Det er få buzzord som er mer aktuelle i IT bransjen i dag enn Zero Trust. Zero trust er den nye kongstanken bak IT-sikkerhetstenkning, og definisjonen av begrepet ligger i ordet: null tillit, ikke stol på noen. Kort fortalt innebærer zero trust en tankegang hvor vi ser på alle brukere og all trafikk som suspekt. Men hva betyr egentlig dette i praksis?
Pass på eiendommen din
For å bedre forstå hva zero trust går ut på er det lurt å først ta et blikk tilbake på hvordan en tradisjonelt har sett på IT-sikkerhet. Historisk sett har begrepet «perimetersikring» (alternativt «områdesikring») stått sentralt for sikkerhet, altså at vi benytter ulike løsninger for å sikre et område eller nettverk mot inntrengere[1].
Vi har med andre ord sikret teknologi i stor grad på samme måte som vi sikrer banker, flyplasser eller andre områder hvor en ikke vil ha uvedkomne på besøk. I banker for eksempel, har sikkerhet betydd tykke vegger, vakter og solide dører. En vesentlig risiko ved denne typen sikring er imidlertid at når man først er inne, har man kunnet bevege seg relativt fritt.
Vi ser den samme tendensen i moderne IT-miljøer med det vi kaller «latente laterale angrep». Dette vil si at angripere ligger latente i systemene våre og over tid beveger seg til andre mer verdifulle systemer, da angriperne kan bevege seg fritt så lenge de er innenfor perimetersikringen.
Stol ikke på brukerne
Som du sikkert allerede har forstått, har tiden vist at perimetersikring ikke lenger er tilstrekkelig når det gjelder IT-sikkerhet. For om uvedkomne blir invitert inn eller får tilgang på en nøkkel, er sikkerhetsbarrieren brutt. Og dessverre viser forskning gjort på sikkerhetsvaner og angrep de siste årene at vi ikke kan stole på at brukerne våre ivaretar sikkerheten på en tilstrekkelig måte.
I følge IBM er innsideaktører ansvarlig for 60% av alle dataangrep
For eksempel, I følge IBM er innsideaktører ansvarlig for 60% av alle dataangrep[2]. Dette betyr ikke nødvendigvis at ansatte og brukere av systemer har dårlige hensikter, men heller at mange ikke sikrer seg godt nok og derfor lett blir et offer. Ifølge Verizon vil hele 12% av brukere[3] åpne phishing-epost [4], og 4% av brukere vil klikke på den skadelige linken i eposten[5]. 4% høres kanskje ikke mye ut, men problemet ligger i at disse fire prosentene vil fortsette å gjøre den samme feilen om og om igjen uavhengig av hvor mye sikkerhetstrening de får.
Data fra eMarketer, Symantec og Research Now viser også at to av tre av voksne internettbrukere vil logge seg inn på privat epost konto mens de er tilkoblet et offentlig nettverk, en kjent sikkerhetsrisiko, og godt over halvparten av voksne brukere vil logge seg på sosiale medier[6].
Når i tillegg mange bruker samme brukernavn og passord for både jobb og personlige kontoer, blir fallhøyden stor dersom uvedkomne for tilgang på disse gjennom åpne nettverk.
Tyver inn kjøkkendøra
Nesten bokstavelig talt kan enorme sikkerhetssystemer bli utmanøvrert ved at uvedkommende sniker seg inn kjøkkendøra hjemme hos ansatte.
Vi ser i stadig større grad at «identitet», i form av for eksempel brukernavn og passord, blir brukt til å trenge igjennom tradisjonelle nettverkskontroller. Når vi nå i tillegg har en hverdag hvor enormt mange flere jobber hjemmefra enn tidligere, fører dette til at vi ofte ikke er sikret av annet enn vår egen hjemmenettverksruter.
Det hjelper altså ikke med bolter og låser på en hoveddør av stål hvis bakdøra er åpnet av de ansatte...
Med en svak identitet vil en uærlig aktør være i stand til å komme seg på innsiden av et sikkert miljø, for deretter å bruke det som utgangspunkt for dypere penetrering i systemer. Derved ligger alt det man vil beskytte helt åpent, og de uvedkomne vil få tilgang på beskyttelsesverdig informasjon. Det hjelper altså ikke med bolter og låser på en hoveddør av stål hvis bakdøra er åpnet av de ansatte...
En annen viktig sikkerhetsutfordring er uærlige aktører som bruker sosial manipulering for å få tilgang på informasjon. Les mer om dette her.
Alltid anta det verste
For å unngå at uvedkomne kommer seg på innsiden av sikre miljøer, har vi vært nødt til å se på dagens sikkerhetsløsninger med nye øyne. Og det er her zero trust kommer inn. Zero trust -prinsippet går ut på at vi alltid må anta at uvedkommende har fått tilgang til systemene våre, og derfor jobbe med å minimere omfanget av skaden. Med zero trust er tilgangen til hver enkelt bruker kraftig redusert til kun det som er nødvendig for å utføre en oppgave.
En praktisk tilnærming til zero trust
I teorien høres det nokså enkelt ut å begrense alle tilganger og låse alle dører, men hvordan kan vi gjennomføre dette i praksis? Under har jeg laget en liste med fire av de viktigste sikkerhetstiltakene for implementering av zero trust:
Flerfaktor-autentisering
Flerfaktor-autentisering er et godt sted å begynne når vi skal implementere zero trust. Flerfaktor-autentisering betyr at man identifiserer seg på mer enn én måte. I praksis innebærer dette at man i tillegg til brukernavn skal benytte noe man vet (passord) og noe man har (eksempelvis bank-id, kodebrikke eller sms). De fleste skyleverandører[7] har i dag mekanismer som legger til rette for flerfaktor-autentisering og er et godt utgangspunkt for zero trust. Eksempelvis benytter svært mange i dag enten Office 365 eller G-Suite som begge tilbyr løsninger for flerfaktor-autentisering
«Least privilege» tilgang
Under «least privilege» prinsippet skal vi kun gi brukere de rettighetene som er nødvendig for å utøve oppgaven som er gitt, og vi skal anta at et brudd vil finne sted ved å segmentere tilgang og nett slik at man ikke kan bevege seg lateralt når man først er inne i systemene. Dette prinsippet handler altså om å la brukeren få bevege seg minst mulig i det systemet hun er gitt midlertidig tilgang til. Etter at en oppgave er utført vil rettighetene til brukeren fjernes, og slik minimeres risikovinduet til kun det begrensede tidsrommet hvor brukeren har tilgang.
Ingen administratortilganger
Vi er ferdig med tiden da alle var administratorer. Et av de mest effektive grepene vi kan ta for å implementere zero-trust er å fjerne brukeres (ansattes) lokal-administratortilgang. Dette kan av mange brukere bli sett på som utfordrende da begrensede rettigheter kan oppleves som inngripende. Faktum er dog at ved å fjerne lokale admin-rettigheter vil vi i stor grad eliminere innsideren som en trussel, ved at insideren ikke får mulighet til å gjøre særlig skade på bakgrunn av den begrensede tilgangen. Samtidig vil fjerning av lokale admin-rettigheter redusere skadeomfanget ved for eksempel angrep via malware[8]. Ifølge sikkerhetsanalyseselskapet Avecto vil 99,5% av alle sikkerhetshull utnyttet i forbindelse med Internet Explorer, og 82% av alle sikkerhetshull i forbindelse med Office 365 elimineres helt ved fjerning av lokale admin-rettigheter[9]. Her må man altså veie mellom sikkerhet for systemet og fleksibilitet for den enkelte
Mikrosegmentering
Mikrosegmentering av nettverk er et godt tiltak for å implementere zero trust. Mikrosegmentering gir oss muligheten til å dele opp nettverket vårt i større grad enn det som var vanlig tidligere. For eksempel så kan det defineres egne segmenter som kun tar for seg kommunikasjonen mellom to spesifiserte systemer. Ettersom nettverksteknologi har blitt mer og mer software-definert[10] har vi også fått muligheten til å bruke mer avansert logikk til å segmentere trafikken vår. Denne jobben kan også gjøres dynamisk, og vil sterkt begrense uærlige aktørers evne til å bevege seg til andre systemer når et brudd først har forekommet. Med andre ord kan vi bruke prinsippene bak least privelige også på infrastruktur. Dette kan redusere faren for ytterligere skade når vi først er angrepet.
Kort oppsummert
Alt handler egentlig om å stenge så mange dører som mulig – og hele tiden anta at det er noen som ikke er invitert inne i systemene våre. Zero trust er med andre ord det mest effektive verktøy vi kan bruke.
All forskning viser at vi dessverre ikke kan stole på at brukeren passer godt nok på selv. Hjemmekontor har økt faren for inntrengninger. Områdesikring, eller den såkalte perimetersikringen holder ikke alene. Vi kan drastisk begrense skadene dersom vi gjennomfører målrettede sikkerhetstiltak.
Moral: pass på it-tomta di. Stol heller ikke på den ellers hyggelige og arbeidsomme kollegaen din på hjemmekontor. Og hvis noen har sneket seg inn bakdøra, sørg for at han møter stengte dører og vanskeligheter inne i huset. Da kan vi som bor der være tryggere på oss selv og businessen vår.
Referanser:
[1] https://no.wikipedia.org/wiki/Områdesikring [2] https://www.ibm.com/security/insider-threat [3] https://enterprise.verizon.com/resources/reports/dbir/ [4] Phising-email: en email hvor avsenderens intensjon er å stjele informasjon [5] https://enterprise.verizon.com/resources/reports/dbir/ [6] https://dailywireless.org/internet/usage-statistics/ [7] Tjenesteleverandører som benytter seg av ikke-lokale datasentre, eksempelvis Microsoft, Amazon eller Google [8] Malware er en betegnelse for skadelig programvare som kan installeres på en PC ved at offeret uvitende gir tillatelse, ved å for eksempel trykke på en link eller åpne et skadelig vedlegg [9] https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report [10] Muligheten til å benytte software istedenfor hardware til å dynamisk og programmatisk definere nettverkskonfigurasjon, overvåkning og segmentering. https://en.wikipedia.org/wiki/Software-defined_networking