Du kan ikke kikke på en sikkerhetshendelse i disse dager uten å se uttrykket «null tillit». Det er riktignok et moteord, men det er nyttig. Kjernen er et fundamentalt skifte i sikkerhetsfokus bort fra perimetersikkerhet.
Nulltillit er allerede et gammelt begrep som dukket opp i bransjespråket rundt 2010, men prinsippene strekker seg lenger tilbake til Jericho Forum, en samling av ledende nettsikkerhetsledere.
Medlemmer av Jericho skapte først begrepet «deperimeterisering» rundt 2004. Dette erkjente at en beskyttende perimeter av «jernring» rundt bedriftsnettverket ikke lenger var nok. Etter hvert som entreprenører og andre forretningspartnere fikk mer tilgang til nettverket, ble ideen om en «innside» og en «utside» stadig mer obskur. Nettverket, som en gang var et slott med en vollgrav, hadde utviklet seg til en by med flere porter og mange mennesker som strømmet fritt inn og ut.
Deperimeterisering og etterfølgeren nulltillit flyttet fokuset til å beskytte individuelle eiendeler i nettverket. Den beste måten å gjøre det på er å kontinuerlig autentisere hvem som hadde tilgang til disse eiendelene, og hva de hadde lov til å gjøre med dem. Det betydde å fokusere på identitet som den nye sikkerheten.
De som ikke gjennomfører den overgangen risikerer flere brudd. ISMS-rapport om informasjonssikkerhet 2025 setter til og med et tall på det: autentiseringsbrudd økte tidoblet det siste året, fra 2 % til 20 % av hendelsene. Verizons datainnbrudd bekrefter at legitimasjon fortsatt er den viktigste angrepsvektoren.
Hvorfor legitimasjon har blitt skjelettnøkkelen
Hvorfor ble påloggingsinformasjon selve kjernen i bedriftssystemer? Noe av dette har å gjøre med utviklingen av nettverkskanten. Det er vanskelig å definere nettverkskanten i dag, med så mye av den nå spredt rundt forskjellige regionale datasentre og skytjenester. Hybridarbeid spilte også en rolle, noe som akselererte behovet for at folk skal kunne få tilgang til nettverket eksternt.
En annen driver har vært informasjonstyveriøkonomien, som har industrialisert seg. Denne skadevaren stjal 2.1 milliarder legitimasjonsopplysninger bare i 2024, ifølge GoogleNår en infostealer-kampanje kaprer påloggingsinformasjon, er den enkel å selge på det mørke nettet, og angripere som stjeler påloggingsinformasjon kan deretter bruke den til å spre digitale dørhåndtak over internett.
Når de får et treff og låser opp enda en konto, kan angriperne være sikre på at de har god tid til å utnytte den kaprede kontoen og komme seg unna. 292 dager i gjennomsnitt, ifølge IBM tar det også lengst tid å oppdage brudd på legitimasjonsinformasjon.
Ikke-menneskelige brukere overgår nå menneskelige brukere
Det er en annen grunn til at identitet har blitt stadig viktigere som en del av sikkerhet: ikke-menneskelige identiteter. Før i tiden var hovedbrukerne av bedriftens dataressurser mennesker. I dag, takket være mikrotjenester, API-er og en blomstrende generasjon av agentiske AI-tjenester, er ikke-menneskelige brukere i undertall mennesker 144:1 i bedrifter i løpet av 2025. Det var en økning på 56 % fra året før.
Veksten av AI-agenter er spesielt relevant her fordi disse tjenestene blir mer autonome. Etter hvert som de får tillit til AI-automatisering, er det mer sannsynlig at organisasjoner gir disse agentene mer ansvar. Andelen slike tjenester med privilegert tilgang vil øke.
Identitet er grunnleggende
Disse trendene er grunnen til at samsvarsrammeverk fokuserer på identitet. ISO 27001:2022 Annex A 5.15–5.18 kodifiserer identitetskontroller som en del av et bredere sett med organisatoriske tiltak som dekker tilgangskontroll, identitetshåndtering, autentiseringsinformasjon og tilgangsrettigheter.
Robuste rammeverk for sikkerhetskontroll har en fellesnevner: hver identitet må være unik, minimumsprivilegier må være normen og reviderbar. MFA bør være obligatorisk for privilegert tilgang.
Disse rammeverkenes fokus på identitet er betimelig, ettersom regulatorer vier dette problemet langt mer oppmerksomhet. ENISA beskriver MFA som en smart måte å vise at du overholder NIS 2. Bedrifter bør være oppmerksomme på dette, ettersom denne EU-forordningen medfører bøter på opptil 10 millioner euro eller 2 % av den globale omsetningen for organisasjoner som ikke overholder den.
Overgang til en identitetsfokusert sikkerhetsposisjon
Så hvordan kan bedrifter innta en identitetsbasert sikkerhetsholdning som er uavhengig av amorfe perimetere?
Det finnes konkrete komponenter som ligger til grunn for nulltillit. Sterk identitets- og tilgangshåndtering er én av dem, som innebærer å sikre at hver bruker, tjeneste og maskin er unikt identifisert og kontinuerlig autentisert.
MFA er en klar måte å unngå kontokapring på, men det er ikke uten risikoer. MFA-tretthet er reell, mens proxyer også kan brukes til å avlytte MFA-økter, og infotyvere kan stjele økttokener. Tokentyveri kan omgå noe MFA helt. I 2024, Microsoft oppdaget 147 000 token-replay-angrep, en økning på 111 % fra året før.
Passordløs autentisering ved bruk av passordnøkler er en annen måte å hindre at folk blir ofre for phishing-angrep. Det kan også stoppe noe av atferden som sluttbrukere synes er vanskelig å gi opp når de prøver å få jobben gjort, for eksempel å dele passord for enkel tilgang.
Disse endringene kan virke skremmende for mange organisasjoner, spesielt de som har satt sammen IT-infrastrukturen sin fra flere systemer over tid, gjennom oppkjøp, fragmenterte team og strategiske teknologiendringer. Men de kan gjøre ting enklere ved å begynne med noen viktige prinsipper.
Implementer ISO 27001 Annex A 5.15–5.18-kontroller som et grunnlag. Disse vil veilede deg i beste praksis for implementering av tilgangspolicyer, identitetslivssyklusstyring og autentiseringsstandarder. Et slikt rammeverk vil gi deg et solid grunnlag i styring gjennom tiltak som regelmessige tilgangsgjennomganger.
Bli enige om å inventarisere ikke-menneskelige identiteter med samme strenghet som gjelder for ansatte. Gjennomfør en gap-analyse og se hva som skal til for å ta hensyn til alle tjenestekontoer og deres TLS-sertifikater eller API-nøkler, for eksempel.
Til syvende og sist er målet å akseptere at identitetssikkerhet nå er en grunnleggende del av sikkerhetsadministrasjon. Tross alt kan du ikke beskytte det du ikke kan autentisere.
