facebookpixel

JSC it-partner info@jsc.se 0380-55 65 00

WEBSHOP
KONTAKT
SUPPORT

Zero Trust i praktiken: så bygger du digital säkerhet som stödjer verksamheten

mar 23, 2023

Zero Trust i praktiken: så bygger du digital säkerhet som stödjer verksamheten

Zero Trust har blivit ett av de mest omtalade sätten att tänka kring digital säkerhet. Begreppet kan låta hårt – noll tillit – men kärnan handlar inte om misstro mot människor. Det handlar om att låta system konsekvent verifiera identiteter, enheter, applikationer och trafik, varje gång, utifrån kontext och risk. Syftet är inte att bromsa verksamheten – tvärtom: rätt infört ska säkerheten möjliggöra affären, inte stå i vägen för den.

Varför Zero Trust – just nu

  • Hotbilden mot svenska organisationer är förhöjd. Aktivistgrupper har genom överbelastningsattacker stängt ner webbtjänster vi är beroende av. När trafik- och vårdtjänster blir otillgängliga påverkas vardagen direkt.
  • Geopolitiken spelar roll. Kompetensflykt, legalisering av cyberangrepp i ”nationens intresse” och en sviktande ekonomi skapar incitament på den kriminella marknaden.
  • Ransomware utvecklas. ”Ransomware-as-a-Service” har industrialiserat angreppen och hotaktörer går allt oftare rakt på, kombinerar kryptering med utpressning och lägger press genom korta tidsfrister.
  • Supply chain-riskerna är verkliga. En attack mot en leverantör kan slå mot helt andra företag nedströms och stoppa kritiska affärsprocesser.
  • Arbetsmönstren har förändrats. Hybridarbete, molntjänster och uppkopplade enheter har löst upp skalskyddet. Den gamla ”slott och vallgrav”-modellen räcker inte när data och användare rör sig över nät, platser och enheter.

Begreppen – och varför ”digital säkerhet”

Det talas om cybersäkerhet, informationssäkerhet och IT-säkerhet. I praktiken flyter de ihop i vardagen. Digital säkerhet är ett användbart paraplybegrepp: det rymmer både skydd mot antagonistiska hot och ordning och reda kring information, processer och efterlevnad. Zero Trust stödjer båda sidorna – externa angrepp och interna risker.

Vad Zero Trust är – och inte är

  • Zero Trust är ett angreppssätt, ett mindset och en säkerhetsstrategi.
  • Det är inte en produkt, inte ett projekt och inte en checklista att ”ticka av”.
  • Det utgår från verksamheten: mål, processer, dataflöden och risker.
  • Det är ett kontinuerligt arbete: planera, bygga, mäta, förbättra.

Kärnprinciperna i Zero Trust – kort och konkret

  • Never trust, always verify: lita inte på något per automatik. Verifiera identiteten, enheten, platsen, applikationen och kontexten vid varje åtkomst.
  • Assume breach: utgå från att angripare kan finnas i miljön och minimera spridningseffekter genom segmentering och strikt åtkomst.
  • Least privilege, just enough & just-in-time access: ge bara den åtkomst som behövs, bara när den behövs, och omvärdera den löpande.

Från skalskydd till skyddsytor

I en modern miljö behöver vi skydda det som faktiskt bär verksamhetens värde. En praktisk modell lyfter sex skyddsytor:

  • Identiteter
  • Enheter
  • Applikationer
  • Nätverk
  • Infrastruktur
  • Data

Fokusera på skyddsytor snarare än alla tänkbara attackvägar – det gör arbetet greppbart och affärsnära. En rimlig prioritering idag är att börja med identiteter och enheter, och därefter gå vidare.

Så omsätter du Zero-Trust-principerna per skyddsyta

Identiteter

  • Inför multi-faktorautentisering (MFA) där det är möjligt. Det är den enskilt viktigaste åtgärden för användarkonton.
  • Samla identiteter i en central, säker identitetstjänst. Färre inloggningar och bättre kontroll är säkrare än spridda konton.
  • Använd villkorsstyrd åtkomst. Vem, varifrån, vilken enhet, vilken risknivå – bygg regler som anpassar åtkomst efter kontext.

Enheter

  • Kontrollera ”hälsan” i realtid. Uppdateringsnivåer, sårbara tjänster och avvikande beteenden ska påverka om enheten får åtkomst.
  • Använd skydd med detektering och respons i realtid. Det räcker inte med traditionellt antivirus.
  • Blockera anomalier som ”omöjliga resor” och annan misstänkt aktivitet automatiskt.

Zero trust för Applikationer

  • Upptäck och hantera skugg-IT. Osanktionerade molnappar skapar okända risker.
  • Styr åtkomst och livslängd. Vem får vad, hur länge, och när krävs ny verifiering?
  • Uppdatera, uppdatera, uppdatera. Sårbarheter i programvara är en vanlig angreppsväg.

Nätverk

  • Segmentera för att minska spridningseffekter. Microsegmentering utifrån funktion/applikation isolerar ännu mer.
  • Kryptera trafik. Allt mellan noder och zoner ska betraktas som potentiellt riskabelt.

Infrastruktur

  • Separera administrativa konton och använd privilegiehantering. Var administratör bara när uppgiften kräver det.
  • Kryptera data i vila och under överföring.
  • Sköt plattformshygienen. Håll grundplattformen uppdaterad.

Data

  • Skydda konfidentialitet, integritet och tillgänglighet. Alla angrepp siktar i praktiken på någon av dessa tre.
  • Använd dataskyddspolicys: informationsklassning, DLP och retention.
  • Övervaka och spåra. Upptäck när känslig information kopieras, delas eller lämnar miljön – av misstag eller med avsikt.

”Säkert men smidigt” – går det ihop?

Ja. Rätt uppsatta policys gör att legitima användare får en sömlös upplevelse i ”låg risk”-scenarier, medan extra kontroller bara slår till när kontexten kräver det. Tänk flygplats: flera checkpoints, men de flesta passerar snabbt när allt stämmer. Mycket av säkerhetslogiken sker dessutom ”bakom kulisserna”.

Roller och ansvar – var börjar man?

  • Lyft frågan till lednings- och styrelsenivå. Digital säkerhet ska stödja affären och prioriteras därefter.
  • Kartlägg verksamheten. Identifiera identiteter (personer, tjänster, enheter), tillgångar, information och dataflöden.
  • Definiera policies och arkitektur. Bestäm regler för åtkomst, segmentering, uppdatering och övervakning.
  • Implementera och monitorera. Inför i etapper, mät, justera.
  • Arbeta iterativt. Hotbilden ändras – förbättra kontinuerligt med ”plan–do–check–act”.

Historiken – varför tankesättet håller

Tillit som säkerhetsfråga diskuterades redan på 90-talet. När skalskyddets begränsningar blev tydliga i takt med mobilitet och moln fick ”de-perimeterisering” fäste. Det moderna Zero Trust-konceptet formulerades vidare och har fått bred spridning. Att USA:s federala myndigheter beordrats ta steg mot Zero Trust visar hur strategin blivit norm i offentliga miljöer – av goda skäl.

Praktiska startpunkter – idag

  • Slå på MFA för alla webbaserade tjänster där det går.
  • Centralisera identiteter och aktivera villkorsstyrd åtkomst.
  • Säkerställ klientskydd med realtidsdetektering och uppdateringsdisciplin.
  • Börja segmentera nätverket där spridningsriskerna är som störst.
  • Etablera grundläggande dataskyddspolicys och övervakning av avvikelser.
Kom ihåg: Zero Trust är inte att ”köpa en pryl”, utan att bygga rätt arbetssätt, rätt arkitektur och rätt prioriteringar över tid. Målet är klart: en trygg, motståndskraftig verksamhet där säkerheten möjliggör affären – även när omvärlden skakar.

Se vårt webinar om Zero trust och läs gärna mer om hur JSC it-partner arbetar med IT-säkerhet för företag.