Prioriter Zero Trust ved hjelp av CIS-Controls v8


Markedet omfavner Zero Trust som en modell for håndtering av et eskalerende trusselbilde. Men hva er Zero Trust og hvor skal du begynne?


Markedet omfavner Zero Trust som en modell for håndtering av et eskalerende trusselbilde. Men hva er Zero Trust og hvor skal du begynne?

Ifølge FireEye’s M-Trends årlige rapport vises det til at tiden som en trusselaktør er i nettverket uten å bli oppdaget er blitt kraftig redusert. Årsrapporten deres viser at den globale median oppholdstiden for en trusselaktør var 229 dager i 2013 mot 56 dager i 2020 før oppdagelse og tiltak ble iverksatt.[1] Selv om dette er en stor forbedring, er det neppe noen som ønsker å ha en trusselaktør i nettverket sitt i nesten to måneder. Mange bedrifter lurer derfor på hvordan de skal forbedre sikkerheten, spesielt med tanke på Zero Trust.

Hva er egentlig Zero Trust?

Vi hører ofte begrepet som «Never trust, Always Verify» men hva innebærer dette?

Zero Trust er en strategisk tilnærming til Cybersecurity som sikrer en organisasjon ved å eliminere implisitt tillit
og kontinuerlig validere alle faser av en digital samhandling.

Det er lett å tenke at Zero Trust handler om å skaffe seg de rette produktene. Noen leverandører er svært flinke på mikrosegmentering og nettverk, og snakker derfor mye om nettverksbasert Zero Trust. Andre leverandører har mer søkelys på brukeridentitet. For dem handler Zero Trust om å sikre at rett bruker er logget inn.

Zero Trust handler ikke bare om identitet eller bare om nettverkskontroll, men om begge deler og mye mer. Det handler om at blant annet følgende spørsmål må håndteres:

  • Hvem trenger tilgang? Bruker, maskin, arbeidsoppgave. Tenk rolle i bedriften, ikke gi tilgang til den enkelte bruker, om dette kan unngås.
  • Hvordan verifiserer vi at korrekt bruker er pålogget? Og hvordan evalueres dette? Om bruker bytter IP-adresse skal da bruker re-autentiseres?
  • Hva skal det gis tilgang til? Kun nødvendig tilgang skal gis.
  • Hvor skal det gis tilgang fra? Er det nødvendigvis slik at det skal være lik tilgang fra hjemmekontor over VPN som fra en kontrollert terminal-server?
  • Når skal tilgang gis? Tid på døgnet? Avtalt tidsperiode? Er det prosjektstyrt eller risikostyrt?
  • Hvorfor skal tilgangen gis? Dokumentasjon er kritisk.
  • Hvordan skal kommunikasjonen foregå? Hvilke plattformer kan benyttes? Er det vilkårlig om det er en driftet pc, mac eller byod-enhet som spør om tilgang?
  • Hvilken helsetilstand skal enheten som kobles opp være i? Og skal tilgang opprettholdes om denne endres underveis?

Basert på de ovennevnte spørsmålene må man fortløpende gi ansatte tilgang kun hvis de har et reelt behov for det, og kun gi tilgang til systemer og data som den ansatte er avhengig av for å kunne gjøre jobben sin. Systemer må også kun få tilgang til de dataene eller andre systemer som systemet er avhengig av (mikrosegmentering).

Når vi kommer til risikostyring av informasjonssikkerhet hører vi ofte om begrepet KIT (konfidensialitet, integritet og tilgjengelighet)[2]. Om vi ser nøyere på disse handler Zero Trust om de 2 første punktene, men jeg tar med alle 3 her:

  • Konfidensialitet – Handler ikke bare om at informasjonen begrenses til dem som er autorisert til å ha tilgang til den. Det handler like mye om at dataflyten skal beskyttes. Dette krever at regelsettet er begrenset til det som er nødvendig (dokumentert) for at dataflyten skal fungere.
  • Integritet – Også her handler integritet ikke bare om å vite hvem som er pålogget (identitet til en person), men like viktig er det å forsikre seg om at dataflyten ikke er kompromittert. Dette krever at all trafikk blir inspisert og kontrollert og eventuelt blokkert om det viser seg at dataene inneholder skadevare.
  • Tilgjengelighet – Selve sikkerhetsplattformen må kunne være redundant, dvs. at løsningen skal kunne fungere selv om en enkeltkomponent er under vedlikehold eller har feilet.

Zero Trust-arkitektur er blitt omfattende og detaljert. Vi har gått fra definisjoner for Zero Trust som for et tiår siden ga isolasjon mellom applikasjoner med nettverkskontroller, til en mye mer moderne modell der isolasjon ligger på komponentnivå i de enkelte applikasjonene og i deres moduler.

Hvordan oppdage uventet adferd enklere?

Gjennomføring av en Zero Trust arkitektur kan virke overveldende, men samtidig gir dette oss en ny mulighet til å prioritere sikkerhetskontroller og oppsett på en ny måte.

Et nytt begrep som er vesentlig i Zero Trust er å «kontinuerlig validere alle faser av en digital samhandling.» Dette betyr at all digital kommunikasjon skal valideres kontinuerlig for skadevare og unormal oppførsel. Denne typen transformasjon har sikkerhet som grunnmur og gir organisasjoner en mulighet til å velge en skalerbar modell som automatisk samkjører det vi trenger av kilder for å ta automatiske valg, som igjen reduserer ressursbehov. Hvis sikkerheten er innebygd av leverandøren og verifisert automatisk, kan vi også begynne å skifte tankesett som gjør det lettere å oppdage uventet atferd.

Som et eksempel på dette kan du forhindre og oppdage angrep ut ifra hvite-listemetoder. Dette er i stedet for å stole på produkter som sammenligner artefakter og atferd med kjente dårlige lister eller nekter tilgang basert på «svarte-listing». Denne overgangen i tankesett støttes også av den siste Cybersecurity Executive Order[3] fra USA, publisert i mai 2021.

Hvor skal du begynne? Bruk de nye CIS-retningslinjene som guide

Center for Internet Security (CIS) publiserte nylig en ny og forbedret versjon av CIS -kontroller (versjon 8)[4], som er retningslinjer for beste praksis innenfor IT-sikkerhet. Det er justert på prioriteringer av noen av kontrollene og sikkerhetstiltakene basert på ekspertkonsensus og validert med nåværende trusler for å ha størst innvirkning på å redusere risiko.

Innenfor hver av de 18 kontrollene er det et sett med sikkerhetstiltak. Beskyttelsene omfatter de mer finkornede anbefalingene for å håndtere de tilknyttede truslene for den kontrollen. Hver sikkerhetskontroll er kategorisert i en av tre implementeringsgrupper (IG), som gir prioriterte anbefalinger som strekker seg over de 18 CIS-kontrollene. CIS Controls v8 støtter en Zero Trust arkitektur, samtidig som den samsvarer med anbefalingene for innebygd sikkerhet, gjennomgripende kryptering, tillatelsesliste-funksjonalitet og reduksjon i produsent- og leverandørkjedenes sikkerhetsrisikoer som ble omtalt i Cybersecurity Executive Order.

CIS Controls v8 mot NIST SP 800-207 Zero Trust Tenets

For å vise til hvor vesentlig CIS Controls v8 er mot Zero Trust har CIS utarbeidet et diagram, vist nedenfor, som beskriver kartleggingen av CIS Controls v8 der de samsvarer med NIST SP 800-207 Zero Trust Tenets.

Et flott utgangspunkt for en reise mot Zero Trust

Hvis du leter etter et utgangspunkt på reisen mot Zero Trust, bør du vurdere å bruke CIS Controls v8 for å prioritere reisen din. Det er et flott verktøy som vil ha stor innvirkning på risikoreduksjon basert på nåværende trusler. Ved å bryte reisen ned i oppnåelige trinn kan en organisasjon gjøre fremskritt i reisen – vel innforstått med at trinnene som tas er prioritert på en meningsfull måte.

For å vise til dokumentert virkning av CIS Controls v8 er det utarbeidet en prosess for å validere prioritering av kontroller og sikkerhetstiltak: CIS Community Defense Model[5]: Her fant man at IG1 (implementeringsgruppe 1 i CIS Controls v8) adresserer de fem største angrepene. Prioriteringen er basert på en kompleks vurdering av trusler fra mange sikkerhetsbrudd- og sikkerhetsrapporter. Dette inkluderer blant annet data fra Multi-State Information Sharing and Analysis Center (MS-ISAC) i USA.

Oppsummert:

  • Kjenn nettverket ditt, ha kontroll på komponentene, hva som er installert og hvordan dette er ment å fungere.
  • Sørg for at alle systemer og komponenter er konfigurert og satt opp på best mulig måte.
  • Verifiser at tilganger kun er gitt basert på det som er nødvendig.
  • Ha en fortløpende evaluering av helsetilstand på både utstyr og innloggede brukere – ha kontroll på hvem de er, og hva de gjør!
  • Og om helsetilstand eller unormal oppførsel blir detektert, ha regler på plass som tilsier at identitet blir vurdert på nytt og tenk nøye over om tilgangen som er gitt fremdeles skal være den samme eller om den nå burde vært endret.

Husk at din sikkerhet er bare like sterk som den svakeste lenken. Hvis trussel aktøren først finner et avvik i bedriftens infrastruktur, er sannsynligheten stor for at aktøren vil klare å finne en vei inn i kritiske systemer og data

Referanser:
[1] https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html
[2] https://dfo.no/fagomrader/etats-og-virksomhetsstyring/etatsstyring/miniveileder-om-oppfolging-av-informasjonssikkerhet-i-styringsdialogen/hva-er-informasjonssikkerhet-og-hvorfor-er-det-viktig
[3] https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
[4] https://www.cisecurity.org/controls/
[5] https://www.cisecurity.org/white-papers/cis-community-defense-model/