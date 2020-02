De protokoll som idag utgör stommen i internet utvecklades utan säkerhet i åtanke. Den viktigaste identifieraren, ip-adressen, utgör ingen pålitlig identitet och utan extra lager av säkerhet kan vi inte veta vem eller vad som är behörig att få tillgång till uppkopplade resurser och data.

De resurser och tillgångar som behöver skyddas från utomstående kan därför inte exponeras utan något slags system för kontrollerad tillgänglighet, till exempel en brandvägg, och här någonstans uppstår det klassiska konceptet med ett pålitligt internt nätverk med interna resurser och aktörer, och ett externt nätverk med framförallt aktörer vi inte kan lita på. Det logiska gränssnittet mellan dessa nätverk utgörs av ett system med policys som reglerar tillgängligheten till interna resurser.

Det klassiska paradigmet med in- och utsidor håller för all del fortfarande i viss mån, men de senaste årens tekniska utveckling har börjat springa ifrån modellen av flera anledningar, främst därför att distinktionen mellan in- och utsida suddas ut och blir allt mer poänglös, och även för att det policy-mässiga antagandet att insidan generellt är säker medför att cyberattacker som väl fått fotfäste i någon enhet på insidan, snabbt och relativt enkelt kan sprida sig till andra interna enheter.

Går inte via företagets brandvägg

Drivkraften bakom nolltillit, på engelska zero trust, är att när användarna kopplar upp sig till molntjänster utanför kontoret går de direkt via internet och inte via företagets centrala brandvägg.

– Då har gränsen mellan in- och utsida blivit svävande, säger Henrik Bergqvist, it-säkerhetsexpert på Cisco.

Samtidigt behöver organisationer i allt högre utsträckning ge externa aktörer tillgång till interna system eller koppla ihop organisationens applikationer med externa system och användare. Lägg till detta att enheter som mobiler, både organisationens egna och externa aktörers, rör sig in och och ut över perimeterskyddet, och de flesta inser att detta sammantaget kan ge upphov till mycket komplexa miljöer.

– Vi arbetar mer på distans och mjukvaran och hårdvaran som gör det möjligt att autentisera oss utvecklas också. Modellen där allt är öppet för alla håller på att dö ut och många gamla nätverk byts ut: ”Om du inte jobbar med sladd i datorn och kör via wifi så måste du uppfylla dessa kriterier”. Och vips så går åren och alla jobbar via wifi och då uppfylls dessa kriterier såsom att ha en personlig hårdvarudongel, certifikat i datorn och krypterad anslutning

– Det blir nämligen billigare och billigare för angripare att attackera system för varje år som går. Metoderna och verktygen utvecklas och därmed måste även försvararna bygga bättre försvarsfunktioner. Zero trust är en del, och förmågan att upptäcka och avvärja cyberattacker är en annan del där vi också blir successivt bättre. Detta är också direkt kopplat till attacker som Password Spraying och Credential Stuffing, säger Jonas Lejon.

Denna komplexa miljö regleras traditionellt med verktyg som brandväggar och vpn – verktyg och policys vars definitionsmässiga grund vilar på idén om avgränsade in- och utsidor och som inte kan erbjuda den finkornighet som skulle behövas. Denna situation blir allt mer ohållbar, men att införa nya tekniker kan i sig tillföra komplexitet.

Henrik Bergqvist.

– Zero Trust är en resa där vissa delar enkelt ger bättre säkerhet, medan andra kräver mer jobb, säger Henrik Bergqvist på Cisco. Att autentisera användaren med flerfaktorsautentisering (MFA) ger enkelt bra skydd mot identitetsstöld. Att därefter ha granulära regler för vilka applikationer vilken användare ska komma åt är inte tekniskt svårt – det är bara att sätta dem i rätt Active Directory-grupp. Utmaningen är att definiera reglerna – är det hr eller it som gör det?

Innebär en utvärdering av varje enhet

– För maskiner under it-avdelningens kontroll är det relativt enkelt att skjuta ut hårdvarucertifikat och autentisera med hjälp av dessa. För andra enheter, ofta iot-enheter som inte har hårdvarucertifikat, till exempel sensorer, röntgenmaskiner och skrivare, behöver man använda profileringstekniker. Zero trust är ju här inte bara MFA utan också en utvärdering av enheten som till exempel om den har rätt patchnivå, var den befinner sig och så vidare, säger Henrik Bergqvist.

Zero trust för applikationer kan enligt Henrik Bergqvist vara mer utmanande eftersom man inte alltid vet vad som är ett acceptabelt beteende hos en applikation. Normalt börjar man därför med att passivt avläsa applikationens beteende för att skaffa sig en förståelse för applikationens grundbeteende, och först därefter kan så kallad mikrosegmentering införas för att spärra mot avvikelser. Det har visat sig att man behöver bygga en grundnivå i tre månader eftersom det finns applikationer som bara körs vid kvartalsslut.

Nolltillit är, som namnet antyder, ett paradigm som utgår från att ingenting går att lita på. Nolltillit utgår i stället från principen om vitlistor – det vill säga endast det eller de som vi explicit anger som pålitliga och säkra släpps igenom och tilldelas de rättigheter och resurser som krävs för att utföra exakt det som kommunikationen avser, och endast i den omfattning som krävs. Allt annat blockeras. Men allt kan heller inte vara svart eller vitt.

– En viktig del vi på Cisco tycker att många andra missar är att man kontinuerligt behöver ompröva den tilldelade tillitsnivån. En enhet som tidigare fått okej, men som senare börjar uppföra sig skumt, ska tvingas att göra om evalueringen, säger Henrik Bergqvist.

Zero trust utgår också från mer tillförlitliga identifierare än till exempel ip-adresser och använder i stället i hög grad identiteter som grund för vem eller vad som ska släppas igenom och under vilka villkor. Med nolltillit kan man bygga mycket mer granulära policys som utgår från vem eller vad något är, istället för bara vilken nätverksändpunkt som kommunicerar i andra änden och var den befinner sig.

– Inom zero trust så har inte ip-adresser spelat ut sin roll. Det handlar mer om att ta allt i beräkning beroende på vilken tjänst du vill nå. För att läsa intranätet kanske du inte behöver så mycket behörigheter, men för att nå mer känsliga saker så måste din dator ha ett certifikat utfärdat, du måste köra en mjukvara som kontrollerar att du har en viss nivå av antivirus och skydd, samt att du måste ha en fysisk nyckel såsom Yubikey ansluten som du använder för att bekräfta att du vill ansluta, säger Jonas Lejon.

Går inte att lita på ip-adresser

– Man behöver kunna lita på identiteten på en maskin eller användare för att kunna fatta säkerhetsbeslut. Ip-adresser tilldelas ofta dynamiskt och går inte att lita på på samma sätt som ett maskincertifikat eller en MFA-autentiserad användare, säger Henrik Bergqvist på Cisco.

Identiteter kan vara till exempel en användare, en applikation eller hårdvara – vilken ip-adress de använder eller var de befinner sig ska inte spela någon roll. En användare, till exempel, kan befinna sig på kontoret, hemma eller i en annan världsdel – det viktiga, och det centrala för nolltillit, är att användaren för det första definitionsmässigt är opålitlig var den än befinner sig och är utelåst från alla resurser som inte explicit tilldelats, även inne på kontoret, och för det andra tilldelas resurserna utifrån användarens identitet.

– En brandvägg som frågar ett Active Directory om vilken användare eller maskin som har en specifik ip-adress får egentligen bara veta att adressen har tilldelats maskinen eller användaren, inte om maskinen eller användaren är den som fortfarande använder ip-adressen. För detta krävs koppling till en NAC-lösning, säger Henrik Bergqvist.

På samma sätt regleras rättigheter för en applikation eller process. En applikation kan köras på en virtuell maskin på en molnplattform den ena dagen, men dynamiskt flyttas till en annan virtuell maskin en annan dag, med en annan ip-adress. Applikationen kan även ha en instans i organisationens eget datacenter i en hybridlösning. Oavsett vilket är applikationen inom zero trust-paradigmet inte att lita på och det är applikationens identitet som är avgörande för dess tillgång till organisationens interna eller externa resurser och data. Med nolltillit talar vi alltså om logiska gränser, och inte fysiska.

Den andra sidan av nolltillit handlar om det vi traditionellt kallar för insidan av organisationens nätverk. Med nolltillit ska vi alltså upphöra med att lita på interna användare, applikationer och andra resurser. Vi ska istället betrakta alla enheter på insidan som om de vore externa och potentiellt skadliga. Lösningen för att uppnå detta stavas mikrosegmentering.

En virtuell brandvägg framför processer

Mikrosegmentering är en säkerhetsteknik som går ut på att sätta granulära säkerhetspolicys på nätverks-, makin-, applikations-, eller till och med processnivå – och naturligtvis för användare. Man kan bildligt se det som att sätta en virtuell brandvägg framför en applikation eller process.

– En grundläggande del i zero trust-arkitekturer är segmentering och framförallt mekanismer för att lägga användare, maskiner och applikationer i rätt segment. Klassiskt gjordes det med vlan, men moderna tekniker som Security Groups skalar bättre. Att börja med zero trust och MFA för användare är vettigt för alla organisationer och för en organisation som mest använder SaaS-tjänster i molnet kanske det räcker där, säger Henrik Bergqvist.

– En organisation som har många IoT-enheter i sitt nät, till exempel industri, sjukhus et cetera, bör sedan satsa på Zero Trust-segmentering av sin infrastruktur. En organisation som har mycket egna applikationer, som banker, myndigheter med flera, bör snarare satsa på mikrosegmentering av applikationer. Detta gäller både om de körs i eget datacenter, i molnet eller som en hybridlösning, säger Henrik Bergqvist.

Man kan alltså säga att Zero Trust kommer i två smaker: Mikrosegmentering av interna resurser, och tillgänglighet till/från externa resurser och aktörer. Bägge kan implementeras var för sig, men de kan eller bör även implementeras tillsammans som en helhet.

Jonas Lejon.

– Jag tycker det är vettigt att implementera bägge. Den ena frågan rör mer isolering av enskilda system och tjänster och den andra frågan är mer riktad mot behörighetshanteringen, men givetvis samspelar dessa två, säger Jonas Lejon.

Mycket riskabelt förhållningssätt

Zero Trust-tekniken sägs reducera risken för företag och organisationer och den attackyta de exponerar mot omvärlden. Det blir särskilt tydligt i fallet med mikrosegmentering. Den traditionella synen på nätverkets insida som en säker zon är ett mycket riskabelt förhållningssätt idag.

Att organisationens nätverk kan bli komprometterat är idag mer en när-fråga än en om-fråga, och många experter hävdar att det är bättre att betrakta insidan som komprometterad och ha det som utgångspunkt än att tro att man är säker. Mikrosegmentering är ett effektivt sätt att förhindra eller i vart fall kraftigt begränsa spridningen av till exempel skadlig kod inom organisationens nätverk. Om insidan av organisationens nätverk är mikrosegmenterad kan man kanske fråga sig om brandväggar och VPN behövs överhuvudtaget, men både Henrik Bergqvist och Jonas Lejon vill behålla både brandväggar och VPN?

– Brandväggar och VPN behövs fortfarande och är viktiga delar i zero trust, säger Jonas Lejon. Jag gillar att ha flera lager som skyddar. Angriparen ska inte ha det lätt att ta sig igenom alla lager av skydd och där har zero trust en viktig roll att spela. Bara för att någon lyckas forcera 2FA för VPN så ska de inte ha fullt blås överallt inom organisationen.

Speciellt skadliga attacker sprids som en mask

– Vi brukar säga att en hackare inte längre bryter sig in utan hen loggar in. Det vill säga hen stjäl en användares identitet. Att använda zero trust och speciellt MFA minskar den attackytan avsevärt, för det blir svårt att stjäla användaridentiteter. De attacker som är speciellt skadliga är de som sprider sig lateralt som en mask mellan användare, maskiner och applikationer. Ett exempel är Notpetya. Zero trust med segmentering begränsar kraftigt skadeverkan, säger Henrik Bergqvist.

– Är du ”cloud native” och köper allt som SaaS så är behovet av VPN och DMZ litet. Grundläggande brandväggsfunktionalitet är dock lämpligt att fortsätta med. Har du egen infrastruktur behöver du fortsätta skydda den med DMZ och avancerad brandvägg. MFA bör vara förstahandsvalet framför VPN, men har du existerande applikationer som inte är byggda med https så är det oftast lämpligast med VPN, säger Henrik Bergqvist.

– Generellt kan man säga att brandväggens betydelse minskar med zero trust eftersom mer av upprätthållandet av säkerhetsbegränsningarna sker med segmenteringarna i nätverksinfrastrukturen och i applikationernas mikrosegmentering. Brandväggen behöver inte reglera vem eller vad som ska komma åt vad utan det är redan inbyggt i infrastrukturen. Brandväggen behövs dock när trafik behöver gå från ett segment till ett annat, säger Henrik Bergqvist.

Zero trust är både ett sätt att tänka kring it-säkerhet och hur man utformar organisationens it-försvar, men det är förstås även teknik, produkter och inte minst en kompetensfråga. Att köpa mer teknik och produkter kan vara en lösning samtidigt som detta kan öka komplexiteten och i sig utgöra attackvektorer, men många företag och organisationer har redan stora delar av förutsättningarna på plats för att börja med Zero Trust.

– Många produkter har redan Zero Trust inbyggt och eventuellt behövs bara en extra licens, samt en klient som måste installeras, men visst så blir detta också ytterligare en attackvektor. Jag tror dock att fördelarna med "mer järn" överväger nackdelarna i det långa loppet. Jag vet att delar av Googles Zero Trust-modell finns att hyra via deras molntjänster och detta tyder på att molnleverantörerna är på hugget, säger Jonas Lejon. Jag skulle rekommendera med att börja på att titta på organisationens skyddsvärden samt hur användare kommer åt dessa. Sedan kolla på teknik-stacken och vad det finns för stöd i denna i dagsläget? Vad har ni för färdiga lösningar i dagsläget och hur kan dessa användas på fler ställen?

Krävs lösningar på alla områden

– På Cisco pratar vi ZTA – zero trust architectures. Det är i högsta grad lämpligt att ta det som ett paradigm. Det går inte att köpa en produkt och tro att man på så sätt skaffat zero trust. Vi pratar om WWW – workforce, workplace och workload, det vill säga användare, infrastruktur och applikationer. Det krävs lösningar på alla områden, men kanske speciellt i infrastrukturen finns det mycket som redan är klart för NAC och segmentering, men inte är påslaget, säger Henrik Bergqvist.

På frågan hur införande av nolltillit kan löna sig för en organisations svarar Henrik Bergqvist att ”ROI:n ligger mycket i att möjliggöra moderna arbetssätt utan att kompromissa med säkerheten. Specifikt för organisationer som har en MFA-lösning per applikation är det kostnadsbesparande att bara ha en gemensam lösning, om inte annat ur ett drifthänseende. Med en gemensam MFA-lösning som hanterar alla applikationer och som också har single sign on (SSO) sparar användaren mycket tid när hen bara behöver autentisera sig till första applikationen och kommer rakt in i de andra”.

– Den teknik som behövs är en MFA-lösning som är generell. Många organisationer har hamnat i att de har en MFA-lösning per applikation. Detta leder till frustration hos användarna och dålig kontroll för säkerhetsavdelningen. Zero Trust för infrastrukturen är oftast mest en fråga om att slå på funktionerna och Zero Trust för applikationer kräver en lösning som kan bygga ”baseline” och sedan göra regler för mikrosegmentering. Den behöver funka i en hybrid av eget datacenter och moln, säger Henrik Bergqvist.

