Hoe kun je Zero Trust-beveiliging het beste implementeren?

Recensies21 juni 2021

Zes informatiebeveiligingsprofessionals aan het woord

(Blog) Bedrijven lopen een groter risico op cyberaanvallen en datalekken nu medewerkers meer op afstand werken dan ooit tevoren. Met name omdat werknemers toegang tot systemen krijgen die buiten het gebruikelijke bedrijfsnetwerk liggen. Uit recent onderzoek van IBM blijkt dat een gemiddelde datalek meer dan $3 miljoen kost. Het is dan ook niet vreemd dat veel bedrijven geïnteresseerd zijn in de zogenaamde Zero Trust-beveiliging, die de kans op datalekken verkleind. Maar wat is Zero Trust-beveiliging eigenlijk?

Zero Trust-beveiliging
Zero Trust-beveiliging houdt in dat niemand in de organisatie standaard wordt vertrouwd, zowel van binnen als buiten het netwerk niet. Daarom is verificatie overal en van iedereen die toegang wil krijgen tot het netwerk, vereist. Hoewel NIST een blauwdruk voor Zero Trust heeft ontwikkeld, moeten organisaties zich beseffen dat Zero Trust bovenal een mindset is. Ondanks dat identiteitsverificatie een voor de hand liggend advies lijkt, moet je je visie op de beveiliging veranderen en het menselijke element centraal stellen bij het opbouwen van deze vorm van beveiliging. Daarnaast moeten er meetbare doelstellingen gedefinieerd worden en zijn duidelijke bedrijfsprocessen en workflows belangrijk. Onderdeel van Zero Trust-beveiliging is de multi-factorauthenticatie: er is meer dan één bewijsstuk nodig om een gebruiker te verifiëren. Eén wachtwoord is dus niet voldoende om toegang te krijgen. In deze blog geven zes informatiebeveiligingsprofessionals hun mening over Zero Trust-beveiliging en geven zij tips over hoe bedrijven een dergelijke mentaliteit kunnen bereiken.

Haider Iqbal, Business Development Director, Thales
Een positief gevolg van de pandemie is dat de vraag naar werk op afstand en de invoering van Software as a Service (SaaS)-toepassingen is toegenomen. Hierdoor zijn de beperkingen van schaalbare perimeterbeveiliging aan het licht gebracht. Zelfs ondernemingen die te maken hadden met uitdagingen op het gebied van bedrijfscultuur, bij het invoeren van Zero Trust-principes, hebben nu bewijs van de tekortkomingen in de perimeterbeveiliging.

Er bestaat geen wondermiddel om Zero Trust te bereiken. Je start met het opstellen van een stappenplan. Een mogelijke startroute kan bestaan uit onderzoek naar Zero Trust en het maken van een routekaart voor de lange termijn, gevolgd door het opstellen van strategische doelen. Evalueer vervolgens het proces en bepaal welke capaciteiten jij nodig hebt. Quick wins zoals een multi-factor- of adaptieve authenticatie geven het vertrouwen van alle betrokken stakeholders een boost.

Jenny Radcliffe, People Hacker & Social Engineer
Vanuit het oogpunt van social engineering is Zero Trust belangrijk, omdat het “kasteel en gracht” idee van beveiliging hiermee vermeden wordt. Dit houdt in dat het vertrouwen al geschaad kan zijn, omdat bedreigingen zich al binnenin de organisatie bevinden of eenvoudig binnen kunnen komen. Het beperken en controleren van wat een individu kan doen en het voortdurend verifiëren van gebruikers helpt om zijwaartse bewegingen te beperken en aanvallen te vertragen. 

Om succesvol te zijn, moet men continu bezig zijn met Zero Trust. Het systeem moet rekening houden met gebruikerstrends en veranderende behoeften, in plaats van alleen te kijken naar de gebruikers met de minst bevoorrechte toegang. Aanvallers kunnen geduldig zijn, waardoor een aanval over een langere periode wordt uitgestrekt. Daarom moet een bedrijf goed in de gaten houden wie waar toegang voor heeft gevraagd en of deze toegang ook daadwerkelijk wordt gebruikt.

Sarah Clarke, Data Protection & Security GRC, Infospectives
De ideale volledig bewaakte wereld ziet er als volgt uit: resources hebben beperkte toegang, zijn beveiligd, worden automatisch bijgewerkt, zijn door de gegevensstroom toegewezen en zijn controleerbaar. Maar hoe bereik je dit? Stel de meest eenvoudige vragen aan de belangrijkste personen om risicovolle kenmerken van verbindingen, gegevens(-verwerking), software en apparaten in kaart te brengen. Deze vragen moeten zo vroeg mogelijk in het ontwikkelings-, veranderings- en aanbestedingsproces beantwoord kunnen worden. Denk hierbij aan vragen als: hoeveel data is er, hoe gevoelig is deze en wie heeft toegang van en naar waar? Op deze manier worden vertrouwensgrenzen verfijnd en wordt het duidelijk waar beleidsgestuurde regels moeten gelden.

Chloé Messdaghi, Chief Strategist, Point3 Security
Iedereen die een verzoek tot toegang indient, moet eerst worden geverifieerd. In de afgelopen jaren zijn diverse platforms op het gebied van cyberbeveiliging geïntroduceerd, die door CISO’s worden toegepast. Voor een Zero Trust-model onder medewerkers is echter meer nodig dan slechts een platform. Er zijn mensen nodig. Het vergt een nauwkeurig beleid en een consistente naleving van iedereen die in aanraking komt met het informatie-ecosysteem van de organisatie. Een tweetal richtlijnen om hierbij te overwegen:

  • Een universeel gedeelde toezegging om niemand binnen of buiten de organisatie te vertrouwen. Zichtbaarheid, analyses en automatisering zijn essentieel om lopende zaken niet te verstoren;
  • Analyses zijn van cruciaal belang, omdat elke organisatie ervan uit moet gaan dat een vastberaden aanvaller vroeg of laat zal slagen. Zonder de fundamentele kennis die analyses bieden, is het veel moeilijker om tijdig in te grijpen. Het gaat erom wie toegang heeft tot wat en dat je ervoor zorgt dat je een veilig administratieve omgeving hebt.

Het invoeren van een Least Privilege Access model en het voortdurend controleren wie toegang heeft tot wat, zijn misschien wel de meest zorgvuldige processen, maar zijn absoluut van cruciaal belang. Tot slot, omarm risicomanagement van derden. Zero Trust is niet succesvol als je organisatie samenwerkt met andere bedrijven waarbij de beveiliging niet gelijkwaardig is.

Didier Hugot, VP Technology and Innovation, Thales
Een goede Zero Trust-beveiligingsstrategie bestaat uit het hebben van een optimale beveiligingshouding. Deze zorgt ervoor dat alle gevoelige middelen correct worden beschermd met het juiste toegangsbeleid zodra ze worden opgeslagen en verwerkt. De overgang naar een volledig Zero Trust-beveiligingsmodel moet in de loop der tijd geleidelijk plaatsvinden. Daarom is het goed om te beginnen met de transitie van de minder kritische middelen om risico’s te minimaliseren. Ondertussen kunnen de juiste beveiligingsconfiguraties toegepast worden. Het is niet noodzakelijk om alles naar dit model over te plaatsen. Afhankelijk van de zakelijke behoeften en beperkingen van het bedrijf kan er besloten worden om alle of slechts enkele gegevens in het model te zetten.

Christine Izuakor, CEO of Cyber Pop-up
Het beste advies is om de overgang naar Zero Trust als een reis te behandelen, of als een mindset, een cultuur. Er is geen universele totaaloplossing voor Zero Trust die je kunt kopen, waarmee je een knop kunt omzetten en waarmee je direct effectiviteit hebt. Je moet door diverse processen heen gaan om tot een compleet Zero Trust-model te komen. Daarnaast is het van belang om het menselijke element te erkennen en te zien hoe je vertrouwen van invloed is op diverse mensen, zelfs de culturele context. Je wil niet het gevoel wekken dat je mensen niet vertrouwt. Voor mensen die nog nooit van Zero Trust hebben gehoord, kan de term aardig hard klinken.

Vertrouwen is echt versterkend. Vertrouwen in de mensen waar je in moet geloven en Zero Trust in de mensen waar je niet in moet geloven. Probeer dit onderscheid te allen tijde in gedachten te houden.

Guido Gerrits
Cloud Security Expert 
Thales