Fortsatt er det mange virksomheter som henger igjen i tradisjonell nettverkssikkerhet, en modell som er inspirert av middelalderens festningsverk med tykke borgmurer og vollgraver. Men allerede på Shakespeares tid klarte de ikke å hindre general Macbeth i å drepe kong Duncan. Drapet kunne vært unngått ved å dele borgen inn i forskjellige soner, mellom konge og Macbeth med følge. De burde heller ikke automatisk vært ansett som tiltrodde personer. Og da er vi allerede midt i kjernen av Zero Trust (Null tillit). Vi kan ikke lenger operere med nettverk som oppfatter alt på innsiden som trygt, til forskjell fra utsiden som er utrygg. Vi må stykke opp bedriftsnettverket i segmenter med klare regler for dataflyt for å begrense spredningsradiusen ved et angrep og hindre trusselaktørene i å bevege seg sidelengs, så de ikke får tilgang til kritiske systemer.
Tillit som sårbarhet
Tillit er en sårbarhet og skal ikke være standardholdningen på et klarert nettverk, men unntaket. Tillit må opparbeides, brukere gjøre seg fortjent til den. Angriperne sniker seg inn i virksomheten som usynlig giftige innsekter; det er som om vi står der i døråpningen og forsøker å bekjempe moskitoer med et balltre – et lite passende forsvar mot moderne trusler. Beskyttelsen må svare til angrepets natur og bringes nærmere det som skal beskyttes, så som med myggnett til hver enkelt. Det betyr at vi forflytter forsvaret til identiteter og de enhetene de logger på fra. Ressurstilganger bestemmes og kontrolleres av sterk autentisering og autorisering. Sikkerhetsperimetere har på den måten utviklet seg fra fysiske avgrensninger via nettverk til identiteten, som er det nye kontrollplan.
Hva er Zero Trust?
Zero Trust er en moderne sikkerhetsstrategi med et sett av teknologier og retningslinjer som tolkes ulikt av forskjellige leverandører, men er basert på tre felles prinsipper. Microsoft har utviklet Zero Trust til en helhetlig og sammenhengende modell som innlemmer avanserte funksjoner i Azure AD og en omfattende familie av sikkerhetsprodukter. Det er en proaktiv integrert tilnærming til sikkerhet på tvers av alle lag av det digitale miljøet. Den verifiserer eksplisitt og kontinuerlig hver transaksjon, krever minste privilegier og er avhengig av trusseletterretning, avansert deteksjon og sanntidsrespons på angrep. Modellen hviler på tre grunnprinsipper:
Bekreft eksplisitt. Alle tilgjengelig datapunkter må alltid valideres. Hvem er bruker, og hvor logger hun eller han på fra? Er enheten som benyttes, registrert i organisasjonen og i samsvar med retningslinjene? Er det tegn som tyder på at den kan være infisert med skadevare? Hvilke tjenester eller nyttelaster ønsker bruker tilgang til? Er dataene som aksesseres, klassifisert som følsomme? Er det noe uvanlig ved påloggingen eller tilgangsforespørselen – som tidspunkt, sted og nettverk?
Bruk minste privilegerte tilgang. For å sikre data og produktivitet må brukertilgangen begrenses ved å gi tilgang akkurat i tide og bare nok for at brukere får jobben gjort. Risikobaserte adaptive policyer tilpasser seg skiftende forhold, som mistanke om kompromittert brukerkonto. Data må beskyttes mot alternative og uforutsette tilgangsmetoder.
Anta sikkerhetsbrudd. Gå utfra at du alltid står under angrep, og at et sikkerhetsbrudd kan oppstå når som helst. Du bør minske spredningsradiusen og hindre angriperne i å bevege seg sidelengs. Segmentering av nettverk og tilganger fungerer på samme måte som vanntette skott forhindrer for store skader på skroget ved en grunnstøting. Samtlige sesjoner bør være kryptert. Sikkerhet krever kontinuerlig overvåking med analyser og trusseloppdagelse, som i neste omgang forbedrer forsvaret.
Zero Trust i historisk lys
Historien lærer oss at vi trenger en ny sikkerhetsmodell og Zero Trust, og at det haster med å få den på plass. Problemene begynte allerede med designet av det militære forskningsnettverket ARPAnet, som senere utviklet seg til dagens Internett. Det var ikke utformet med tanke på konfidensialitet og integritet, men kun på tilgjengelighet (CIA) – våre tre nøkkelbegreper innen informasjonssikkerhet. Vi sliter fortsatt med å hindre uvedkommende i å få tilgang til, endre og slette verdifulle data, som er baksiden av CIA-triaden.
Den andre fatale tabben skjedde da virksomheter i annen halvdel av 1990-tallet trodde at de farefritt kunne koble seg til et åpent og usikkert Internett. Angrepene sto i kø, med distribuert tjenestenekt (DDoS), ødeleggende virus, trojanere som gir fjerntilgang, og avanserte vedvarende trusler (APT). Forsvaret var gjennomgående reaktivt, lå ett skritt etter. Det gjaldt å snu på flisa, ligge i forkant og være proaktiv. Dette var utgangspunktet for Jericho-forumet, som formelt ble etablert i 2004.
Med begrepet ´deperimeterisering´ og elleve bud legger forumet konseptuelt grunnlaget for sikker databehandling på åpne, ubeskyttet nett. Sikkerheten skal ikke forankres i en nettverksperimeter, men i brukeridentiteter, enheter, protokoller og dataene selv. Sikkerhetsmekanismene må være gjennomgripende, enkle, skalerbare og lett å administrere. Autentisering og autorisering bør kunne foregå utenfor egen lokasjon eller kontrollområde.
I 2010 preger John Kindervag, den gang ved Forrester Research, begrepet ´Zero Trust´ i et berømt whitepaper, No More Chewy Centers: The Zero Trust Model of Information Security. Han fastslår at den perimeterbaserte sikkerhetsmodellen er ineffektiv mot ondsinnete innsidere og målrettede angrep utenfra. Tillitsmodellen er ødelagt. Dette er i enda høyere grad sant ti år senere, med angriperne som i hovedsak har gått over til identitetsangrep med phishing og legitimasjonstyveri. Skurkene bryter seg ikke lenger inn i organisasjonen, men logger på med gyldig legitimasjon som de har rappet. Vi kan ikke lenger avgjøre om vi har å gjøre med venn eller fiende. Identiteten kan være kompromittert, og bruker behøver ikke være den hun utgir seg for.
Mellom 2014 og 2018 dokumenterer Google i en serie artikler utviklingen av sikkerhetsarkitekturen BeyondCorp. De skaper en ny modell som kvitter seg med forestillingen om privilegerte nettverk. Både interne og eksterne nett ansees for å være fullstendig upålitelige. Tilgang til applikasjoner gis ved å dynamisk håndheve tilgangsnivåer, styrt av policyer basert på informasjon om enhet, dens tilstand og tilknyttet bruker. BeyondCorp øvde en enorm innflytelse på IT-industrien – i mindre grad hvordan den ble implementert, enn filosofien bak: Tilgang er utelukkende avhengig av enhets- og brukerlegitimasjon, uavhengig av nettverksplassering.
Microsoft og Zero Trust
Microsoft har lenge anbefalt at sluttbrukere ikke skal være lokal administrator på enheter. Brukere bør heller ikke ha mer tillatelser i applikasjoner og tjenester enn de trenger. Dermed er prinsippet om minste privilegium ivaretatt, ett av grunnprinsippene for Zero Trust. I 2014 går Microsoft bort fra påstander om at nettverk kan sikres godt nok; nå er holdningen: Anta sikkerhetsbrudd – annet grunnleggende kriterium for Zero Trust. I 2016 introduserer de Betinget tilgang kombinert med multifaktor-autentisering (MFA) for eksplisitt å godkjenne brukere og autorisere ressurstilganger – som er det tredje kjennetegn. Arbeidet med et passordløst initiativ er pågående og godt i gang.
Zero Trust representerer et generasjonsskifte i sikkerhetsstrategien som reflekterer store endringer i ressursene som beskyttes, og utviklingen av angrepsteknikker. Strategien knyttet til klarerte nettverk var en tilsynelatende enkel og økonomisk løsning og hadde en eksistensberettigelse ved at de første angrepene var nettverksbaserte. Men i dag befinner brukere, enheter, applikasjoner og data seg i økende grad utenfor bedriftsnettverket. Zero Trust bringer sikkerhet til ressursene, uansett hvor de befinner seg, i stedet for å tvinge dem inn i et «sikkert» nettverk. Vi får en sikkerhetsarkitektur som gir bedre beskyttelse og minker skadeomfanget når vi utsettes for innbrudd.
Betinget tilgang som policymotor
Betinget tilgang er policymotoren i Zero Trust og fungerer som beslutnings- og håndhevelsespunkt. Kontrollstrategien – aldri stol på noe, alltid verifiser – fanger opp signaler fra alle datapunkter og tar informerte avgjørelser på bakgrunn av enhets- og brukerrisiko. Er enheten administrert, er det oppdaget trusler, er den i samsvar med virksomhetens retningslinjer? Benytter bruker MFA, tyder atferdsanalysen på avvikende oppførsel?
Beslutninger for innkommende forespørsler tas med utgangspunkt i organisasjonens policyer og re-evalueres under sesjonen. Til slutt håndheves policyen på tvers av ressurser, så som moderne apper og helst også eldre applikasjoner som publiseres ut til Internett. Denne identitetsdrevne arkitekturen sentrert rundt ressurstilganger gir betydelig bedre beskyttelse mot dagens angrep enn en sikkerhetsstrategi som bygger på klarerte bedriftsnettverk.
Brukeridentiteter logger på med MFA eller passordløst, biometriske kjennetegn som fingeravtrykk eller ansiktsgjenkjenning. MFA huskes typisk på enheten bruker logger på fra i 90 dager, så man ikke utsettes for «prompt-trøtthet» og godkjenner en pålogging man ikke selv har initiert. Azure AD Identity Protection evaluerer fortløpende risikoer knyttet til brukerkontoer og sesjoner, som kan føre til at bruker oppfordres til å endre passord eller oppgi MFA på nytt (kontoen kan også sperres). Så autoriseres bruker til å få ressurstilganger, basert på færrest mulig rettigheter og tillatelser.
Enheter må inngå i autentiserings- og autoriseringsprosessen. De bør være registrert i virksomhetens plattform for mobil enhets- og applikasjonsbehandling, så som Microsoft Intune. En bruker vil da bare kunne logge på fra en enhet som inngår i enhetsinventaret. Det stilles ytterligere krav til status for enhetsrisiko. Enheten må være i samsvar med virksomhetens retningslinjer – OS-versjon, kryptert lagring, påslått brannmur, sikker oppstart osv. Det må heller ikke være tegn på at enheten er infisert med skadevare. Geografisk sted for enheten spiller også en rolle, eksempelvis ikke i Nord-Korea eller bare i Skandinavia.
Da har vi allerede gjort mye for å stenge ute skurker foran inngangsdøren. De kommer ikke langt med stjålen legitimasjon basert på bare brukernavn og passord. De må i første omgang knekke MFA, som faktisk er fullt mulig om annen faktor er SMS eller tale. Tekstmeldinger kan fanges opp; SIM-kort-svindel er utbredt. Taleanrop kan avlyttes. En velkjent angrepsvektor er å få bruker til å avvise MFA-forespørsler så ofte at hun til slutt går lei og trykker på Godkjenn i autentiseringsappen. Et token som er lagret i nettleseren kan rappes. Men så må angriperen i tillegg ha tilgang til en klarert enhet. Alt dette lar seg gjøre – honningfelle som bedøver ansatt med partydop o.l. For de mest utbredte angrep er du imidlertid godt beskyttet.
Betinget tilgang håndhever nå sikkerhetspolicyer for hver enkelt bruker, om vedkommende er kommet så langt. Dette angår autorisering. Hvilke ressurser skal bruker ha adgang til, og hvordan. HR-portalen er som regel kritisk; her godtas for eksempel bare pålogginger fra en Windows 11-maskin som befinner seg på definerte steder. Vi ønsker helst at all adgang reguleres via denne policymotoren, som danner policybeslutnings- og håndhevelsespunktet. Det betyr at vi må kvitte oss med tradisjonell VPN, som uansett gir for bred adgang inn i hele bedriftsnettverket, og som ikke har samme innebygde beskyttelsesmekanismer. Som overgang flytter vi autentiseringen til Azure AD. Lokale applikasjoner publiserer vi ut til Internett med Application Proxy. Sånn ser brukere bare de appene de trenger – ikke som på lokalnettet der de kan få opp påloggingsvinduer for applikasjoner de ikke har rettigheter til. Dette fungerer som en effektiv mørklegging av bedriftsnettverket.
Følsomme data må beskyttes med kryptering og rettighetsstyring. Dette er våre verdier. Det kan være til stor skade om sensitiv informasjon lekker ut til uvedkommende. De to verste formene for skadevare i dag er menneskedrevne løsepengevirus og trojanere som gir fjerntilgang, dvs. oppretter kommunikasjon med kommando- og kontrollservere og sørger for at nettkriminelle kan bruke tastaturet på en kompromittert enhet og gi kommandoer innenfor brukerens sikkerhetskontekst. Derfor må vi ha endepunktsbeskyttelse som slår ned på disse aktivitetene.
Vi må i tillegg ha god synlighet og analyse av hva som foregår. Hva foretar brukere seg? Noe utenom det vanlige? Maskinlæring kan kartlegge normal atferd for hver enkelt og flagge uregelmessigheter og avvik. Er bruker og enhet på et anonymt nettverk, en uvanlig lokasjon, et kjent bot-nettverk? Aksesserer bruker ressurser til uvanlige tidspunkter? Kjører bruker obfuskerte PowerShell-skript, eller gir hun helt legitime kommandoer som samlet tyder på rekognosering og forsøk på sidelengs bevegelse i nettverket? Dette kan vi avdekke med Azure AD Identity Protection, Defender for Cloud Apps og Defender for Identity. Denne atferdsanalysen av brukere og entiteter blir stadig viktigere.
