Vóór de opmars van Cloud-gebaseerde diensten en de toename van mobiliteit, was toegang tot bedrijfsdata en applicaties alleen mogelijk binnen de veilige muren van de organisatie. Tegenwoordig wordt steeds meer bedrijfsdata opgeslagen buiten de grenzen van de traditionele bedrijfsnetwerken. Data en applicaties zijn altijd en overal beschikbaar voor gebruik op de mobiele telefoon, tablet of laptop. Deze flexibiliteit en mobiliteit biedt het midden- en kleinbedrijf (mkb) veel voordelen.
Tegelijkertijd schuilt er ook een gevaar in. Medewerkers maken gebruik van Clouddiensten en applicaties, buiten het zichtveld van de organisatie. Deze zogenaamde ‘schaduw-IT’ is niet altijd betrouwbaar of veilig. Bovendien raken bedrijven door verspreiding van de IT-bedrijfsmiddelen makkelijk het overzicht en de controle kwijt over hun digitale bedrijfsomgeving. Ook zijn traditionele beveiligingsoplossingen, zoals firewalls en VPN-verbindingen binnen het mkb onvoldoende aanwezig of niet actueel, waardoor ze niet de gewenste of noodzakelijke bescherming bieden. Dit zorgt voor zwakheden in de IT-infrastructuur, waar cybercriminelen graag gebruik van maken.
Vertrouw nooit, controleer altijd
Om dergelijke risico’s tegen te gaan, is een alternatieve beveiligingsstrategie ontwikkeld: Zero Trust. Het uitgangspunt hiervan is dat alle resources zich op het openbare internet bevinden en apparaten, gebruikers en netwerken nooit zomaar vertrouwd mogen worden. Het basisprincipe van Zero Trust luidt dan ook ‘vertrouw nooit, controleer altijd’.
Medewerkers maken gebruik van verschillende apparaten en apps, met als enige constante de gebruikersidentiteit. De eerste stap in de richting van Zero Trust is het gebruik van die identiteit als controlemiddel. Alleen vertrouwde gebruikers krijgen toegang tot informatie waarvoor zij geautoriseerd zijn. Hierbij wordt niet alleen gekeken naar statische details als IP-adres, het tijdstip van inloggen en de locatie, maar ook naar het gedrag van de gebruiker. Onder gedrag valt bijvoorbeeld de gevoeligheid van de data die zij benaderen, de status van het apparaat en de applicaties die zij gebruiken. Zodra er (serieuze) afwijkingen worden geconstateerd ten aanzien van het normale gebruikersgedrag, moet de gebruiker zich nogmaals verifiëren of wordt zijn toegang geblokkeerd.
Beveiligingsstrategie
Het Zero Trust Model is geen kant-en-klare oplossing. Het is een beveiligingsstrategie. Volgens bedenker John Kindervag liggen er drie uitgangspunten aan ten grondslag:
- Geautoriseerde en veilige toegang tot bedrijfsdata is vereist.
- Toegang wordt streng gecontroleerd en verleend op basis van zo min mogelijk privileges.
- Alle digitale bedrijfsactiviteiten worden gelogd en geïnspecteerd.
Voor het midden- en kleinbedrijf lijkt een Zero Trust-beleid vaak te streng of overdreven. Het vertrouwen in medewerkers en veilig gebruik van bedrijfsmiddelen is doorgaans groter dan bij grote organisaties. Feit is echter dat de meeste datalekken een menselijke oorzaak hebben. Denk aan het klikken op links in phishing mails, het verlies van USB-sticks, het bewust of onbewust delen van informatie met ongeautoriseerde personen. Medewerkers zijn en blijven altijd de zwakste schakel in cybersecurity, ongeacht de omvang van de organisatie.
Zero Trust Maturity Model
Voor een succesvolle implementatie van het Zero Trust-beleid is het daarom belangrijk alle onderdelen rondom de identiteit volgens de drie eerdergenoemde uitgangspunten in te richten. Het Zero Trust Maturity Model van Microsoft maakt hierbij onderscheid tussen zes elementen: identiteiten, apparaten, toepassingen, gegevens, infrastructuur en netwerken.
Identiteiten
Verifieer en bescherm elke identiteit met sterke verificatie in uw volledige digitale omgeving. Gebruik multifactor-authentication (MFA). Rapporteer en registreer pogingen tot ongeautoriseerde toegang.
Apparaten
Krijg inzicht in alle apparaten die het netwerk benaderen. Introduceer beleid waaraan apparatuur aan dient te voldoen vóór toegang wordt verleend. Controleer met behulp van (mobile) device managementsoftware de naleving en status vóór toegang wordt verleend.
Toepassingen
Voorkom dat medewerkers op eigen houtje IT-middelen inzetten, zonder dat de IT-afdeling hiervan op de hoogte is (schaduw-IT). Controleer op juiste in-app machtigingen en maak gebruik van single sign-on in combinatie met multifactor-authentication. Bewaak en beheer alle gebruikersacties.
Gegevens
Ga van gegevensbescherming op basis van grenzen naar bescherming op basis van gegevens. Gebruik informatie om gegevens te classificeren en labelen. Versleutel en beperk toegang op basis van bedrijfsbeleid.
Infrastructuur
Gebruik beveiligingssystemen op basis van telemetrie om aanvallen en afwijkingen vroegtijdig te detecteren, automatisch riskant gedrag te blokkeren en te markeren. Voer toegangsbeleid met minimale machtiging uit.
Netwerken
Zorg dat apparaten en gebruikers niet alleen vertrouwd worden, omdat ze op een intern netwerk zijn aangesloten. Versleutel alle interne communicatie, beperk toegang via beleid en voer microsegmentatie en realtime bedreigingsdetectie uit.
Veilig én duidelijk
Het is niet nodig meteen alle elementen gelijktijdig aan te pakken. Evenmin is Zero Trust alleen geschikt voor grote organisaties. Een midden- of kleinbedrijf dat zich op één of twee elementen focust, kan enorm veel baat hebben bij een gedeeltelijke Zero Trust-implementatie. Met een zogenaamde hybride Zero Trust-omgeving daalt de kans op een cyberincident aanzienlijk. Dit komt niet alleen de organisatie, maar ook de medewerkers ten goede. Het is voor werknemers immers steeds lastiger te beoordelen wat veilig is en niet. Een goed geïmplementeerd Zero Trust-beleid zorgt dus niet alleen voor veiligheid, maar ook voor duidelijkheid. Wilt u meer weten over de mogelijkheden om uw IT-omgeving optimaal te beveiligen? Als professionele ICT partner adviseren we u graag.
Bronnen:
Whitepapers en presentaties Microsoft:
Zero_Trust_Vision_Paper_Final 10.28.pdf en Zero Trust ebook_v11_090419.pdf
https://www.microsoft.com/security/blog/2018/12/17/zero-trust-part-1-identity-and-access-management/
https://www.varonis.com/blog/what-is-zero-trust/
https://www2.computerworld.nl/security/109977-waarom-zero-trust-zo-n-hype-is
https://dutchcloudmagazine.nl/vertrouwen-is-kwetsbaarheid-in-security-land/
https://www.microsoft.com/nl-nl/security/business/zero-trust