Zero trust (ZT) er en tilnærming innen cybersikkerhet som bedrifter og myndigheter tar i bruk for å få bedre oversikt og kontroll over informasjonssikkerhet i egen organisasjon, særlig med fokus på infrastruktur, prosesser og brukere.
Zero trust arkitekturen (ZTA) er en nulltillitsmodell, en filosofi basert på zero trust, og som foreslår utprøvde teknikker, idèer, prinsipper og metoder for å oppnå bedre informasjonssikkerhet. Ledere og IT konsulenter i bedriften kan implementere zero trust i egen forretningsstrategi, for å håndtere trusler og trender innen cyberangrep. Når bedriften implementerer logikken bak zero trust modellen oppnår man et IT-miljø og en arkitektur basert på zero trust – og derfor en zero trust arkitektur.
Tanken bak en IT arkitektur og sikkerhetsstrategi basert på zero trust for vanlige bedrifter hadde sitt oppsprang i 2020, når bruksmønsteret og mobilt arbeid ble enda viktigere.
Bedrifter som tar i bruk zero trust metoden bytter fokus i sin sikkerhetsstrategi da zero trust fokuserer mer på brukere, sikkerhetskultur, prosesser, og ressurser fremfor isolering av nettverk og dets enheter alene. Arkitekturen har som utgangspunkt at bedriften allerede har grunnleggende sikkerhetsmekanismer som brannmur og tilgangskontroll, og en etablert sikkerhetskultur, men hvor nåværende trusselbilde tilsier at det er behov for ytterligere sikkerhet.
Zero trust arkitektur skiller seg fra tradisjonelle arkitekturer og strategier for informasjonsikring, ved at bedriften tar utgangspunkt i at trusselaktørene («hackerne») allerede befinner seg i bedriftens nettverk - eller på et tidspunkt vil få tilgang til bedriftens tjenester og informasjon.
De fleste bedrifter og sikkerhetsstrategier forsøker å isolere bedriftens nettverk og dets brukere og enheter så mye som mulig. Dette for å forhindre at trusselaktører får tilgang til bedriftens informasjonssystemer. Men, moderne arbeidsmetoder og mer kompleks teknologi, og mer mobilt arbeid etter pandemien, utfordrer de eldre metodene innen digital sikkerhet. Dette fordi disse som oftest ikke tar høyde for nye sikkerhetsrisikoer som innsidere og innsiderisiko, og ansattes bruk av egne private enheter (BYOD) i jobben.
Zero trust er en videreføring og mer moderne sikkerhetsmodell som bedrifter kan innføre i egen sikkerhetsstrategi for å imøtekomme morgendagens trusselbilde. Bedrifter som tar i bruk zero trust migrerer delvis fra en vanlig og mer tradisjonell sikkerhetsarkitektur, og så over til zero trust. I store organisasjoner kan det ta flere år før zero trust er delvis eller helt implementert.
Målet med zero trust modellen er å følge og oppnå følgene sikkerhetsprinsipper i egen organisasjon:
Tilganger og tilgangskontroll er viktige elementer i informasjonssikkerhet, og som i stor grad prioriteres i zero trust arkitekturen som oppfordrer til å gi brukere og tjenester i organisasjonen så lite tilgang til bedriftens ressurser som mulig. Zero trust oppfordrer bedriften til å gi kun de viktigste og de mest nødvendige tilganger for at ansatte, kunder og leverandører skal kunne utføre arbeidsoppgavene sine.
Dette oppnås ved hjelp av PDP («policy decision point») og PEP («corresponding policy enforcement point») som er mekanismer som kjenner bedriftens rutiner og retningslinjer.
Arkitekturen og dens sikkerhetsprinsipper kan sammenlignes med passasjerer som ankommer flyplassen. Og hvor Avinor bruker ulike soner og kontrollpunkter for å kontrollere at de reisende har de nødvendige tilganger og tillatelser som må til for å gå ombord i flyet.
Når ansatte ønsker å aksessere ressurser i bedriftens nettverk og tjenester, eksempelvis sensitive opplysninger, så vil zero trust validere at brukeren og enheten har de nødvendige tilganger på et mikroskopisk nivå. I tillegg til å validere brukernavn og passord vil zero trust arkitekturen også validere brukerens lokasjon, tidspunkt, og andre sentrale verdier som kan brukes for å godkjenne eller avslå forespørsler om tilgang til ressursene.
Mily gir norske bedrifter råd og veiledning innen zero trust sikkerhet, og som bidrar til en praktisk, kostnadseffektiv og stegvis implementering i bedriftens nåværende sikkerhetsstrategi.