Så kan Zero Trust-metoden höja säkerheten när många jobbar hemifrån
Tiden då vi stämplade in på kontoret klockan åtta och gick hem vid fem är sedan länge förbi. Då fanns det en poäng med att bygga en stark mur runt företagets nätverk. Idag, när allt fler jobbar från andra platser än det fysiska kontoret, krävs andra strategier. Microsofts lösning på problemet heter Zero Trust och budskapet är enkelt: lita inte på någon, agera som om du redan vore hackad.
Traditionellt har kontorets nätverk skyddats med borgar och vallgravar. Och visst, brandväggar och proxyservrar är ett effektivt skydd så länge företagets data befinner sig innanför dessa murar, men det är knappast till någon nytta när anställda tar med sig värdefulla data utanför dem, eller när en angripare redan har tagit sig in.
Idag är vi vana vid att kunna arbeta obehindrat var vi än är under dygnets alla timmar. Därför behöver vi nya metoder för att skydda företagets data. Microsofts lösning på problemet heter Zero Trust – nolltillit. Metoden bygger på att alla enheter ska behandlas likadant, oavsett på vilken sida av brandväggen de befinner sig. Alla anslutningar betraktas som osäkra innan användaren har identifierat sig, och då ska användaren bara få tillgång till de resurser uppgiften kräver.
Lägsta möjliga rättigheter för att klara uppgiften
Tekniken bygger på att man integrerar identiteten, som nästan alltid är användarens användarnamn eller e-postadress, i Azure AD, tillsammans med den enhet och de företagsapplikationer användaren förväntas använda. Vilka grupper av användare som ska ha tillgång till vilka resurser är helt styrt av policyer, hela tiden med fokus på att alla ska ha lägsta möjliga rättigheter för att kunna göra sitt jobb. Anledningen? Om ett konto skulle vara kapat vill man inte ge förövaren fri tillgång till all företagsdata. Om en användare behöver utöka sina rättigheter går det att lösa med hjälp av PIM (Privileged Identity Management). Då får användaren ansöka om rättigheter under en begränsad tid. Det innebär också mindre jobb för IT-avdelningen, eftersom de inte behöver ta ställning till vem som ska ha vilka rättigheter.
Uppfyller enheten alla krav som ställs?
En annan viktig del av Zero Trust handlar om företagets möjligheter att ställa specifika krav på de enheter som används. Vanliga krav är att hårddisken måste vara krypterad, att de senaste säkerhetsuppdateringarna är installerade och att enheten är skyddad med en PIN-kod. Om en anställd använder sin privata dator eller telefon kan den kanske läsa och redigera dokument, men inte ladda ner dem. Försöker en anställd logga in från andra sidan jordklotet? I så fall kan det krävas en extra autentiseringsmetod, till exempel en kod som skickas till mobiltelefonen. Som sagt: lite inte på någon.
Balans mellan säkerhet och produktivitet
Att hela tiden behöva styrka sin identitet kan låta besvärligt och ingen vill få en kod skickad till sig fyra gånger om dagen för att datorn kräver tvåstegsverifiering. Allting handlar om att hitta rätt säkerhetsnivå för rätt person och tillfälle, och framförallt om att göra ett bra förarbete. Med genomtänkta policyer som ger rätt användare rätt åtkomst och hjälpmedel som ansiktsigenkänning och fingeravtryck ska det förhoppningsvis inte behövas några koder alls, annat än i nödfall.
Värt att satsa på molntjänstsäkerhet
Verktyg för Zero Trust ingår i din Microsoft 365-licens och ju mer avancerad licens du har desto fler säkerhetsfunktioner får du. Stöd för villkorad åtkomst finns redan i Microsoft 365 Business Premium, men med de mer avancerade licenserna får du även tillgång till funktioner som med hjälp av artificiell intelligens kan analysera användarnas vanor, leta efter avvikelser och reagera på potentiella hot.
Som vi ser det kan det många gånger vara bättre att minska på budgeten för traditionell IT-säkerhet i nätverket och istället lägga en del av pengarna på molntjänstsäkerhet. Kanske framförallt om du står inför att förnya ett äldre system och vill slippa en stor engångskostnad. Det finns inte heller någonting som säger att det måste vara antingen eller. Du kan fortfarande ha ett säkert nätverk på kontoret, men gå in i Zero Trust-modellen när de anställda lämnar det.
Utanför kontoret kommer de nämligen att röra sig – så varför inte ställa en extra kontrollfråga nästa gång det knackar på dörren?