Zero Trust-sikkerhetsmodellen er ikke ny. Det har eksistert siden John Kindervag fra Forrester Research skrev sin artikkel "No More Chewy Centers: Introducing the Zero Trust Model of Information Security" i 2010.

Zero Trust-tilnærmingen er sentrert rundt troen på at ingen bruker eller applikasjon iboende skal stole på, selv de som allerede er innenfor nettverkets perimeter.

Denne ideen blir allerede omfavnet av store selskaper og organisasjoner som Google, Coca-Cola og NSA for å bekjempe den økende trusselen om nettangrep. Imidlertid er det fortsatt veisperringer som hindrer dens mainstream-adopsjon.

Myter om Zero Trust Security

Etter hvert som organisasjoners interesse for Zero-Trust-modelltilnærmingen øker, har noen misoppfatninger om de grunnleggende prinsippene i rammeverket kommet i veien for å ta i bruk. Her er noen myter du ikke bør tro.

Myte én: Null tillit skaper en kultur av mistillit

En vanlig misforståelse om Zero Trust er at den fremmer ideen om ikke å stole på de ansatte. Selv om Zero Trust-rammeverket krever at selskaper gransker brukere som får tilgang til nettverksressursene deres, bør det ikke feiltolkes som noe personlig.

instagram viewer

Faktum er at tillit representerer en sårbarhet som kan sette din organisasjon i fare for et angrep. Nettkriminelle utnytter tillit spesifikt for å målrette mot selskaper, og Zero Trust tilbyr en måte å dempe dette på. Det tilsvarer en nøkkelkortinngang i stedet for å la alle gå inn i en bygning.

Av ved å bruke prinsippet om minst privilegium (POLP), kan organisasjoner tilpasse terskelpolicyene sine slik at brukere kun får tilgang til ressursene de trenger basert på tilliten de har opparbeidet seg.

Myte to: Null tillit er et produkt

Zero Trust er en strategi eller et rammeverk, ikke et produkt. Det er bygget rundt ideen om å aldri stole på og alltid verifisere.

De ulike produktene som tilbys av leverandører kan bidra til å oppnå Zero Trust; de er imidlertid ikke Zero Trust-produkter. De er bare produkter som fungerer godt i Zero Trust-miljøet. Så hvis en leverandør ber deg kjøpe Zero Trust-produktet deres, er det en indikasjon på at de ikke forstår det underliggende konseptet.

I slekt: Hva er et Zero Trust Network og hvordan beskytter det dataene dine?

Når de er riktig integrert med Zero Trust-arkitekturen, kan ulike produkter effektivt minimere angrepsoverflaten og inneholde eksplosjonsradius i tilfelle brudd. Når den er fullt implementert, kan en Zero Trust-løsning med kontinuerlig verifisering fullstendig eliminere angrepsoverflaten.

Myte tre: Det er bare én måte å implementere Zero Trust

Zero Trust er en samling sikkerhetsprinsipper som involverer konstant verifisering, prinsippet om minst privilegert tilgang, og å redusere angrepsoverflaten.

Gjennom årene har det dukket opp to tilnærminger for å komme i gang med en Zero Trust-modell. Den første tilnærmingen starter med identitet og involverer multifaktorautentisering, som gir raske resultater.

I slekt: Hva er tofaktorautentisering? Her er hvorfor du bør bruke den

Den andre tilnærmingen er nettverksentrisk og starter med nettverkssegmentering. Konseptet innebærer å lage nettverkssegmenter for å kontrollere trafikk innenfor og mellom disse segmentene. Nettverksadministratorer kan deretter opprettholde separat autorisasjon til hvert segment, og dermed begrense spredningen av laterale trusler i et system.

Myte fire: Null tillit tjener bare store bedrifter

Google var et av de første selskapene som implementerte Zero Trust-arkitekturen som svar på Operation Aurora i 2009. Dette var en serie angrep rettet mot store bedrifter som Google, Yahoo, Morgan Stanley og Adobe Systems.

Da Google tok i bruk Zero Trust-modellen umiddelbart etter angrepene, trodde (og tror fortsatt) mange bedrifter at den bare gjelder store organisasjoner. Denne forestillingen ville bare være sann hvis nettangrep var begrenset til store bedrifter, noe som ikke er tilfelle. I virkeligheten ca 46 prosent av datainnbrudd i 2021 var rettet mot små bedrifter.

Mens media har en tendens til å dekke datainnbrudd som påvirker store bedrifter, er det ingen tvil om at små bedrifter også trenger beskyttelse mot nettangrep.

Den gode nyheten er at små organisasjoner ikke trenger å bryte banken for å implementere Zero Trust-modellen. Siden det ikke er et produkt, kan bedrifter introdusere det gradvis ved å tildele en beskjeden årlig investering i Zero Trust-arkitekturen.

Myte fem: Null tillit hindrer brukeropplevelsen

En av hindringene for Zero Trust-adopsjon er den opplevde innvirkningen på brukeropplevelsen. Det er forståelig å anta at produktiviteten og smidigheten til brukere vil lide under kontinuerlig verifisering av brukernes identitet. Men når den er riktig implementert, kan Zero Trust levere en brukervennlig opplevelse.

Organisasjoner kan vurdere brukerprofiler og kombinere risikobasert autentisering med maskinlæring for å identifisere risikoer og ta beslutninger om rask tilgang. Hvis risikoen er høy, kan systemet kreve et ekstra autentiseringstrinn eller blokkere tilgangen fullstendig for å beskytte ressursene. Tvert imot kan det eliminere autentiseringsutfordringer hvis risikoen er lav.

En Zero Trust-tilnærming reduserer også kompleksiteten på den administrative siden av ting. Entreprenører og ansatte vil ikke lenger være sikkerhetsansvarlige i tilfelle de slutter å gjøre forretninger med deg. Under en effektiv Zero Trust-modell vil systemet umiddelbart avslutte deres tilgang til viktige eiendeler, og eliminere bakdører.

Myte seks: Zero Trust er begrenset til lokale miljøer

Mange bedrifter ser fortsatt på Zero Trust som en modell som bare kan administreres på stedet. Dette blir et stort problem siden sensitive data nå befinner seg i hybrid- og skymiljøer. Med cyberangrep og hacks som påvirker lokal arkitektur øker, flytter flere og flere virksomheter til skyen.

Den gode nyheten er at Zero Trust raskt beveger seg med det.

I slekt: Topp datainnbrudd i skysikkerheten de siste årene

Ved å etablere en Zero Trust-arkitektur i skyen kan bedrifter beskytte sensitive data og redusere eksponeringen av sårbare eiendeler i nettverket deres.

I tillegg, ettersom fjernarbeidskulturen intensiveres og nettkriminelle utvikler nye måter å utnytte sårbarheter på, risikerer virksomheter som er avhengige av lokal infrastruktur forstyrrelser.

Aldri stol på; Verifiser alltid

Basert på antallet datainnbrudd rettet mot organisasjoner, er det tydelig at den gamle tilnærmingen til sikkerhet ikke er nok. Mens mange tror at Zero Trust er dyrt og tidkrevende, er det en fantastisk motgift mot sikkerhetsproblemene akkurat nå.

Zero Trust-modellen søker å fjerne tillitsbaserte systemer ganske enkelt fordi den blir utnyttet for ofte i nettangrep. Det fungerer etter prinsippet om at alle og alt skal verifiseres før man får tilgang til nettverksressursene. Dette er en verdig streben for selskaper som ønsker å redusere risikoer og forbedre sin sikkerhetsstilling.

Hvordan kan Zero-Trust Security forhindre Ransomware-angrep?

Den tradisjonelle sikkerhetsmodellen har vist seg ineffektiv mot løsepengevare. Finn ut hvorfor null-tillit er den beste tilnærmingen for å bekjempe cyberangrep.

Les Neste

DelekvitringE-post
Relaterte temaer
  • Sikkerhet
  • Online sikkerhet
  • Cybersikkerhet
  • Personvern på nett
  • Forretningsteknologi
Om forfatteren
Fawad Ali (25 artikler publisert)

Fawad er en IT- og kommunikasjonsingeniør, ambisiøs gründer og forfatter. Han gikk inn på arenaen for innholdsskriving i 2017 og har jobbet med to digitale markedsføringsbyråer og en rekke B2B- og B2C-kunder siden den gang. Han skriver om sikkerhet og teknologi ved MUO, med mål om å utdanne, underholde og engasjere publikum.

Mer fra Fawad Ali

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Klikk her for å abonnere