Nytt år og ny sikkerhetsstrategi – Ikke stol på noen

Null tillit eller Zero Trust er en sikkerhetsmodell som er helt avgjørende for å beskytte virksomheten din. Den er tilpasset ditt komplekse moderne miljø og omfavner mobile ansatte med fjernarbeid og hjemmekontor. Modellen beskytter personer, enheter, apper og data uansett hvor de befinner seg. Her undersøker vi konseptene og prinsippene, hvordan Microsoft 365 støtter Null tillit, og hva du kan gjøre for å iverksette modellen.

Tradisjonelt nettverksforsvar

Tradisjonelt perimeterbasert nettverksforsvar er foreldet. Det opererer ut fra en antagelse om at alle systemer i et nettverk er til å stole på. Folk jobber ofte utenfor kontoret. Virksomheter migrerer mot offentlige skytjenester og lar ansatte benytte egne enheter. Det gjør sikkerhetskontroller i nettverksperimeteren mindre relevante. Det skal ikke mer til enn at en angriper kompromitterer et enkelt endepunkt innenfor den pålitelige grensen og så raskt utvider fotfeste over hele lokalnettet.

Grunnprinsippene for Null tillit

De underliggende prinsippene som danner grunnlaget for modellen, omfatter tre punkter:

• Bekreft eksplisitt. Autentiser og autoriser alltid basert på alle tilgjengelige datapunkter, inkludert brukeridentitet, plassering, enhetshelse, tjeneste eller arbeidsbelastning, dataklassifisering og uregelmessigheter.
• Prinsippet om minste privilegium. Begrens brukertilgang med just-in-time og akkurat-nok-tilgang, risikobaserte tilpassede policyer og beskyttelse for å sikre data og produktivitet.
• Anta sikkerhetsbrudd. Minimer eksplosjonsradiusen for brudd og hindre sideveis bevegelse ved å segmentere tilgang ut fra nettverk, bruker, enheter og apper. Bekreft at alle økter er kryptert fra start til slutt. Bruk analyser for å få synlighet og driv trusseldeteksjon og forbedre forsvaret.
  

Nettverksmodellen Null tillitt

Null tillit fjerner konseptet tillit basert på nettverksplassering. I stedet blir identiteter sammen med enheter til det nye kontrollnivået for å gi tilgang til bedriftsdata og -ressurser. En generell Null tillit-nettverksmodell omfatter vanligvis følgende:

• Identitetsleverandørfor å holde styr på brukere og brukerrelatert informasjon.
• Enhetskatalog for å opprettholde en liste over enheter som har adgang til bedriftsressurser, sammen med tilhørende enhetsinformasjon (f.eks. enhetstype, integritet osv.).
• Tjeneste for policy-evaluering for å avgjøre om en bruker eller enhet er i samsvar med retningslinjene angitt av sikkerhetsadministratorer.
• Aksess-proxy som bruker signalene ovenfor for å gi, nekte eller begrense tilgang til ressurser.
  

Kjernekomponenter i Null tillit

Null tillit-modellen består av følgende hovedkomponenter:

• Identiteter. Bekreft og sikre hver identitet med sterk autentisering på tvers av hele ditt digitale miljø.
• Enheter. Få innsyn i enheter som har tilgang til nettverket. Sørg for samsvar og helsestatus før du gir tilgang.
• Oppdag skygge-IT, sørg for passende tillatelser i apper og tilgang basert på sanntidsanalyse, og overvåk og kontroller brukerhandlinger.
• Data. Gå fra perimeterbasert databeskyttelse til datadrevet beskyttelse. Bruk intelligens til å klassifisere og merke data. Krypter og begrens tilgang basert på organisasjonens policyer.
• Infrastruktur. Bruk telemetri for å oppdage angrep og uregelmessigheter, blokker og flagg risikoatferd automatisk, og bruk prinsippet om minste privilegium.
• Nettverk. Sørg for at enheter og brukere ikke er klarert bare fordi de er på et internt nettverk. Krypter all intern kommunikasjon, begrens tilganger med policyer, og bruk mikrosegmentering og sanntidsdeteksjon av trusler.
  

Null tillit i Microsoft 365

I Microsoft 365 er identitetsleverandøren Azure Active Directory (AD). Enhetskatalogen forvaltes av Intune. Policy-evaluering og aksess-proxy håndteres av betinget tilgang. Brukere logger seg på med multifaktor-autentisering, fortrinnsvis biometrisk med fingeravtrykk eller ansiktsgjenkjenning. Azure AD Identity Protection vurderer om det er en bruker- eller sesjonsrisiko forbundet med tilgangen. Er det tegn som tyder på at brukerkontoen er kompromittert? Befinner bruker seg på et anonymt nettverk eller et nett som det foretas kjente angrep fra?

Logger bruker det ene øyeblikket på fra Oslo og i neste fra London eller generelt fra et uvanlig sted til et uvanlig tidspunkt? Dette kan tyde på at hun eller han ikke er den de utgir seg for. I moderne autentisering deltar også enheter i godkjenningsprosessen. Enhetene bør helst være registrert i Intune. Helsestatusen må være i samsvar med dine retningslinjer. Defender for Endpoint kan markere om enheter er friske eller infisert med skadevare. I sistnevnte tilfelle vil du typisk ikke kunne logge på fra dem.

Alle disse signalene inngår i vurderingen om en bruker skal få tilgang til bedriftsressurser og i så fall hva slags. Policy-evalueringen og håndhevelsen av sikkerhetspolicyene foregår i sanntid. Tilgangs- og kjøretidskontrollene bestemmer om og hvordan vi kan få adgang. Dataene våre er klassifisert, merket og eventuelt kryptert med Microsoft Information Protection. Vi får en tilpasset tilgang til apper med de rettighetene vi trenger, basert på prinsippet om minste privilegium. Exchange Online Protection sørger for å beskytte oss mot e-postangrep; Defender for Office 365 utvider beskyttelsen og lar den også omfatte lagringsområder på OneDrive for Business.

Sikkerhet krever overvåking med synlighet, analyse og automatisering. Her er det nødvendig med SIEM-, SOAR- og UEBA-systemer. SIEM står for Security Information and Event Management eller sikkerhetsinformasjon og hendelseshåndtering. Den sørger for overvåking, deteksjon og varslinger av hendelser, sammen med en omfattende og sentralisert oversikt over sikkerheten i IT-infrastrukturen. SOAR betegner Security Orchestration, Automation and Response eller sikkerhetsorkestrering, automatisering og respons. UEBA er et akronym for User and Entity Behavior Analytics eller analyse av entitets- og brukeratferd. Entiteter dekker eksempelvis endepunkter, applikasjoner og nettverksenheter som kan bli kompromittert. Brukeratferd kartlegges, avvik flagges.

Overvåking og utbedring i Microsoft 365

Sikkerhetssentret i Microsoft 365 med tilhørende tjenester gir oss faktisk både et slags SIEM, SOAR og UEBA for rene skymiljøer pluss oppdagelse av cyberdrapskjeder og avvikende brukeratferd på lokalnettet. Microsoft 365 Defender kommer med omfattende og integrerte sikkerhetsløsninger som forebygger, oppdager og automatisk undersøker og responderer på avanserte trusler. Her inngår:

• Defender for Office 365, som hindrer skadelige trusler fra e-postmeldinger, koblinger (nettadresser) og samarbeidsverktøy.
• Defender for Endpoint, som beskytter enheter mot skadevare og avanserte angrep.
• Defender for Cloud Apps, som gir kontroll over skyapper og data utenfor virksomheten, samt oppdager avvikende og mistenkelig brukeratferd.
• Defender for Identity, som avdekker inntrengere i lokalnettet ditt.

Sett opp Null tillit i virksomheten

Med Null tillit antar du at alt er på det åpne Internett – også bedriftsnettverket – like utsatt og ubeskyttet. Vi beveger oss fra en verden av implisitte antakelser som er basert på enkeltelementer, til eksplisitt verifisering av alle tilgangselementer. Mange virksomheter forsterker sine eksterne tilgangspunkter ved å kreve multifaktor-autentisering (MFA) eller sertifikater for å få tilgang til VPN. Men Microsofts undersøkelser viser at vi ikke bær gjøre unntak på lokalnettet heller.

En vellykket Zero Trust-strategi krever fleksibel tilgang til applikasjoner, systemer og data, samtidig som sikkerheten opprettholdes for både brukere og ressursene de trenger for å gjøre jobben sin. Det er fem trinn som bør følges for å sikre identitetsinfrastrukturen:

1. Styrk legitimasjonen din. Hvis brukere i ditt identitetssystem benytter svake passord og ikke styrker dem med MFA, er det ikke et spørsmål om eller når du blir kompromittert – bare hvor ofte det skjer.
2. Reduser angrepsflaten. For å gjøre livet vanskeligere for hackere, eliminer bruk av eldre, mindre sikre protokoller. Begrens inngangspunkter for tilgang og utøv kontroll over administrative tilganger til ressurser.
3. Automatiser trusselresponsen. Reduser kostnader og risiko ved å minke tiden kriminelle har til å få fotfeste i miljøet ditt.
4. Øk synligheten. Bruk revisjon og logging av sikkerhetsrelaterte hendelser og relaterte varsler for å hjelpe med å oppdage mønstre som kan indikere interne angrep eller forsøk på vellykket ekstern penetrering av nettverket ditt.
5. Aktiver brukerens selvhjelp. Reduser friksjonen ved å la brukerne dine være produktive, selv om du er årvåken.
   

Avsluttende ord

Cybersikkerhet har endret seg dramatisk i den senere tid. Innarbeidede strategier er blitt snudd på hodet på mindre enn ett år av to hendelser: COVID-19- og SolarWinds-angrepene. Tradisjonell sikkerhet dreier seg om å bygge en herdet perimeter, ikke ulikt vollgraver og borgmurer rundt et festningsverk. Dette var et fornuftig konsept da truslene bare dukket opp utenfra og alle IT-aktiva befant seg på lokalnettet. Men sånn er det ikke lenger i dagens nye landskap med sky, fjernarbeid og mobilenheter. Den nye tilnærmingen er: Stol ikke på noen.

Den har potensialet til å forbedre måten organisasjoner beskytter data og systemer på. Null tillit forbedrer sikkerheten ved å eliminere avhengigheten av perimeterbasert beskyttelse og i stedet sette søkelys på å sikre brukere, aktiva og ressurser. Beskyttelse og autentisering må brukes kontinuerlig på enhets- og brukernivå for hver transaksjon for å sikre smidig og tilpasset autorisasjon. Dette sikrer et nivå av tillit ved hvert tilgangspunkt og fjerner noe av bekymringen rundt sikring av folk på hjemmekontor. Det reduserer også faren for datalekkasje eller at ansatte ved et uhell mister sensitive bedriftsdata lastet ned til personlige enheter.

Når organisasjoner beveger seg inn i neste fase av sin digitale transformasjon – med teknologi som i økende grad er vevd inn i våre mest grunnleggende menneskelige aktiviteter – fremmer Null tillit vår tillit på et åpent og fiendtlig Internett som ikke er til å stole på. Den gir oss sinnsro og tiltro til at våre enheter, data og handlinger på nettet er sikret.

For en mer omfattende overvåking og beskyttelse i hybride miljøer anbefales Microsoft Sentinel. Det er en rendyrket SIEM-, SOAR- og UEBA-løsning som lar deg koble til brannmurer, rutere og annet nettverksutstyr, pluss blant annet servere med applikasjoner.