nul tillid blog

CISA's opdaterede Zero-Trust Model

Nul tillid var måske engang blot et analytiker-buzzword, men det har nu den officielle amerikanske regerings stempel. Cybersecurity & Infrastructure Security Agency (CISA) har udgivet den anden version af en guide til implementering af denne sikkerhedsmodel. Det lover at være mere end blot hyldevare, fordi føderale agenturer er blevet beordret til at vedtage nul-tillid principper med stramme deadlines.

Hvad er Zero Trust? 

Mens udtrykket 'nul tillid' har høstet en del presse på det seneste, er de bagvedliggende begreber veletablerede. Udtrykket dukkede første gang op i it-sektoren uden for nichekredse i 2010 som en del af en Forrester Research-rapport. Men de ideer, det repræsenterer – behovet for at verificere alt i et utroværdigt miljø – går langt tidligere tilbage.

Den åbne gruppes Jericho Forum indvarslede udhulingen af ​​det traditionelle netværks perimeter i 2004 og kaldte det deperimeterization. Efterhånden som virksomheder udvekslede data med forretningspartnere og lokaliserede flere af deres aktiver uden for virksomhedens kernenetværk, blev det mere udfordrende at stole på, hvem eller hvad der nu end forsøgte at oprette forbindelse. I stedet for den gamle citadelmodel, hvor netværket havde en uigennemtrængelig hård ydervæg, var it-infrastrukturer blevet mere som et sæt lejre, der hver huser nogle aktiver og har brug for sin egen beskyttelse.

Dette ændrede den måde, IT-systemer autentificerede folk på. Dengang, hvis du havde legitimationsoplysningerne til at komme ind på netværket, var du tillid til og kunne gå hvor som helst. Nul tillid opgiver den idé. I stedet er der ingen barriere at komme forbi. Hver digital dør på stedet er hængelås, og du skal have en eller anden form for nøgle.

Det Hvide Hus køber ind 

Den amerikanske regering har købt ind i nul-tillid-konceptet, først fortaler for det igennem Executive Order 14028 i maj 2021. Den følgende januar blev det fulgt op med mandater for nul tillid. Disse kom i form af National Security Memorandum 8 (NSM-8), som instruerede dets brug i det nationale sikkerhedssamfund, og MS-22-09-memoet fra Office of Management and Budget. Sidstnævnte pålagde føderale agenturer at implementere nul-tillid-foranstaltninger inden udgangen af ​​næste år.

CISA, Department of Homeland Security-agenturet, der håndterer cybersikkerhedssiden af ​​den indenlandske sikkerhedsindsats, guider føderale organisationer og den private sektor i spørgsmål som dette. Den offentliggjorde pligtopfyldende sin Zero-Trust Maturity Model i september 2021, som anvist af bekendtgørelsen. Dette dokument var beregnet til at hjælpe bureauer med overgangen til den nye model.

Agenturet udgav en opdatering til denne vejledning i april i år efter en offentlig høringsperiode. Den mest markante ændring i den anden version er tilføjelsen af ​​endnu et modenhedstrin i en organisations rejse til nul-tillid nirvana.

Der var oprindeligt tre stadier: Traditionel, Avanceret og Optimal. Traditionel var faktisk business-as-usual, med praktisk talt ingen sammenhængende nul-tillid implementering overhovedet.

Virksomheder på det traditionelle niveau, der havde udført noget arbejde overhovedet på nul tillid, havde holdt det til et snævert omfang. Modenhedsmodellen skitserer fem søjler til at opdele arbejdet med at implementere nul tillid, hvilket angiver bredden af ​​ændringer, der kræves. Disse søjler er identitet, enheder, netværk, applikationer og arbejdsbelastninger og data. Virksomheder på det traditionelle niveau fokuserede på nul tillidsarbejde på et søjleniveau i stedet for at tage en mere sammenhængende tilgang.

Modenhedsmodellen skitserer tre "tværgående" kapaciteter, der strækker sig på tværs af hver af disse søjler for at hjælpe føderale agenturer og institutioner i den private sektor med at løse behov for nultillid mere bredt. Disse tre områder er synlighed og analyse, automatisering og orkestrering og styring.

Kommentarer til den første version af guiden argumenterede for, at springet mellem traditionelt og avanceret var for betydeligt. I stedet bad de om en ekstra etape, der ville bygge bro mellem de to. CISA reagerede ved at tilføje en indledende fase efter traditionel. Det justerede også sproget for de andre mere avancerede stadier på tværs af de fem søjler for at imødekomme det ekstra modenhedsniveau.

Virksomheder på den indledende fase er lige begyndt at automatisere opgaver som at tildele attributter og konfigurere livscyklusser, siger den reviderede guide. På dette tidspunkt begynder de at få styr på politiske beslutninger og håndhævelse. Andre opgaver, der lige er i gang, dækker over begrebet mindste privilegium og opnåelse af en form for sammenhængende synlighed på tværs af interne systemer.

Ikke overraskende bad folk om et ekstra trin i modenhedsprocessen med nul tillid. Denne nye cybersikkerhedstankegang repræsenterer en så bred ændring af, hvordan vi håndterer virksomhedsadgang og -godkendelse, at ingen leverandør eller produkt kan gøre det hele. Det er mere en disciplin end en produktkategori, der involverer ændringer på tværs af hele infrastrukturen og væsentlige opdateringer af politik. For mange organisationer vil det være en langsom forbrænding, mere som at tænde tusind stearinlys end at dreje en enkelt kontakt, og dette ekstra trin giver dem et mere ligetil sted at begynde. At gøre påkørslen lidt mere lavvandet vil være en kærkommen ændring af køreplanen for mange.

Forfatter

Danny Bradbury

Danny Bradbury har været printjournalist med speciale i teknologi siden 1989 og freelanceskribent siden 1994. Han har skrevet for nationale publikationer på begge sider af Atlanten og har vundet priser for sit undersøgende cybersikkerhedsjournalistikarbejde.

Se alle indlæg af Danny Bradbury

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!