Luottamus hyvä, Zero Trust parempi

Kun organisaatiot kasvavat ulos omasta sisäverkostaan, tarvitaan uusi tapa ajatella tietoturvaa. Zero Trust -periaattein rakennettu tietoturva monitoroi kaikkia yrityksen dataa käsitteleviä päätelaitteita.

Kun koronapandemia pakotti etätöihin, joutui moni organisaatio miettimään tietoturvansa uusiksi. Nyt niin Ihmiset kuin päätelaitteet ovat yrityksen luotetun sisäverkon ulkopuolella, samoin yhä useampi organisaation pilveen siirretty sovellus. ”Perinteisessä IT-maailmassa sovellukset, data ja palvelut ovat olleet yrityksen omassa verkossa, turvallisesti palomuurin takana. Mutta organisaatiot ovat muuttuneet, ja tietoturvan pitää muuttua sen mukana”, toteaa Senior Technical Consultant Markus Lintuala.

 

Moderni suojausmalli tottelee nimeä Zero Trust. Todelliseksi hypetermiksi noussut malli romuttaa perinteisen ajatuksen luotetuista ja epäluotetuista verkoista. ”Zero Trust -mallissa ei ole tietoturvamielessä väliä, onko päätelaitteesi toimiston sisäverkossa vai kotona”, Lintuala toteaa. Lintuala kehottaakin suuntaamaan katseen perinteisen verkkotason näkyvyyden sijasta kaikkiin päätelaitteisiin ja sovelluksiin, joilla yrityksen dataa käsitellään.

Zero Trust -mallissa monitoroinnin keskiössä ovat organisaation laitteet ja palvelut. Yritysverkon sisältä tuleviin pyyntöihin ei luoteta sen enempää kuin ulkopuolelta tuleviin, vaan käyttäjien ja laitteiden täytyy aina todistaa olevansa oikeutettuja verkon palveluihin tai resursseihin. Myöskään perinteinen käyttäjä-salasana- tai tekstiviestiautentikointi ei enää riitä. Niiden lisäksi käyttäjän identiteetti vahvistetaan esimerkiksi laite- ja sijaintitiedolla. Näin ympäristöön murtautuminen on entistä vaikeampaa.

Microsoft teknologiajohtaja

Monen Elisan asiakkaan matka kohti modernia Zero Trust -mallilla rakennettua tietoturvaa on alkanut 1-2 päivän tietoturva-, päätelaitehallinta- tai Zero Trust -workshopeista. ”Kaikilla ohjelmistotoimittajilla on hieman omanlaisensa määritelmä Zero Trustille. Microsoft on vienyt ajatuksen pisimmälle. Sen takia olemme rakentaneet työpajamme Microsoftin tuotteiden päälle”, Lintuala kertoo.

Gartner- ja Forrester -tutkimuslaitosten kehuma Microsoft 365 Defender on erittäin hyvä tietoturvakokonaisuus, joka turvaa niin organisaation päätelaitteet, käyttäjätunnukset, sovellukset kuin datan Zero Trust -periaatteiden mukaisesti.  ”Useiden asiakkaidemme tietoturvakokonaisuus pohjautuu vahvasti Microsoft 365 E5 Security -lisäosan mahdollistamiin palveluihin, Markus Lintuala kertoo.

Ne antavat reaaliaikaisen näkyvyyden kaikkiin yrityksen dataa käsitteleviin päätelaitteisiin  – työasemiin, mobiililaitteisiin ja palvelimiin. ”Automaattiset koneoppimisalgoritmit nostavat automaattisesti käyttäjän riskitasoa, kun järjestelmä havaitsee, että käyttäjää pommitetaan tai salasanaa yritetään murtaa.” UEBA (User and Entity Behavior Analytics) -tekoäly taas seuloo jatkuvasti eri ohjelmistokomponenttien tuottamaa dataa ja etsii poikkeavasti käyttäytyviä päätelaitteita tai käyttäjäidentiteettejä. Loppukäyttäjille näkyvin suojaus on reaaliaikainen linkkitarkastus.

”Sähköposteille ja dokumenteille on järjestelmässä linkkiklikkisuoja. Uuden sähköpostin linkit klikataan läpi ja kohdesaiteille tehdään mainetarkistus.”

Uutta ajattelua tarvitaan 

Asiakasympäristön modernia suojausta uusia tietoturvauhkia vastaan ei kuitenkaan koskaan lähdetä rakentamaan ohjelmistot edellä. ”Teknologisesti tässä ei ole mitään kummallista, mutta tarvitaan ajattelutavan muutos.”

Kun konttorit ovat autioituneet, ja sovellukset siirtyneet pilveen, ei sisäverkon palomuuri enää olekaan synonyymi organisaation tietoturvalle. Työntekijöiden siirtyessä etätöihin voi perinteistä tietoturvamallia tekohengittää esimerkiksi salatuilla VPN-yhteyksillä sisäverkkoon. ”Se on kuitenkin loppukäyttäjälle usein tuskaisen hidasta, joten sen pitäisi olla vasta viimeinen vaihtoehto.”

Miten siis lähteä suojautumaan tietoturvauhkia vastaan uudella filosofialla?  Markus Lintuala kehottaa laatimaan aluksi tiekartan, joka määrittelee mitä lähdetään tavoittelemaan, ja missä järjestyksessä. ”Tärkeintä lähteä tekemään asioita uudella tavalla, ja ketterin menetelmin.” Kun edetään pikku askelin suunnitelmallisesti eteenpäin, jää vanhoja tietoturvaratkaisuja vähitellen käyttämättä, ja ne voidaan ajaa alas.

Yksi Zero Trust -ajattelun kulmakivistä on oletus siitä, että järjestelmä on jo murrettu, ”Oletamme että hyökkääjä on sisällä ja pyrimme minimoimaan alan johon hän pääsee käsiksi”, Lintuala selvittää. Kun tietoturva on hyvin suunniteltu, käyttäjät pääsevät kirjautumaan laitteillaan vain niihin palveluihin ja resursseihin, joita he tarvitsevat työnsä tekemiseen – eikä tietomurrossa onnistunut hyökkääjäkään pääse pienestä kuplastaan eteenpäin yrityksen muihin IT-resursseihin.

Salasanattomuus suojaa

Loppukäyttäjien elämää Zero Trust ei sen sijaan vaikeuta silloinkaan, kun töitä tehdään perinteiseen tapaan konttorilla. ”Autentikoitumisen pitää olla mahdollisimman automaattista, eikä tunnuksia tarvitse syöttää kuin kerran.”

Markus Lintuala kertoo, että käyttäjien elämää helpottava salasanaton tunnistautuminen on myös paras tapa suojautua tietojen kalastelulta, jolla tehdään tätä nykyä 85 prosenttia kaikista datavarkauksista. ”Paras tapa suojata salasanat on se, ettei niitä käytetä lainkaan.”

Ilman salasanaa autentikointi voi tapahtua monin eri tavoin. Yksi niistä usb-tikun näköinen Fido2-avain. ”Kirjautuakseni annan joko sormenjäljen tai pin-koodin, ja kosketan tikun kosketuspintaa.”  Jos tikku on kotona, onnistuu kirjautuminen myös kännykän tunnistussovelluksella. Myös Windows Hello for Business on loppukäyttäjälle helppo salasanaton tunnistautumistapa. Se käyttää autentikoimiseen PIN-koodia, kasvojen tunnistusta tai sormenjälkeä.

Esimerkiksi salasanatonta kirjautumista jo pitkään käyttäneelle Markus Lintualalle kalasteluviestejä on turha lähettää. ”En pysty vahingossakaan syöttämään salasanaani hyökkääjälle, kun ei sitä itsekään muista.”

Moni asiakas on jo aloittanut modernin tietoturvan rakentamisen yhdessä Elisan asiantuntijoiden kanssa. ”Asiakaspalaute on ollut älyttömän hyvää”, Lintuala kehaisee. Tietoturva-asiantuntemusta Elisalta löytyy. Markus Lintualan ja hänen kollegoidensa kalenterit ovat täynnä tietoturvatyöpajoja ja moderneja tietoturvatoteutuksia asiakkaille. Toisinaan he kirjoittavat alan teknologiaratkaisuista bloggerz.cloud -blogiin.

”Elisalla on myös oma kyberturvakeskus, joka tuottaa tietoturvauhkien valvontapalvelua.”

Lintuala muistuttaa vielä, että Zero Trust -ratkaisua ei voi ostaa suoraan kaupan hyllyltä, sillä paras suojausratkaisu on joka organisaatiolla hieman erilainen. Matka kohti entistä tietoturvallisempaa IT-ympäristöä on paras aloittaa tiekartan teosta.

”Hyvä tapa päästä alkuun ovat Elisan workshopit, joissa käydään modernit tietoturvakonseptit läpi, keskustellaan ja sparraillaan.”

 

Lue lisää Zero Trust –mallista. Katso myös Zero Trust tietoturvan kulmakiveksi –webinaaritallenne. Tutustu myös Elisan työpajoihin. Lisää salasanattomuudesta voi lukea tästä blogista.