Trinn 1: Kartlegg ressursene dine
Start med å identifisere hva som skal beskyttes, dvs, sensitive data, applikasjoner og systemer. Uten klar oversikt over hva som er kritisk, blir Zero-Trust en tom frase. Bruk verktøy som automatiske skanninger for å avdekke skjulte sårbarheter og resurser.

​

Trinn 2: Definer tilgangskontroller
Hvem trenger tilgang til hva, og hvorfor? Implementer strenge roller og autentiseringsmetoder, som multifaktorautentisering (MFA). Følg Zero-Trust-prinsippene:

• Verify explicitly: Alltid verifiser identiteten til brukere og enheter før tilgang gis (mennesker, maskiner og programvarer). Dette inkluderer kontinuerlig overvåking og validering av brukeratferd for å sikre at tilgang kun gis til autoriserte brukere.

• Use least privilege access: Gi brukere kun den tilgangen de trenger for å utføre sine oppgaver. Dette minimerer risikoen ved at en kompromittert konto kan skade systemet. For eksempel, en ansatt i regnskap trenger ikke tilgang til tekniske servere.

• Assume breach: Anta at et brudd kan skje når som helst, og planlegg deretter. Implementer tiltak som begrenser skaden ved et potensielt brudd, som segmentering av nettverket og kontinuerlig overvåking for uvanlig aktivitet. Et eksempel på konsekvensene av manglende kontroll er hackerangrepet mot Hydro i 2019, som kostet selskapet rundt 800 millioner kroner da systemene ble lammet av et løsepengevirus.

​

Trinn 3: Segmenter nettverket
Del opp nettverket i mindre soner. Hvis en angriper kommer inn, begrenser dette skaden.

• Bruk VLANs (Virtual Local Area Networks): Implementer separate VLAN for å skape virtuelle grenser innenfor det samme fysiske nettverket. Dette gjør det mulig å isolere forskjellige segmenter og begrense tilgang til sensitive data.

• Implementer brannmurer: Sett opp brannmurer mellom hvert segment for å kontrollere trafikkflyten. Brannmurer kan blokkere uautorisert trafikk basert på definerte tilgangskontroller.

• Bruk mikrosegmentering: Mikrosegmentering gir granulert kontroll ved å isolere individuelle maskiner og applikasjoner. Mikrosegmentering hindrer uautorisert lateral bevegelse i nettverket, noe som kunne ha begrenset skadeomfanget i tilfeller som Hydro-angrepet, der hackere fikk fri adgang etter det innledende bruddet. Dette kan gjøres ved hjelp av programvaredefinert nettverk (SDN) teknologi.

 

Trinn 4: Overvåk og verifiser kontinuerlig
Zero-Trust handler om dynamisk sikkerhet. Bruk sanntidsanalyse og logging for å oppdage avvik. Et angrep kan komme innenfra, stol aldri blindt på interne brukere.

​

Trinn 5: Tilpass og lær

ITrusselbildet er ikke statisk. Evaluer rammeverket kontinuerlig mot nye trusler og juster etter behov ved bruk av tilgjengelig informasjon om bruksmønstre, inkludert logganalytikk om autentiseringer og autoriseringer. Dette gir innsikt i hvordan brukere og systemer interagerer, slik at du kan identifisere avvik og styrke sikkerheten proaktivt. Samarbeid med eksperter for å sikre at løsningene holder tritt med utviklingen, og gjenbruk denne konteksten til å tilpasse rammeverket dynamisk, slik at det forblir robust og fleksibelt i møte med skiftende trusselbilder. 

​

Ekspertkommentar:

«Zero-Trust handler ikke bare om teknologi, men om en metodikk som verifiserer og bekrefter identitet som det sikre utgangspunktet for å bygge tillit, og gir tilgang etter behov til riktig tid.»

​

«Å ta i bruk Zero-Trust krever engasjement, tid og ekspertise, men belønningen, styrket sikkerhet og lavere risiko for organisasjonen, gjør det svært verdifullt. Begynn i det små ved å pilotere og verifisere tiltakene på et avgrenset område, som én applikasjon eller et enkelt nettverkssegment, og utvikle gradvis mot en robust implementering.»

sier en seniorrådgiver hos Semaphore.