Det lyder så uvenligt, men det er i kort form hovedbudskabet i en Zero Trust modellen som anbefales af de førende eksperter.
Men hvad betyder det i praksis, og hvordan implementerer man denne strategi?
Den gamle strategi var trust-but-verify, hvor vi i udgangspunktet stolede på en bruger, hvis de havde adgang. Det tør vi ikke basere vores sikkerhed på længere.
Zero Trust bygger på 3 principper:
Assume breach
Verify explicitly
Least privilege access
Lad os se lidt nærmere på principperne.
Asume breach
Dette er på mange måder et mindset. I stedet for at antage vi i udgangspunktet ikke er i fare, antager vi med assume breach at vores netværk, servere og applikationer er sårbare og at vi højst sandsynlig allerede er under angreb.
Dette er en vigtig forudsætning, som bringer os ud af vores comfortzone og tvinger os til at tænke proaktivt.
Verify explicitly
Dette princip betyder at vi skal verificere brugernes adgang ud fra alle tilgængelige parametre og datapunkter fx enhed, lokation, enhedsstatus, data som der ønskes adgang til og sågar brugerens adfærd. Denne verificering skal ske løbende.
Least privilege access
Dette princip betyder at vi skal sikre at brugere kun har de nødvendige rettigheder, men ikke nok med det, vi skal også sikre at de kun har dem når det er krævet. Her taler vi om Just-In-Time and Just-Enough Access (JIT/JEA).
Jo mere omfattende rettigheder vi taler om, jo vigtigere er det.
Men Zero Trust principperne gælder for alle entiteter - det vi også kalder sikkerhed i dybden.
Brugerkonti, 2-faktor, rettigheder
Enheder, overvågning, antimalware, opdatering
Applikationer, kun godkendte, roller, opdaterede
Data, klassificerede og krypterede samt logning af adgang
Infrastruktur, konfiguration og adgang, samt overvågning
Netværk, patches, segmenteres og overvåges
Så som du kan se, er det nødvendigt ikke at stole på nogen. Zero Trust er en god model/tjekliste når du arbejder med den tekniske IT-sikkerhed.
Vi bruger Zero Trust modellen i vores arbejde med IT-sikkerhed. Skal vi hjælpe din virksomhed?

Comentários