ANNONSEBILAG FRA CONSCIA

Slik må moderne multifaktor-autentisering inngå i en Zero Trust-arkitektur

Zero Trust er en modell alle snakker om. Hva ligger egentlig i disse ordene? Idéen bak modellen er at vi aldri skal stole på noen, kun basert på hvem de er og hvor de er.

ANNONSEBILAG FRA CONSCIA
ANNONSEBILAG FRA CONSCIA

Et dagligdags eksempel er en bruker som sitter på kontoret med sin maskin. Vi har verifisert og kontrollert at vedkommende har adgangskort til bygget, og vi vet at maskinen er kontrollert av oss (ved bruk av sertifikat). Men vet vi egentlig om denne maskinen er ved god helse, og at den ansatte ikke har skumle hensikter akkurat denne dagen?

Zero Trust definerer ingen spesielle teknologier eller produkter for å oppnå slik sikkerhet, den opprinnelige grunnideen handler mer om topologi, arkitektur og kombinasjonen av flere teknologier for å realisere en Zero Trust-arkitektur.

En av teknologiene som er nødvendig for Zero Trust er multifaktor-autentisering (MFA). Her er det viktig at man ikke går i den klassiske fallgruven; MFA skal nemlig IKKE brukes for å etablere tiltrodde enheter og brukere som vi i etterkant stoler 100% på. Dette er faktisk det motsatte av Zero Trust. MFA skal derimot brukes for å gjøre tilgangsstyringen så granulær som mulig.

Multifaktor

Brukernavn og passord på avveie er en av de vanligste grunnene til at sikkerhetsbrudd skjer. Risikoen for at slik informasjon kommer på avveie øker kraftig når brukeren gjenbruker passord eller både brukernavn og passord på flere IT-tjenester. Når en av disse tjenestene blir kompromittert, vil angriperne raskt teste passordene andre steder. Her er det viktig å huske at folk flest er både privatpersoner og ansatte på en jobb, og i mange tilfeller er det ikke vanskelig for en målrettet angriper å finne sammenhengen.

Første del av løsningen på dette problemet er MFA. Når brukernavn og passord kombineres med noe brukeren har og/eller er, øker sannsynligheten dramatisk for at innloggingen foretas av rette vedkommende.

Å autentisere med noe brukeren er, handler om biometri. De vanligste metodene i dag er bruk av fingeravtrykk og ansiktsgjenkjenning. I tillegg finnes også talegjenkjenning og retinascanning. Alle disse teknikkene er anerkjente som sikker identifikasjon.

Autentisering med noe brukeren har, dreier seg om forskjellige tekniske midler. Den kan være noe så enkelt som et engangspassord fra en liste, levert via SMS eller en app på mobilen. En passordgenerator, slik som den vi kjenner fra BankID eller i en app på mobilen, er noe man har. Det kan også være en USB-pinne som inneholder krypterte nøkkeldata som presenteres som legitimasjon av en bruker.

Moderne MFA

MFA alene realiserer ingen Zero Trust-løsning. Grunntanken i Zero Trust er at ingen brukere skal få tilganger basert på etablert tillit; brukere skal derimot få sine spesifikke tilganger gjennom presis styring, og kun til ressursene de faktisk har behov for. For å få til dette trenges mer enn bare multifaktorautentisering. Moderne MFA-løsninger har derfor mer funksjonalitet enn kun sterk autentisering.

Et eksempel på en slik MFA-løsning er Cisco Duo. I denne løsningen finner vi mer funksjonalitet enn kun MFA, selv om det er dette som er hovedfunksjonen. I tillegg til MFA (ved hjelp av mobilapp, biometri på klientenheten, passordgenerator og engangspassord), har Cisco Duo også følgende funksjonalitet:

Kontroll av brukerens enhet (f.eks PCen), at den er godkjent for pålogging, i tillegg til at den er oppdatert og sikret i henhold til bedriftens sikkerhetspolitikk. Har PCen installert programvare som ikke er godkjent i virksomhetens miljø? Kjører PCen antivirus og brannmur med oppdaterte oppsettsfiler?

  • Kontroll av autentiserende enhet (f.eks mobiltelefonen): er den kontrollert av arbeidsgiver, er den oppdatert, inneholder den programvare som ikke er tillatt, er den “rooted/ jailbroken”.
  • Understøtter håndhevelse av tilgangsregler med høy grad av detaljer, slik at tilganger kan baseres på brukerens rolle i organisasjonen, enhetens tilstand og identitet, hvor brukeren er, hvilken vei vedkommende har tatt inn i virksomhetens nettverk, og mange andre faktorer i denne konteksten.
  • Egen håndtering av brukere som ikke er lokalt tilkoblet nettverket. For disse brukerne kan tilganger settes opp på en per-applikasjon-basis, slik at kompromittering av én tilgang ikke medfører risko for alle andre applikasjoner og systemer.
  • Single sign-on (SSO). Hvis tilgangskontroll og sikkerhet blir for omstendig å bruke for de ansatte, viser all erfaring at de vil begynne å lete etter veier rundt. En SSO-løsning gjør innlogging mye enklere for brukerne, både med tanke på interne og skybaserte applikasjoner, og det gjør at brukerne ikke undergraver sikkerheten.
  • Omfattende logging. Zero Trust er ikke en engangsjobb, det er en kontinuerlig prosess. I beskrivelsen til Zero Trust pekes det på behovet for omfattende og detaljert logging, som har to hovedformål: For det første må det sikres at data flyter og sperres slik det er forutsatt, slik at de ansatte får gjort det de skal. Samtidig skal loggene danne grunnlag for ytterligere justering av teknologien, slik at det fungerer optimalt, både for brukerne og virksomheten.

Avslutningsvis er det viktig å minne om at det er ikke ett produkt eller én teknologi som skal til for å realisere Zero Trust. Det dreier seg om en kombinasjon, som til sammen realiserer arkitekturen. I tillegg til dette, må vi ikke glemme mennesket. Sluttbrukeren må få nødvendig og oppdatert informasjon og opplæring. Samtidig må organisasjonen være involvert slik at aktuelle prosedyrer, rutiner og øvrig personell blir med på reisen.

Når alle nødvendige komponenter er på plass, er det mulig å implementere grunnholdningen i Zero Trust: «Don’t trust; verify!»

Vil du vite mer om Cisco Duo, multifaktorautentisering eller sluttbrukeropplæring? Kontakt oss: https://conscia.com/no/kontakt/