Intresset för zero trust-säkerhet har tydligt ökat de senaste två åren bland organisationer som letar efter bättre sätt att kontrollera tillgången till data i molnet och egna datacenter för distansarbetare, underleverantörer och tredje part.

Flera faktorer driver på trenden, inklusive allt mer sofistikerade hot, accelererad molnanpassning och ett bredare skifte mot distans- och hybridarbete. Många organisationer har upptäckt att traditionella säkerhetsmodeller där allt på insidan av perimetern är implicit pålitligt inte fungerar när perimetern inte finns, och data och de människor som vill komma åt den är alltmer distribuerade och decentraliserade.

Intresset har inte blivit mindre efter president Bidens exekutiva order från maj 2022 som kräver att alla federala myndigheter ska implementera zero trust-säkerhet. I en undersökning förra året från Forrester Research på uppdrag av Illumio svarar två tredjedelar av 362 säkerhetschefer att de planerar att öka budgeten för zero trust. Av de undersökta organisationerna svarar 52 procent att de förväntar sig att deras zero trust-program ska leverera tydliga fördelar för hela organisationen, och 50 procent säger att tekniken bör möjliggöra säkrare migrationer till molnet.

Leverantörer inom cybersäkerhet, som vädrar nya affärer, har rusat ut på marknaden med en rad produkter med zero trust på etiketten. En informell undersökning genomförd av analysföretaget IT-Harvest bland hemsidorna tillhörande 2800 leverantörer visar att 238 av dem lyfter fram zero trust.

– Efter att Vita huset och CISA publicerat vägledningar för att gå över till zero trust vill alla ställa sig i linje med konceptet, säger Richard Stiennon, analyschef på IT-Harvest.

Trenden runt dessa tekniker har orsakat en hel del förvirring, vilket fick Forrester research, som först introducerade konceptet, att tidigare i år förtydliga sin definition av modern zero trust. ”Fake news om zero trust framförda av säkerhetsleverantörer orsakade förvirring bland säkerhetsproffs”, skriver analysföretaget.

”Zero trust är en informell säkerhetsmodell som skönsmässigt nekar access till applikationer och data. Hotprevention uppnås genom att endast tillåta access till nätverk och arbetslaster genom att använda policys som baseras på kontinuerlig, kontextuell, riskbaserad verifiering av användare och enheter associerade med dem”.

Här följer fem fallgropar du bör undvika när du implementerar en säkerhetsstrategi baserad på zero trust.

1. Att anta att zero trust bara handlar om ZTNA

Det är mycket viktigt att implementera zero trust network access (ZTNA) för att nå fram till zero trust, men ZTNA är inte zero trust.

ZTNA är ett tillvägagångssätt för att säkerställa att distansarbetare, underleverantörer, affärspartner och andra får access till företagets applikationer och data på ett säkert, anpassningsbart och policy-baserat sätt. Med ZTNA får användare tillgång till resurser baserat på lägsta-nivå utifrån deras identitet, roll och realtidsinformation om deras enheters säkerhetsstatus, plats och många andra riskfaktorer.

Varje accessförfrågan till ett företags applikation, data eller tjänst vägs mot dessa riskkriterier och tillgång ges endast till de specifika resurser som efterfrågas och inte till det underliggande nätverket.

De senaste två åren har många organisationer implementerat eller börjat att implementera ZTNA som en ersättare för VPN som metod för distansinloggning. Det plötsliga skiftet mot en mer distribuerad arbetsmiljö på grund av pandemin blev för mycket för många VPN-lösningar inom många organisationer och tvingade dem att se sig om efter mer skalbara alternativ.

– Ett stort användningsområde för ZTNA är som förstärkning eller ersättare för VPN, i sig pådriven av en hittills osedd ökning av distansarbete, säger Daniel Kennedy, analytiker på 451 Research, en del av S&P Global Market Intelligence.

Historiskt har VPN handlat om att tillhandahålla access till företagets nätverk, snarare än specifika resurser – som idag kan finnas var som helst. Att driva trafiken bak genom en VPN och sedan ut igen till en tjänst utanför företagets nätverk är att lägga på ett onödigt steg, säger Daniel Kennedy. ”ZTNA ger access på ett mer granulärt sätt och kan omvärdera tillgången istället för att bara tillhandahålla autentisering i början av tillgången”.

Men ZTNA är bara en del av berättelsen om zero trust. En organisation kan inte trovärdigt hävda att de implementerat zero trust utan att ha implementerat antingen hantering av privilegierade identiteter, mikrosegmentering, eller helst både och, säger David Holmes, analytiker på Forrester Research.

Forrester definierar mikrosegmentering som ett tillvägagångssätt syftande till att reducera påverkan av ett dataintrång genom att isolera känsliga data och system. Detta genom att placera dem i skyddade nätverkssegment och sedan begränsa användarnas tillgång till dessa skyddade segment med stark hantering av identiteter och styrning.

Enligt Forrester är målet är att minska attackytan och begränsa effekten av ett intrång. En nyckel till zero trust är att säkerställa att användare, även dem med privilegierat access till admin-funktioner, inte ges mer tillgång till applikationer och data än de behöver.

2. Att blanda ihop zero trust med en produkt

Det finns många verktyg och produkter som kan hjälpa organisationer att implementera en zero trust-strategi. Men blanda inte ihop dem med strategin i sig.

– En zero trust-filosofi handlar inte längre om att förlänga den implicita tilliten till applikationer, enheter eller användare baserat på källan, säger Daniel Kennedy. Istället, menar han, handlar det om att implementera tillgångsrättigheter som i grundläget nekar access eller ger minsta möjliga privilegier, med kontinuerlig utvärdering av risker som till exempel kan förändras baserat på faktorer som beteendet hos användare eller enheter.

När man utvärderar tekniker för implementation av strategin bör man ignorera etiketterna och se sig om efter produkter med förmågan att knyta an till de fundamentala principerna för zero trust, såsom de ursprungligen definieras.

– Termer utvecklas förstås, precis som denna har utvecklats, säger Daniel Kennedy, men de kommer med konnotationer. Så associationer med närmanden till produkter måste vara rotade i någon slags realistiskt koppling till den skisserade filosofin. Detta betyder att ha produkter som stödjer avgörande zero trust-principer som mikrosegmentering, mjukvarudefinierad perimeter och integritet för enheter.

– Den största åtskillnaden jag ser som orsakar otillfredsställda förväntningar är sammanblandningen av en zero trust-filosofi med en specifik produktimplementation, säger Daniel Kennedy.

3. Att anta att du kan uppnå zero trust utan grundläggande säkerhetshygien

Att enbart sjösätta de rätta verktygen räcker inte om du inte är uppmärksam på fundamenta, enligt John Pescatore, chef för framtida säkerhetstrender på SANS Institute.

– Det stora misstaget på verksamhetssidan är att tro att du kan uppnå zero trust utan att först uppnå grundläggande säkerhetshygien. Om du inte kan lita på att ändpunkter kan konfigureras så de blir säkra och hållas uppdaterade; om du inte kan lita på identiteter för att man återanvänder lösenord; och om du inte kan lita på mjukvara för att den inte har testats, då är det omöjligt att uppnå fördelarna med zero trust, säger Pescatore.

Verktyg kan hjälpa till med den tekniska säkerhetsaspekten av zero trust. Men även om man har verktyg kan man inte undvika att det blir en hel del tankeverksamhet, säger Holmes. ”Till exempel behöver en organisation nalkas dataklassificering på ett övertygande sätt, och vissa behöver granska privilegierna för anställda och tredje part. Bägge är icke-triviala och för det mesta manuella uppgifter”.

Stiennon på IT-Harvest säger att ett bra sätt för organisationer att närma sig är att först identifiera och granska de områden inom IT-infrastrukturen där skyddet baseras på någon form av tillit. Det kan till exempel vara ett anställningsavtal där organisationen litar på att användare följer dess policys. Eller det kan gälla ett avtal eller ett SLA med en molnleverantör om hur de använder (eller inte) organisationens data.

– När du väl hittat luckorna kan du börja fylla dem med tekniska kontroller. Du kan övervaka anställda för att se om de följer reglerna, och du borde definitivt kryptera dina data i molnet så att du inte är beroende av leverantörens goda beteende, säger Stiennon.

4. Att ha dåligt definierade accessregler för användare

Att närma sig zero trust kan hjälpa organisationer att driva igenom adaptiva, policy-baserade accesskontroller till företagets resurser på ett sätt som beaktar riskfaktorer i realtid. Detta kan vara enhetens säkerhet, plats och vilken typ av resurs som efterfrågas. När detta implementeras korrekt ser tillvägagångssättet till att användare endast får tillgång till den den specifika resursen de efterfrågat, och med så låga privilegier som möjligt.

För att göra det på ett effektivt sätt behöver säkerhets- och it-administratörer ha en klar förståelse av vem som behöver tillgång till vad, enligt Patrick Tiquet, chef för säkerhet och arkitektur på Keeper Security. Det betyder att räkna upp alla möjliga roller och tilldela dem privilegier baserat på de krav som ställs i deras arbete och roller.

– Zero trust är verkligen ett enkelt koncept: användare får tillgång till de resurser som krävs för att de ska kunna utföra sina arbeten, och får inte tillgång till resurser de inte behöver, säger Tiquet.

Som ett exempel pekar han på en delad nätverksdisk som alla i ett företag med tio anställda kan ha tillgång till. På enheten finns information från sälj, HR och kunder som alla inom företaget har tillgång till oavsett roll.

– Det innebär en hög risk för otillbörlig tillgång, förlust och stöld av data, och obehöriga avslöjanden. En implementation av zero trust i denna situation hade begränsat tillgången, men inte påverkat produktiviteten, och samtidigt drastiskt minskat företagets risk, säger Tiquet.

Enligt Tiquet är det initialt bäst att hålla sig till väldefinierade rättighetsroller för att senare ta bort eller utöka rättigheterna för individuella användare när de behöver dem.

5. Att negligera användarupplevelsen

Eftersom zero trust-modeller har ett stort inflytande på slutanvändarna bör man inte negligera användarupplevelsen. ”Autentisering och tillgång påverkar nästan alla anställda, så felsteg kan stå en CISO dyrt”, säger Daniel Kennedy på 451 Group.

De anställdas produktivitet kan påverkas negativt om ett zero trust-initiativ stressas igenom utan att förbereda de anställda på förändringen. Om initiativet studsar eller om det påverkar negativt kan det också påverka hela initiativets trovärdighet.

– Vägen till framgång är väl upptrampad. Sätt upp ett önskat mål för din zero trust-strategi och implementera metodiskt de olika delarna tillsammans med en leverantör. Planera, utför och testa försiktigt för att säkerställa att alla extra steg som krävs av användarna tillför motsvarande fördelar för säkerheten, säger Daniel Kennedy.