Zero Trust Security: Wat is het en wat heb je eraan?
In België kreeg bijna de helft van de bedrijven vorig jaar te maken met een cyberaanval, zo berekende verzekeraar Hiscox. Dat is aanzienlijk hoger dan het wereldwijde gemiddelde van 39 procent. Om de veiligheid van hun data en systemen te verzekeren, moeten bedrijven hun strategie dus compleet omgooien. Tijd om te kiezen voor zero trust security, zeggen de experts.
Wat is zero trust security?
De term ‘zero trust security’ werd voor het eerst gebruikt door John Kindervag van het studiebureau Forrester. In een onderzoekspaper doelde hij daarmee op een nieuwe benadering van security. Volgens Kindervag moesten bedrijven de locatie-gebaseerde benadering van veiligheid achter zich laten. Door het toenemend gebruik van clouddiensten en de shift naar thuiswerk was die benadering ondertussen achterhaald. Werknemers moesten op elke locatie veilig toegang kunnen krijgen tot bedrijfsdata, die zelf ook meer en meer verspreid waren. Om die nieuwe, flexibele realiteit te omarmen, moesten bedrijven evolueren naar een model dat steunt op voortdurende verificatie van elke gebruiker elk toestel en elke applicatie.
Dat model was zero trust security. Jürgen Verniest, sales en marketing manager bij SpotIT, spreekt van een grote paradigmaverschuiving binnen de IT. ‘Alle apparaten en gebruikers worden standaard geblacklist, terwijl ze vroeger gewoon op de whitelist kwamen tot er zich een probleem voordeed,’ zegt Verniest. Volgens Stefaan Van Daele, cybersecurity architect bij IBM, draait het daarbij vooral om het verwijderen van ‘implicit trust’ in het bedrijfsnetwerk. In de plaats van iedereen altijd toegang te geven tot elk deel van het netwerk, beperk je de toegang tot het hoogst noodzakelijke. ‘Vertrouw nooit, controleer altijd’, dat is zero trust security in een notendop.
‘Vertrouw nooit, controleer altijd’, dat is zero trust security in een notendop.
5 elementen van zero trust security
In theorie klinkt zero trust eenvoudig. Je analyseert je netwerk, bouwt extra controles in waar nodig en monitort het verkeer om mogelijke inbreuken tijdig op te sporen. Zero trust is echter geen plug-and-play tool die je zomaar kan installeren. Het is een complex proces dat vraagt om voortdurende bijsturing en verbetering. Zero trust vraagt dan ook een uitgekiende aanpak die gebouwd is op verschillende pijlers. Een effectief model focust op 5 elementen: device trust, user trust, transport/session trust, application trust en data trust.
Apparaten
Zero trust begint bij de apparaten. Eerst en vooral moeten organisaties een inventaris aanleggen die aangeeft welke apparaten in hun bezit zijn. Als een apparaat wil inloggen op het netwerk, moeten organisaties kunnen bepalen of het kan worden vertrouwd en of het compatibel is, op basis van vooraf vastgesteld beveiligingsbeleid. Die apparaten moeten vervolgens op afstand bewaakt, beheerd en bestuurd worden. Een unified endpoint management (UEM) maakt het bijvoorbeeld mogelijk om alle apparaten binnen je bedrijf op afstand te managen vanaf één interface.
Te veel werknemers maken vandaag nog gebruik van onveilige paswoorden als ‘123456’ of ‘azerty’ om hun systemen te ‘beveiligen’.
Gebruikers
Wachtwoorden zijn vaak inefficiënt en ondoeltreffend. Te veel werknemers maken vandaag nog gebruik van onveilige paswoorden als ‘123456’ of ‘azerty’ om hun systemen te ‘beveiligen’. Organisaties die willen investeren in zero trust moeten daarom gebruik maken van veiligere methoden voor authenticatie. Multifactor-authenticatie kan bijvoorbeeld een groot verschil maken voor de veiligheid van de IT-omgeving. Daarmee bouwen bedrijven een extra toegangscontrole in naast het wachtwoord. Denk aan biometrische gegevens als een vingerafdrukscanner of een extra tijdelijke toegangscode.
Sessies
‘Least privilege access’ is een derde belangrijk onderdeel van zero trust. Het idee hierbij is dat een gebruiker of systeem alleen toegang nodig heeft tot die bronnen die specifiek nodig zijn om de taak uit te voeren. Als een cybercrimineel dan toch al toegang krijgt tot de bedrijfssystemen, verhindert deze beveiliging dat hij of zij zich door het hele netwerk kan bewegen en alle gevoelige of bedrijfskritische data of systemen kan hacken. Tools voor ‘least privilege access’ zijn onder andere microsegmentatie en sessiebescherming.
‘Least privilege access’ geeft de werknemer enkel toegang tot de bronnen die specifiek nodig zijn om zijn taak uit te voeren.
Applicaties
Niet alleen security is van belang. Ook de gebruikerservaring is cruciaal. Bedrijven moeten hun werknemers eenvoudig en snel toegang geven tot elke applicatie, waar ze zich ook bevinden. Met de modernisering van gebruikersauthenticatie, waardoor single sign-on (SSO) voor applicaties mogelijk is, kunnen ze zowel inzetten op beveiliging als op een verbeterde gebruikerservaring. Voor traditionele applicaties die niet zijn ontworpen voor zero trust, kunnen ze daarvoor een beroep doen op isolatie.
Data
Uiteindelijk zijn het de gegevens die van het grootste belang zijn – en de hele reden waarom we sterke beveiliging nodig hebben. Bedrijven moeten zich beschermen tegen datalekken en ervoor zorgen dat werknemers toegang hebben tot de juiste gegevens. Technologieën zoals data loss prevention (DLP) spelen hier een belangrijke rol in. DLP is een reeks tools en processen die worden gebruikt om ervoor te zorgen dat gevoelige gegevens niet verloren gaan, misbruikt worden of geopend worden door onbevoegde gebruikers.
Zero trust security kijkt naar alle elementen van de IT-omgeving en bouwt extra veiligheidscontroles in. Door gebruikers, apparaten, applicaties en data op een geïntegreerde manier te beveiligen, bouwen bedrijven een effectieve veiligheidsstrategie die voldoet aan de flexibiliteitseisen van vandaag.