Cybersikkerhedsverdenens foretrukne slagord er ikke et enkelt produkt eller system, men en holistisk tilgang til at minimere skader.
“Zero Trust er et koncept, ikke en handling.”, Ken Westin, sikkerhedsforsker
I årevis har et begreb kendt som “Zero Trust” har været et udbredt buzzword, men hvad begrebet egentlig betyder fortoner sig i misforståelser af forskellen på holistisk tilgang og egentlige værktøj.
Kernen i Zero Trust vedrører et skift i, hvordan organisationer opfatter deres netværk og IT-infrastruktur. Under den gamle model var alle computere, servere og andre enheder fysisk i en kontorbygning på det samme netværk og stolede på hinanden. Arbejdscomputeren kan oprette forbindelse til printeren på gulvet eller finde teamdokumenter på en delt server. Værktøjer som firewalls og antivirus blev konfigureret til at se noget uden for organisationen som dårligt og alt inde i netværket fortjente ikke meget kontrol. Eksplosionen af mobile enheder, skytjenester og fjernarbejde radikalt har udfordret nogle af disse antagelser.
I stedet for at stole på bestemte enheder eller forbindelser fra bestemte steder kræver Zero Trust, at folk beviser, at de skal have denne adgang. Det betyder typisk, at du skal logge ind på en virksomhedskonto med biometri eller en hardwaresikkerhedsnøgle ud over brugernavne og adgangskoder for at gøre det sværere for hackere at udgive sig for at være brugere. Selv når nogen kommer igennem, er det på en need-to-know eller need-to-access basis. Hvis du f.eks. ikke fakturerer som en del af dit job, bør din virksomhedskonto ikke forbindes med faktureringsplatformen.
Zero Trust fortalere understreger konsekvent, at Zero Trust ikke er et enkelt stykke software, du kan installere eller et felt, du kan kontrollere, men en filosofi, et sæt koncepter, et mantra, en tankegang. De beskriver Zero Trust på denne måde dels i et forsøg på at Zero Trust ses som en magisk kugle. Zero Trust er et koncept, ikke en handling. Der skal stadig implementeres ting som enheds- og softwarebeholdning, netværkssegmentering, adgangskontroller.
Forvirring om den virkelige betydning og formålet med Zero Trust gør det sværere for folk at gennemføre ideerne i praksis. Fortalere er stort set enige om de overordnede mål og formål bag sætningen, men travle ledere eller IT-administratorer med andre ting at bekymre sig om kan let føres på afveje og ender med at implementere sikkerhedsbeskyttelse, der blot styrker gamle tilgange i stedet for at indvarsle noget nyt.
Cloud-udbydere er dog i stand til at levere Zero Trust-koncepter til deres platforme og hjælpe kunderne med at adoptere dem i deres egne organisationer. Bortset fra at blive enige om, hvad Zero Trust betyder, er den største hindring for Zero Trust udbredelse, at de fleste infrastrukturer, der i øjeblikket er i brug, blev designet under den gamle netværksmodel. Der er ingen nem måde at eftermontere disse typer systemer til Zero Trust, da tilgangene er så fundamentalt forskellige. At gennemføre ideerne bag Zero Trust overalt i en organisation potentielt indebærer betydelige investeringer og ulemper ved at opstegne ældre systemer. Og det er netop de typer projekter, der risikerer aldrig at blive færdige.
Zero Trust er også et sikkerhedsmiddel. White Hat hackere, der bliver betalt for at hacke organisationer og opdage deres digitale svagheder, også kendt som røde teams, er begyndt at studere, hvad der skal til for at bryde ind i netværk uden Zero Trust koncepter. Og for det meste er det stadig nemt nok blot at målrette de dele af et offers netværk, der endnu ikke er blevet opgraderet med Zero Trust begreber i tankerne.
Det vil nok tage tid for mange organisationer fuldt ud at forstå fordelene ved Zero Trust tilgang over. Netop at den abstrakte karakter af Zero Trust har sine fordele. Design ud fra begreber og principper i stedet for bestemte produkter giver en fleksibilitet og potentielt en levetid, som specifikke softwareværktøjer ikke gør.
