Zero Trust: van ijzersterke strategie naar een dijk van een uitvoering
Cyberdreigingen zijn de afgelopen jaren sterk geëvolueerd, maar de manier waarop we daarmee omgaan niet. Beveiliging is vaak nog ingericht als die van een middeleeuws kasteel met slotgracht. Er staan wachters bij de toegangspoort, maar eenmaal binnen in het kasteel kun je iedere ruimte betreden. Dit veel gebruikte concept van het beveiligen van de eigen IT omgeving aan de buitenkant, waarbij alles wat zich op het bedrijfsnetwerk bevindt wordt verondersteld als betrouwbaar, volstaat niet meer. Dreigingen van binnenaf nemen alleen maar toe en het IT-landschap van je organisatie staat vaak niet meer ergens afgezonderd van de buitenwereld. We zijn altijd en met alles verbonden. Daarnaast heeft de coronapandemie een boost gegeven aan de urgentie voor adequate informatiebeveiliging. Data en applicaties reizen met medewerkers mee naar wisselende werkplekken en devices zijn daardoor voer voor cybercriminelen. Wat is het moderne alternatief voor een slotgracht? Een ijzersterke Zero Trust-strategie en een dijk van een uitvoering.
Wat is Zero Trust?
Zero Trust is een wereldwijd geaccepteerd principe voor beveiliging. Met de gedachte ‘nooit vertrouwen, altijd verifiëren’ regel je iedere toegang tot data en applicaties, op elk moment. Het is voor cybercriminelen tegenwoordig een eitje om legitieme inloggegevens in hun bezit te krijgen. Dat betekent dat dreigingen vaker van binnenuit komen, en niet meer enkel van buitenaf zoals bij het kasteel met slotgracht. Daarom is het belangrijk om een entiteit nooit zomaar te vertrouwen, want dan kan een kwaadwillende zijn gang gaan zodra hij binnen is.
Een Zero Trust-strategie kent een aantal belangrijke kenmerken. Allereerst is er inzicht in applicaties en datastromen en is er toegang geregeld op basis van context, locatie en content. Ook belangrijk is dat een gebruiker altijd beschouwd wordt als onbetrouwbaar, tótdat ze hebben aangetoond wie ze zijn. En niet te vergeten: microsegmentatie. Dit wordt toegepast op basis van gebruikers en hun gedrag, apparaten, locaties en context. Eenmaal geauthentiseerde gebruikers krijgen alleen toegang tot de bestanden of omgevingen die zij nodig hebben om hun werk efficiënt uit te voeren. Als een apparaat of gebruikersaccount wordt gecompromitteerd, beperk je de schade op deze manier. Een kwaadwillende heeft dan namelijk geen of slechts beperkte toegang.
Voordelen van een Zero Trust-architectuur
Het implementeren van een Zero Trust-architectuur levert een aantal belangrijke voordelen op voor bedrijven, waaronder:
- Verkleinen van het bedreigingsoppervlak;
- Maximaal gebruik van toegangscontrole & authenticatie;
- Verhoogd inzicht in alle gebruikersactiviteiten;
- De mogelijkheid om dynamisch toegang te verlenen op basis van de huidige gebruikssituatie;
- Vermindering van de mogelijkheden van aanvallers om zich via via binnen de IT omgeving te bewegen;
- Bescherming tegen zowel interne als externe bedreigingen;
- Minder afhankelijkheid van point solutions die zijn ontworpen om specifieke typen bedreigingsactiviteiten te detecteren/stoppen;
Het concept van Zero Trust is de afgelopen tien jaar enorm gegroeid. De grootste uitdaging voor organisaties is echter om het model te implementeren met zo min mogelijk negatieve gevolgen voor de gebruikerservaring en productiviteit.
Hoe implementeer je Zero Trust?
Het analyseren van de beveiligingsrisico’s is een belangrijke eerste stap om uiteindelijk tot een passende Zero Trust-strategie te komen. Je wilt immers weten welke risico’s je loopt, wat de eventuele gevolgen daarvan zijn en in hoeverre en hoe je je organisatie hiertegen beschermt. Een risicoanalyse bestaat uit verschillende stappen, zoals het in kaart brengen van wat van waarde is voor je organisatie en wat je wilt beschermen, maar denk ook aan het verkrijgen van inzicht in de processen, mensen en technologie binnen je organisatie. Om een volledig beeld te krijgen van alle stappen in een risicoanalyse, download ons whitepaper. Daar vind je ook handige tools die je kunnen helpen met het vergaren van overzicht.
De risico’s zijn in kaart, en dan?
Toch is er meer nodig dan een gedegen analyse en beleid. De uitvoering van de Zero Trust-strategie is minstens zo belangrijk. Dat heeft alles te maken met de manier waarop het thema security is geborgd binnen de organisatie. Daarbij zijn een aantal punten belangrijk. Om te beginnen is het goed om binnen de organisatie een securityverantwoordelijke te hebben die zich op beleidsniveau bezighoudt met dit onderwerp. Iemand die de juiste mensen aan tafel krijgt om een degelijk beleid op te stellen en niet direct in de techniek of uitvoer denkt. Ook het in huis halen van cyberspecialisme is cruciaal: iemand die vanuit bedrijfskundig perspectief verantwoordelijk is. Of dat nu intern is of via een gespecialiseerd partner, dat is om het even. En net als vrijwel alles, is ook cyberveiligheid een kwestie van budget. Als cyberveiligheid de nodige aandacht heeft binnen de directie, dan is ook het besef daar dat het niet beschikbaar zijn van ICT-systemen veel meer directe en indirecte kosten met zich meebrengt dan het nemen van preventieve beveiligingsmaatregelen. Tot slot de medewerkers. Juist zij hebben een cruciale rol in het realiseren van de strategie. Het is belangrijk dat medewerkers regelmatig getraind en ‘getest’ worden, zodat ze digivaardig zijn op het gewenste niveau en zich bewust zijn van de nieuwste ontwikkelingen binnen cyberveiligheid?
Hulp vragen
Met andere woorden, het is belangrijk om security binnen alle schakels in een organisatie gewaarborgd te hebben. Alleen dan zijn strategie en uitvoer in perfecte synergie. Met de stappen uit deze blog ben je er natuurlijk nog niet. Security is een ongoing proces en gaat zelfs verder dan het beveiligen van de kantoorgrenzen. Ben je na het lezen van deze blog getriggerd? Download dan ons whitepaper over een Zero Trust-strategie. Daarin kan je het bovenstaande in uitgebreide vorm teruglezen. En vergeet niet: je hoeft het niet allemaal zelf te doen. Trek aan de bel en schakel hulp in als je vastloopt of bepaalde expertise ontbreekt.
Ictivity heeft een team van security consultants die organisaties helpen met de implementatie van een Zero Trust-architectuur. Ons doel is om organisaties zelf te leren omgaan met het Zero Trust-framework. Onze consultants gaan hierover graag met je in gesprek. Benieuwd naar de mogelijkheden? Neem gerust contact met ons op.
