Zero Trust-modellen bygger på ett enkelt koncept, "lita inte på någon eller något". Forrester noterar att Zero Trust "baserat på tron att tillit är en sårbarhet och att säkerhet bör utformas med strategin "aldrig lita på, alltid verifiera". Närmare bestämt implementerar organisationer som använder Zero Trust-modellen policyer för att verifiera allt och alla, oavsett om det är internt eller externt. Även om Zero Trust-metoden har funnits i mer än ett decennium, som först uppfanns 2009 av Forrester-analytikern John Kindervag, har den först nyligen blivit allmänt antagen. Zero Trust har växt och moderniserat många aspekter av IT-säkerhet. Till exempel, medan traditionella VPN-tjänster fortfarande erbjuder väsentliga skydd när man fjärransluter från ett hemnätverk till ett företagsnätverk, har Zero Trust-nätverk tagit säkerheten för distanspendlare till nästa nivå, i s'' riktade specifikt till miljöer som är moderna och växande, som t.ex. molninfrastruktur, mobila enheter och Internet of Things (IoT). Dessutom har Zero Trust-konceptet förändrat e-postsäkerheten. Äldre e-postsäkerhetslösningar fokuserar endast på traditionella typer av attacker, som spam eller misstänkt innehåll i meddelandetexten, ett tillvägagångssätt som inte längre är motståndskraftigt mot dagens avancerade hot. Å andra sidan ger en noll-trust-strategi för e-postsäkerhet företag det extra skyddsskiktet som behövs för att försvara sig mot de mest komplexa hoten som levereras via e-post, såsom nätfiske, social ingenjörskonst och kompromissattacker. Business email (BEC). Eftersom e-post fortfarande är den främsta attackvektorn och e-postbaserade hot ökar i mångfald, hastighet och sofistikering, är det viktigt att organisationer tillämpar Zero Trust-modellen i sin säkerhetsstrategi.
Gör autentisering till hjärtat av e-postsäkerhet
E-postbaserade hot har utvecklats bortom enkla spammeddelanden till mycket sofistikerade e-postförfalskningsattacker, inklusive lookalike-domäner, visningsnamnspoofing, obehörigt domänägande och social ingenjörskonst.
Dessa attacker använder identitetsstöldtekniker för att lura slutanvändaren att tro att avsändaren och meddelandet är legitima, vanligtvis genom att utge sig för att vara en annan anställd, affärspartner eller varumärke som de känner till och litar på. Målet är att få anställda att överföra pengar, ladda ner skadlig programvara eller avslöja känslig information.
Att ta en noll-trust-inställning till e-post kan hjälpa organisationer att försvara sig mot nätfiskeattacker genom att fokusera på autentisering, se till att inkommande e-postmeddelanden finns i företagsmiljön eller når inkorgar för slutanvändare kommer från legitima personer, varumärken och domäner.
Det mest effektiva sättet att göra detta är att implementera säkerhetspolicyer som säkerställer att ingen e-post är betrodd och levererad om den inte passerar flera autentiseringsprotokoll, inklusive: SPF – Sender Policy Framework (SPF)-poster tillåter ägaren av en domän att ange vilka värdnamn och /eller IP-adresser kan skicka e-post på uppdrag av domänen.
DKIM: DomainKeys Identified Mail (DKIM) tillåter domänägare att tillämpa en säker digital signatur på e-postmeddelanden.
DMARC: Policyer för domänbaserad meddelandeautentisering, rapportering och efterlevnad (DMARC) kan förhindra alla utom specifikt auktoriserade avsändare från att skicka meddelanden med hjälp av en organisations domän. Förhindra illvilliga aktörer från att skicka nätfiske-e-post och domänförfalskning som verkar vara från betrodda varumärken. Genom att lägga till DMARC till sin Internetdomäninformation kan ett företag upptäcka vem som utger sig för att vara dess varumärke i e-postmeddelanden, vilket förhindrar att dessa meddelanden når användarna.
För att kunna använda DMARC måste organisationer också ha SPF- och DKIM-protokollen på plats. DMARC tillåter organisationer att ställa in policyer som är baserade på SPF och DKIM för att tala om för mottagarnas e-postservrar vad de ska göra när de får falska domänförfalskningsmejl. Dessa alternativ inkluderar att markera e-postmeddelanden men inte vidta några åtgärder, flytta dem till en skräppostmapp (karantän) eller avvisa dem helt och hållet. Slutligen, för organisationer som vill implementera DMARC, finns det många resurser tillgängliga för att hjälpa dem att komma igång.
Förutom att autentisera e-postavsändare är det också viktigt att tillämpa Zero Trust-principerna på e-postanvändare.
Zero Trust har ingen chans utan anställd medlemskap
Även om ett förtroendefritt förhållningssätt till e-postsäkerhet dramatiskt kan minska ett företags risk från e-postbaserade hot, är modellen ensam inte 100 % effektiv. Anställda måste också göra sitt. I slutändan kommer tiden, ansträngningen och budgeten som investeras i Zero Trust-modellen att undervärderas om medarbetarna inte heller antar ett Zero Trust-tänk för allt de gör på kontoret och hemma (vilket ofta är detsamma idag). Det är därför pågående utbildning om cybersäkerhetsmedvetenhet är avgörande för att försvara sig mot dagens avancerade hot. Till exempel fann ny Mimecast-forskning en trefaldig ökning av "dåliga klick" bland distansarbetare i början av covid-19-pandemin, när distansarbete (och slapp cyberhygien) blev nyckelstandarden. . Samma forskning fann dock att endast en av fem organisationer erbjuder löpande utbildning om cybermedvetenhet till slutanvändare. Organisationer bör ta sig tid att se till att deras anställda är utbildade för att upptäcka och rapportera misstänkta e-postmeddelanden. Informera dem om de tydliga tecknen på nätfiskeattacker via e-post, såsom misstänkta webbadresser och bilagor, felstavningar och olämpliga brådskande toner. Och se till att om de ifrågasätter legitimiteten hos ett e-postmeddelande har de ett enkelt och enkelt sätt att rapportera det. Zero Trust-konceptet kan vara enkelt, men att implementera det kan vara mycket svårare. Genom att fokusera på autentisering och utbildning av dina anställda i cybersäkerhet kommer du att vara på god väg att försvara dig mot de mest sofistikerade e-postnätfiskeattackerna, och därigenom stärka din organisations övergripande säkerhetsställning.