Ny zero trust-sikkerhedsrapport viser, at flere virksomheder ser behovet, men de kæmper med integrationen

Fortinet, der er én af verdens største IT-sikkerhedsfirmaer, har netop udgivet 2023 State of Zero rapporten, der har taget temperaturen på zero trust-implementeringen i flere end 30 lande. Danske virksomheder har også bidraget med svar til Fortinet undersøgelsen, der har samlet input fra flere end 570 it- og sikkerhedsansvarlige fra både den private og offentlige sektor. Fælles for organisationerne, på tværs af landegrænserne, er, det at man helt generelt er kommet langt bedre med i forhold til at prioritere og implementere zero trust-løsninger. 66 procent af de adspurgte er allerede i gang med at udrulle zero trust-løsninger ift. 54 procent i Fortinet’s seneste zero trust-rapport.

”Tallene i rapporten bekræfter den tendens, vi også ser i Danmark. Danske virksomheder er blevet meget mere opmærksomme på vigtigheden af zero trust-arketiktur og -løsninger for at sikre deres data, men vi er nok stadig lidt efter gennemsnittet, når det kommer til implementeringen - så der er plads til forbedringer. En af de mulige årsager er, at vi ikke arbejder med zero trust ud fra et mål om en bedre brugeropvelelse og operational efficiency i virksomhederne” siger Christian Rutrecht, der er cyberekspert ved Fortinet Danmark.

Zero trust kan spises i små bidder

Mens det går fremad med udrulningen af zero trust-løsninger over en bred kam, så viser rapporten også, at organisationerne stadig kæmper med integrationen. Især mellem cloud- og lokale on-premise-løsninger. Knap halvdelen (48 %) af respondenterne lister det som deres største udfordring. Ifølge Christian Rutrecht er det en udfordring, som han genkender fra Danmark - men en udfordring, der heldigvis er løsninger på.

”Man siger, at man skal spise en elefant i små bidder. Sådan er det også med zero trust-løsninger. Det kan nemt virke uoverskueligt med mange brugere, mange løsninger og integrationer mellem cloud-, hybrid- og on-premise. Derfor råder vi til, at man bryder zero trust-implementeringen ned, hvor man kan konsolidere på færre platforme, så man kommer i gang - i stedet for at udskyde.”

Rådet fra Fortinet er, at man med fordel kan starte ved brugerbaseret zero trust til applikatione. Her tager man typisk noget, du har, du er (biometri), og hvad din nuværende sikkerhedsposture er (på et endpoint f.eks), før man som bruger får adgang til en applikation eller service. Denne adgang kan, så hurtigt som den givet, også fratages, hvis noget bryder med zero trust-valideringen.

”Ved at centralisere kontrollen med adgange, får man, som en effekt af dette, også en operationel og mere effektiv model, i forhold til at give og fratage adgange. Derudover forbedrer man også brugeroplevelsen markant ved at give brugere zero trust-adgang til applikationer. Resultatet er, at medarbejderen aldrig skal bekymre sig om, hvor de arbejder fra, eller besværligheder med login, hvis brugeren springer mellem platforme ved hjælp af f.eks. SAML, i samarbejde med zero trust-kontrollerne tidligere nævnt,” uddyber Christian Rutrecht.

Selvom zero trust kun er én del af den samlede it-sikkerhedsstruktur for virksomheder, så er det lidt undervurderet i forhold til de positive følgeeffekter, som implementeringen af zero trust-løsninger har på den samlede sikkerhed. Har man en god zero trust-løsning på plads i virksomheden, så bliver det også nemmere at automatisere andre platforme, samt zero trust-adgange til andre applikationer - og derved få en endnu mere effektiv beskyttelse. Derfor er anbefalingen fra Fortinet Danmark, at man i prioriteringen af sine it-sikkerhedsinvesteringer ikke placerer zero trust for lavt. For det kan nemlig vise sig at være en dyr beslutning.

Stjålne brugerprofiler er de it-kriminelles motorvej ind i din virksomhed

Data fra Fortinets Incident Respons Team, der er en slags it-sikkerheds SWAT-hold, der rykker ud, når it-kriminelle har slået hul i sikkerheden, viser, at hele 45 % af alle brud sker gennem adgang fra valide brugerkonti i organisationen. Her har de it-kriminelle har haft held til at stjæle login og password fra brugere og brugt deres adgangsprofiler til at komme ind i virksomhedens sikkerhedssystemer. Det kan ikke ske, hvis virksomhedens zero trust-struktur er på plads med fx. to-faktorvalidering.

”Der skal faktisk relativt lidt til for at undgå de mest basale angreb med en god zero trust-struktur på plads. Er den på plads, så kan it-kriminelle ikke gøre meget, selvom de stjæler login og password - eller måske endda MFA tokens. For med en zero trust-model, skal de også lykkes med at stjæle dit brugernavn, password, mobil og din fysiske computer. Dette kan være svært, når man sidder på den anden side af kloden. Så jeg kan kun anbefale danske virksomheder at komme i gang med deres zero trust-arbejde, hvis de ikke allerede er det,” siger Christian Rutrecht.

Hent hele State of Zero 2023 rapporten fra Fortinet.