicera. Låt oss inse det, dina anställda kommer inte omedelbart att bli glada av nyheter om striktare säkerhetsåtgärder. När du investerar i bättre säkerhet bör du också investera i mer engagerande meddelanden och kommunikation kring denna transformation. Det finns gott om verkliga exempel på farorna med it-brottslighet. Hjälp dina team att förstå att det inte bara är C-sviten som drabbas av ett dataintrång – det kostar jobb, påverkar individer och hotar företagets överlevnad.
• Revision. Arbeta med en säkerhetsspecialist, upprätta en checklista över säkerhetsrisker och granska varje område i verksamheten. Bryt ner silor och få kontakt med ämnesspecialister i hela ditt team. De vet bättre än någon annan var svagheterna och sårbarheterna finns i deras områden – särskilt i komplexa, globala verksamheter som försörjningskedjor och logistik.
• Prioritera. Bestäm den relativa betydelsen och angelägenheten för alla dina affärsoperationer och uppgifter och allokera en värdering. Fastställ en roles-baserad bedömning av vem som kritiskt behöver tillgång till saker och vem som mindre så. Denna inledande prioritering kommer också att hjälpa dig att förbereda dig för mikrosegmentering som är en grundläggande komponent i noll förtroende – att förhindra lateral rörelse och dess åtföljande exponering för dataintrång.

I dagens omvärld av eufemismer och omsorgsfullt språk kan noll förtroende verka för dina anställda som en något cynisk term. Så, gå ut framför det när du introducerar noll förtroende för dina lag. Säg till dem från början att detta inte på något sätt betyder att du inte litar på dem. Det är cyberbrottslingarna som ingen ska lita på – eftersom de kan få saker att verka som något de inte är. De kan smyga in genom de minsta luckorna och när de väl är inne bryr de sig inte om vem de skadar.