Vóór de opmars van Cloud-gebaseerde diensten en de toename van mobiliteit, was toegang tot bedrijfsdata en applicaties alleen mogelijk binnen de veilige muren van de organisatie. Tegenwoordig wordt steeds meer bedrijfsdata opgeslagen buiten de grenzen van de traditionele bedrijfsnetwerken. Data en applicaties zijn altijd en overal beschikbaar voor gebruik op de mobiele telefoon, tablet of laptop. Deze flexibiliteit en mobiliteit biedt het midden- en kleinbedrijf (mkb) veel voordelen.
Tegelijkertijd schuilt er ook een gevaar in. Medewerkers maken gebruik van Clouddiensten en applicaties, buiten het zichtveld van de organisatie. Deze zogenaamde ‘schaduw-IT’ is niet altijd betrouwbaar of veilig. Bovendien raken bedrijven door verspreiding van de IT-bedrijfsmiddelen makkelijk het overzicht en de controle kwijt over hun digitale bedrijfsomgeving. Ook zijn traditionele beveiligingsoplossingen, zoals firewalls en VPN-verbindingen binnen het mkb onvoldoende aanwezig of niet actueel, waardoor ze niet de gewenste of noodzakelijke bescherming bieden. Dit zorgt voor zwakheden in de IT-infrastructuur, waar cybercriminelen graag gebruik van maken.
Om dergelijke risico’s tegen te gaan, is een alternatieve beveiligingsstrategie ontwikkeld: Zero Trust. Het uitgangspunt hiervan is dat alle resources zich op het openbare internet bevinden en apparaten, gebruikers en netwerken nooit zomaar vertrouwd mogen worden. Het basisprincipe van Zero Trust luidt dan ook ‘vertrouw nooit, controleer altijd’.
Medewerkers maken gebruik van verschillende apparaten en apps, met als enige constante de gebruikersidentiteit. De eerste stap in de richting van Zero Trust is het gebruik van die identiteit als controlemiddel. Alleen vertrouwde gebruikers krijgen toegang tot informatie waarvoor zij geautoriseerd zijn. Hierbij wordt niet alleen gekeken naar statische details als IP-adres, het tijdstip van inloggen en de locatie, maar ook naar het gedrag van de gebruiker. Onder gedrag valt bijvoorbeeld de gevoeligheid van de data die zij benaderen, de status van het apparaat en de applicaties die zij gebruiken. Zodra er (serieuze) afwijkingen worden geconstateerd ten aanzien van het normale gebruikersgedrag, moet de gebruiker zich nogmaals verifiëren of wordt zijn toegang geblokkeerd.
Het Zero Trust Model is geen kant-en-klare oplossing. Het is een beveiligingsstrategie. Volgens bedenker John Kindervag liggen er drie uitgangspunten aan ten grondslag:
Voor het midden- en kleinbedrijf lijkt een Zero Trust-beleid vaak te streng of overdreven. Het vertrouwen in medewerkers en veilig gebruik van bedrijfsmiddelen is doorgaans groter dan bij grote organisaties. Feit is echter dat de meeste datalekken een menselijke oorzaak hebben. Denk aan het klikken op links in phishing mails, het verlies van USB-sticks, het bewust of onbewust delen van informatie met ongeautoriseerde personen. Medewerkers zijn en blijven altijd de zwakste schakel in cybersecurity, ongeacht de omvang van de organisatie.
Voor een succesvolle implementatie van het Zero Trust-beleid is het daarom belangrijk alle onderdelen rondom de identiteit volgens de drie eerdergenoemde uitgangspunten in te richten. Het Zero Trust Maturity Model van Microsoft maakt hierbij onderscheid tussen zes elementen: identiteiten, apparaten, toepassingen, gegevens, infrastructuur en netwerken.
Verifieer en bescherm elke identiteit met sterke verificatie in uw volledige digitale omgeving. Gebruik multifactor-authentication (MFA). Rapporteer en registreer pogingen tot ongeautoriseerde toegang.
Krijg inzicht in alle apparaten die het netwerk benaderen. Introduceer beleid waaraan apparatuur aan dient te voldoen vóór toegang wordt verleend. Controleer met behulp van (mobile) device managementsoftware de naleving en status vóór toegang wordt verleend.
Voorkom dat medewerkers op eigen houtje IT-middelen inzetten, zonder dat de IT-afdeling hiervan op de hoogte is (schaduw-IT). Controleer op juiste in-app machtigingen en maak gebruik van single sign-on in combinatie met multifactor-authentication. Bewaak en beheer alle gebruikersacties.
Ga van gegevensbescherming op basis van grenzen naar bescherming op basis van gegevens. Gebruik informatie om gegevens te classificeren en labelen. Versleutel en beperk toegang op basis van bedrijfsbeleid.
Gebruik beveiligingssystemen op basis van telemetrie om aanvallen en afwijkingen vroegtijdig te detecteren, automatisch riskant gedrag te blokkeren en te markeren. Voer toegangsbeleid met minimale machtiging uit.
Zorg dat apparaten en gebruikers niet alleen vertrouwd worden, omdat ze op een intern netwerk zijn aangesloten. Versleutel alle interne communicatie, beperk toegang via beleid en voer microsegmentatie en realtime bedreigingsdetectie uit.
Het is niet nodig meteen alle elementen gelijktijdig aan te pakken. Evenmin is Zero Trust alleen geschikt voor grote organisaties. Een midden- of kleinbedrijf dat zich op één of twee elementen focust, kan enorm veel baat hebben bij een gedeeltelijke Zero Trust-implementatie. Met een zogenaamde hybride Zero Trust-omgeving daalt de kans op een cyberincident aanzienlijk. Dit komt niet alleen de organisatie, maar ook de medewerkers ten goede. Het is voor werknemers immers steeds lastiger te beoordelen wat veilig is en niet. Een goed geïmplementeerd Zero Trust-beleid zorgt dus niet alleen voor veiligheid, maar ook voor duidelijkheid. Wilt u meer weten over de mogelijkheden om uw IT-omgeving optimaal te beveiligen? Als professionele ICT partner adviseren we u graag.
Bronnen:
Whitepapers en presentaties Microsoft:
Zero_Trust_Vision_Paper_Final 10.28.pdf en Zero Trust ebook_v11_090419.pdf
https://www.microsoft.com/security/blog/2018/12/17/zero-trust-part-1-identity-and-access-management/
https://www.varonis.com/blog/what-is-zero-trust/
https://www2.computerworld.nl/security/109977-waarom-zero-trust-zo-n-hype-is
https://dutchcloudmagazine.nl/vertrouwen-is-kwetsbaarheid-in-security-land/
https://www.microsoft.com/nl-nl/security/business/zero-trust
v.l.n.r. Thomas Pollaert, Leon Steeghs, Olav Penders In een strategische stap om hun positie…
De escalerende oorlog tussen Rusland en Oekraïne heeft geleid tot een toename van cyberaanvallen. Deze…
Nieuwe Europese 'cyber security'-richtlijn voor het mkb NIS2 Waarschijnlijk heeft u nog nooit gehoord van…
Microsoft heeft aangekondigd dat per 01-11-2021 ondersteuning voor Microsoft 365 op onderstaande Office versies vervalt.…
Het sluitstuk van ICT-risicomanagement Cybercrime, oftewel computercriminaliteit, komt steeds vaker en in verschillende vormen voor.…
Ondersteuning voor Office 2010 is beëindigd op 13 oktober 2020 Ondersteuning voor Office 2010 is…