Traditionellt har cybersäkerhet varit en bransch dominerad av barriärer. Ju bättre en teknik var att skilja de goda från de onda och bygga alla typer av dörrar, vallgravar och murar, desto bättre. Företag spenderade mer än 120 miljarder euro under 2018 för att förhindra attacker, men intrången kvarstod: uppskattningsvis 765 miljoner människor drabbades av cyberattacker bara i april, maj och juni förra året.
Företag börjar inse att teknik ensam inte eliminerar risker eller säkerställer säkerheten för din information. De börjar se den traditionella modellen att uttömmande utvärdera dussintals leverantörer under månader bli en Sisyfos-uppgift utan att först implementera rätt strategi och bästa praxis. För många betyder detta Zero Trust.
Zero Trust har blivit ett föryngrat modeord under de senaste två åren eftersom det har blivit mer populärt bland CSO:er och teknikleverantörer. Zero Trusts kärnfilosofi är "aldrig lita på, alltid verifiera" och arbetar utifrån principen att du inte kan skilja det "goda" från det "dåliga". Traditionella tillvägagångssätt som fokuserade på att skapa en stark omkrets för att hålla skurkarna utanför fungerar inte längre. Resurser (data, applikationer, infrastruktur, enheter) är alltmer hybrida eller helt utanför denna omkrets. Med Zero Trust tas tillit bort från ekvationen och fokus ligger på kontinuerlig verifiering.
Den har tre huvudsakliga hyresgäster:
- Verifiera varje användare, varje gång
- Validera varje enhet
- Begränsa åtkomsten på ett intelligent sätt
Det är ett holistiskt och strategiskt tillvägagångssätt för säkerhet som säkerställer att varje person och varje enhet som har behörighet att komma åt ett nätverk, applikation eller tjänst är vem och vad de säger att de är.
Cloud sprängde omkretsen
Zero Trust har blivit fast förankrad i säkerhetsetos så snabbt, delvis på grund av att löftet om en teknikbarriär som den ultimata lösningen för att stoppa hot och minska risker har blivit omöjligt i molnets tid. När företag flyttar mer och mer infrastruktur och tjänster till molnet, använder fler och fler mobila enheter och stödjer alla typer av distansarbetare, skapar de faktiskt hål (eller åtminstone potentiella hål) i sina egna brandväggar.
Jag talade på Zero Trust Summit förra året och såg Forrester-analytikern Dr. Chase Cunningham upprepade gånger berätta för publiken att i en tid av digital transformation existerar inte perimetrar längre. De gamla metoderna för säkerhet är inte förenliga med det sofistikerade i dagens hot.
"Folk kommer att säga," Vi gör saker. Vi jobbar på det”, sa Dr Cunningham. "Tja, gissa vad Targets strategi var innan intrånget? Skydda, upptäcka, avskräcka, reagera. Gissa vad OMB:s strategi var innan intrånget? Skydda, upptäcka, avskräcka, reagera. Det är ingen strategi.
"Om du står upp och säger: 'Vår säkerhetsstrategi är att arbeta mot en Zero Trust-infrastruktur.' det är allt", fortsatte han. "En mening. Vem som helst kan stå bakom detta.
Allt handlar om sammanhang
I avsaknad av effektiva omkretsar är informationen de största vapenföretagen mot illvilliga aktörer. I sin kärna handlar Zero Trust om information: att ha tillräckligt med sammanhang om användare, enheter och beteende för att definitivt avgöra att någon är den de säger att de är.
Som Cunningham nämnde är detta väsentligt i molnets och mobiltelefonernas tid. För tio år sedan baserades säkerhetsstrategier på en enda signal: kom en begäran inifrån eller utanför brandväggen? Och det fungerade! De flesta användare har anslutit till nätverk, appar och tjänster från sitt skrivbord på jobbet, eller kanske en bärbar dator hemma via en VPN.
Så är inte fallet. Människor behöver åtkomst från sina skrivbord, medan de står i kö för kaffe, eller från 30 000 fot i himlen på ett flygplan. De ansluter från stationära datorer, bärbara datorer, telefoner och surfplattor. Istället för en enda signal tar det hundratals för att slutligen bestämma sig för om man ska ge någon åtkomst eller inte. Zero Trust säkerställer att sammanhang tillhandahålls varje gång, med varje användare.
Är det någon som har rätt referenser, men är de på en betrodd enhet? De har inloggningsuppgifter och är på en betrodd enhet, men befinner de sig på en ovanlig plats eller loggar de in vid en ovanlig tidpunkt? Dessa signaler är värdefulla delar av sammanhang som hjälper till att hålla informationen säker i dagens miljö. En Zero Trust-strategi, tillsammans med rätt teknik, säkerställer att företag har förmågan att svara på dessa frågor.
Enligt Verizons 2018 dataintrångsrapport beror mer än 81 % av intrången på svaga eller stulna lösenord. Med denna information är det oansvarigt för företag att anse sig skyddas endast av användarnamn och lösenord. När onlineidentitet blir allt mer komplex och allt viktigare för företag och konsumenter, kommer Zero Trust-metoden att bli fast förankrad i alla CSO:ers ordförråd.
Ja, det är ett modeord idag, men det är också en kritisk cybersäkerhetsstrategi för molnåldern.
Corey Williams, VP of Strategy på Idaptive (öppnas i en ny flik)