Zero Trust-sikkerhedsmodellen er ikke ny. Det har eksisteret siden John Kindervag fra Forrester Research skrev sit papir "No More Chewy Centres: Introducing the Zero Trust Model of Information Security" i 2010.
Zero Trust-tilgangen er centreret omkring troen på, at ingen bruger eller applikation i sagens natur bør have tillid til, selv dem, der allerede er inden for netværkets perimeter.
Denne idé bliver allerede omfavnet af store virksomheder og organisationer som Google, Coca-Cola og NSA for at bekæmpe den voksende trussel om cyberangreb. Der er dog stadig vejspærringer, der hindrer dens almindelige vedtagelse.
Myter om Zero Trust Security
Efterhånden som organisationers interesse for Zero-Trust-modellens tilgang stiger, er nogle misforståelser om de grundlæggende principper for rammerne kommet i vejen for vedtagelsen. Her er et par myter, du ikke skal tro på.
Myte 1: Nul tillid skaber en kultur af mistillid
En almindelig misforståelse om Zero Trust er, at det fremmer ideen om ikke at stole på dine medarbejdere. Selvom Zero Trust-rammen kræver, at virksomheder undersøger brugere, der får adgang til deres netværksressourcer, bør det ikke misfortolkes som noget personligt.
Faktum er, at tillid repræsenterer en sårbarhed, der kan sætte din organisation i fare for et angreb. Cyberkriminelle udnytter specifikt tillid til at målrette mod virksomheder, og Zero Trust tilbyder en måde at afbøde dette på. Det svarer til et nøglekort i stedet for at give alle adgang til en bygning.
Ved ved at bruge princippet om mindst privilegium (POLP), kan organisationer tilpasse deres tærskelpolitikker, så brugerne kun får adgang til de ressourcer, de har brug for, baseret på den tillid, de har optjent.
Myte to: Nul tillid er et produkt
Zero Trust er en strategi eller ramme, ikke et produkt. Det er bygget op omkring ideen om aldrig at stole på og altid at verificere.
De forskellige produkter, der tilbydes af leverandører, kan hjælpe med at opnå Zero Trust; de er dog ikke Zero Trust-produkter. De er blot produkter, der fungerer godt i Zero Trust-miljøet. Så hvis en leverandør beder dig om at købe deres Zero Trust-produkt, er det en indikation af, at de ikke forstår det underliggende koncept.
Relaterede: Hvad er et Zero Trust Network, og hvordan beskytter det dine data?
Når de er korrekt integreret med Zero Trust-arkitekturen, kan forskellige produkter effektivt minimere angrebsoverfladen og indeholde sprængningsradius i tilfælde af et brud. Når den er fuldt implementeret, kan en Zero Trust-løsning med kontinuerlig verifikation fuldstændig eliminere angrebsoverfladen.
Myte tre: Der er kun én måde at implementere Zero Trust
Zero Trust er en samling af sikkerhedsprincipper, der involverer konstant verifikation, princippet om mindst privilegeret adgang og afbødning af angrebsoverfladen.
Gennem årene er der opstået to tilgange til at komme i gang med en Zero Trust-model. Den første tilgang starter med identitet og involverer multi-faktor autentificering, som giver hurtige resultater.
Relaterede: Hvad er tofaktorautentificering? Her er hvorfor du bør bruge det
Den anden tilgang er netværkscentreret og starter med netværkssegmentering. Konceptet involverer oprettelse af netværkssegmenter for at kontrollere trafikken inden for og mellem disse segmenter. Netværksadministratorer kan derefter opretholde separat autorisation til hvert segment, hvilket begrænser spredningen af laterale trusler i et system.
Myte fire: Nul tillid tjener kun store virksomheder
Google var en af de første virksomheder, der implementerede Zero Trust-arkitekturen som svar på Operation Aurora i 2009. Dette var en række angreb rettet mod store virksomheder som Google, Yahoo, Morgan Stanley og Adobe Systems.
Da Google adopterede Zero Trust-modellen umiddelbart efter angrebene, troede (og tror stadig), mange virksomheder, at den kun gælder for store organisationer. Denne opfattelse ville kun være sand, hvis cyberangreb var begrænset til store virksomheder, hvilket ikke er tilfældet. I virkeligheden ca 46 procent af databrud i 2021 var rettet mod små virksomheder.
Mens medierne har en tendens til at dække databrud, der påvirker store virksomheder, er der ingen tvivl om, at små virksomheder også har brug for beskyttelse mod cyberangreb.
Den gode nyhed er, at små organisationer ikke behøver at bryde banken for at implementere Zero Trust-modellen. Da det ikke er et produkt, kan virksomheder introducere det gradvist ved at tildele en beskeden årlig investering i Zero Trust-arkitekturen.
Myte fem: Nul tillid hæmmer brugeroplevelsen
En af hindringerne for Zero Trust-adoption er den oplevede indvirkning på brugeroplevelsen. Det er forståeligt at antage, at brugernes produktivitet og smidighed ville lide under løbende verificering af brugernes identitet. Men når det er korrekt implementeret, kan Zero Trust levere en brugervenlig oplevelse.
Organisationer kan vurdere brugerprofiler og kombinere risikobaseret autentificering med maskinlæring for at identificere risici og træffe hurtige adgangsbeslutninger. Hvis risikoen er høj, kan systemet kræve et ekstra godkendelsestrin eller helt blokere adgangen for at beskytte dets ressourcer. Tværtimod kan det eliminere autentificeringsudfordringer, hvis risikoen er lav.
En Zero Trust-tilgang reducerer også kompleksiteten på den administrative side af tingene. Entreprenører og ansatte vil ikke længere være sikkerhedsansvarlige, hvis de holder op med at handle med dig. Under en effektiv Zero Trust-model vil systemet øjeblikkeligt afslutte deres adgang til nøgleaktiver, hvilket eliminerer bagdøre.
Myte seks: Nul tillid er begrænset til lokale miljøer
Mange virksomheder ser stadig Zero Trust som en model, der kun kan administreres på stedet. Dette bliver et stort problem, da følsomme data nu findes i hybrid- og cloudmiljøer. Med cyberangreb og hacks, der påvirker on-prem-arkitekturen, er stigende, flytter flere og flere virksomheder til skyen.
Den gode nyhed er, at Zero Trust hurtigt bevæger sig med det.
Relaterede: Top brud på datasikkerhed i skyen i de seneste år
Ved at etablere en Zero Trust-arkitektur i skyen kan virksomheder beskytte følsomme data og reducere eksponeringen af sårbare aktiver i deres netværk.
Efterhånden som fjernarbejde-kulturen intensiveres, og cyberkriminelle udvikler nye måder at udnytte sårbarheder på, risikerer virksomheder, der er afhængige af lokal infrastruktur, at blive forstyrret.
Stol aldrig på; Bekræft altid
Baseret på antallet af databrud rettet mod organisationer, er det tydeligt, at den gamle tilgang til sikkerhed ikke er nok. Selvom mange mener, at Zero Trust er dyrt og tidskrævende, er det en fantastisk modgift mod sikkerhedsproblemerne lige nu.
Zero Trust-modellen søger at fjerne tillidsbaserede systemer, simpelthen fordi den bliver udnyttet for ofte i cyberangreb. Det fungerer ud fra princippet om, at alle og alt skal verificeres, før man får adgang til netværksressourcerne. Dette er en værdig stræben for virksomheder, der ønsker at reducere risici og forbedre deres sikkerhedsposition.
Den traditionelle sikkerhedsmodel har vist sig ineffektiv mod ransomware. Lær hvorfor nul-tillid er den bedste tilgang til at besejre cyberangreb.
Læs Næste
- Sikkerhed
- Online sikkerhed
- Cybersikkerhed
- Online privatliv
- Forretningsteknologi
Fawad er IT- og kommunikationsingeniør, håbefuld iværksætter og forfatter. Han trådte ind på arenaen for indholdsskrivning i 2017 og har arbejdet med to digitale marketingbureauer og adskillige B2B- og B2C-kunder siden da. Han skriver om sikkerhed og teknologi på MUO med det formål at uddanne, underholde og engagere publikum.
Abonner på vores nyhedsbrev
Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!
Klik her for at abonnere
