Zero trust security: zekerheid boven alles

Het concept van ‘zero trust security’ wint sterk aan belang binnen de wereld van cybersecurity. Controleren en nog eens controleren is de boodschap.

Trust, but verify. Het was jarenlang ook voor het beveiligen van netwerken en apparaten een gangbaar devies. Iedereen die toegang wilde krijgen tot het bedrijfsnetwerk moest langs een controlepoort passeren, maar voor accounts die te vertrouwen zijn golden soepelere regels. Deze manier van werken lijkt echter niet meer te voldoen aan hedendaagse beveiligingsnormen. Het gevaar van cybercriminaliteit ligt meer dan ooit om de hoek. ‘Zero trust security’ moet beter in staat zijn om die constante dreiging de kop in te duwen.

In een zero trust-beleid bestaan er geen betrouwbare accounts en gebruikers meer. Iedereen die het netwerk betreedt, moet elke beweging kunnen verantwoorden. Anders kom je er simpelweg niet in. Never trust, always verify wordt zo de nieuwe norm. Het zero trust security-model is als cybersecuritytheorie geen nieuw concept. De term werd in 1994 al voor het eerst genoemd door een doctoraatstudent genaamd Stephen Marsh en in 2010 zette een studie van Forrester de voornaamste krijtlijnen uit voor zero trust security zoals we dat vandaag de dag kennen. Toch zou het nog een decennium duren vooraleer zero trust security op grotere schaal wist door te breken binnen cybersecurity.

Een nieuwe manier van werken

Volgens Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense Belgium, hangt die heropleving van zero trust security nauw samen met de shift naar hybride werken die veel bedrijven sinds de start van de coronapandemie in een versneld tempo hebben doorgemaakt. “Vroeger probeerde men ‘trusted zones’ binnen de grenzen van de kantoorruimte te creëren. Men ging daarbij van buiten naar binnen te werk om een buffer te bouwen tegen externe factoren. Binnen deze veilige omgeving waren extra controles niet meer nodig. Nu treden werknemers echter zelf buiten de bufferzone. Hackers passen hun aanvalstechnieken ook aan aan ons gedrag. Door een nieuwe manier van werken en nieuwe aanvalsmethoden ontstond de nood aan een andere benadering over het beveiligen van systemen.”

Van der Perre wil de term ‘zero trust security’ zelf enigszins nuanceren. “Zero trust betekent in de kern niet dat je helemaal geen vertrouwen meer hebt in de mensen binnen je organisatie. Je bouwt wel meer controle in om de toegang tot je belangrijkste systemen te regelen voor wie van buitenaf daar toestemming toe vraagt.” 

Beeld via iStock

Van theorie naar praktijk

De principes van zero trust security zijn zo klaar en duidelijk: laat niets aan het toeval over. Dat klinkt logisch, maar de theorie is vaker eenvoudiger dan de praktijk en dat is bij zero trust security zeker het geval. Een effectieve zero trust policy moet namelijk alle facetten van je IT-infrastructuur omvatten: je apparaten, de gebruikers, applicaties en natuurlijk ook je data. Een breed concept als zero trust security kan niet zomaar even in een hapklare technologie worden gegoten en kan dus verschillende praktische invullingen krijgen.

Van der Perre onderscheidt daarbij twee luiken die nauw samenhangen: een businessluik en een technisch luik. “Zero trust begint bij het in kaart brengen van de applicaties die je gebruikt en je belangrijkste prioriteiten rond die applicaties. Je gaat daarbij niet van buiten naar binnen werken maar van binnen naar buiten, vertrekkende vanuit je data. Welke accounts en apparaten hebben toegang tot die data en waarom moeten ze die toegang hebben? Zo krijg je inzicht in de dataflows tussen apparaten en hun gebruikers en de apparaten onderling. Rond die data flows zal je je securitybeleid bouwen om zoveel mogelijk ‘protect surfaces’ te gaan creëren.”

Complexe puzzel

Het leggen van alle verschillende puzzelstukken op de juiste plaats is het meest cruciale, maar ook moeilijkste aspect van zero trust security. Van der Perre verduidelijkt: “Zero trust security is een samenspel van vele factoren. Je moet de balans bewaren tussen gebruiksvriendelijkheid en veiligheid. Werknemers moeten van overal snelle toegang kunnen krijgen tot gegevens terwijl tegelijkertijd moet gecontroleerd worden of dit wel het juiste account is. Bij zero trust is er geen ruimte voor twijfel; bij enige onzekerheid moet een extra controle worden uitgevoerd. Technologie en identiteit komen dichter dan ooit bij elkaar te liggen. Hoe makkelijker je die aan elkaar kan linken, hoe efficiënter je zero trust in de praktijk kan uitvoeren.”

Dat is echter een proces dat tijd vergt. “Zero trust security is een continu proces. Je moet blijven analyseren of iedereen nog de juiste toestemmingen heeft. Gebruik je dataflows om de juiste prioriteiten te leggen bij je policies. De bedreigingen die je tegenkomt zullen het tempo en de accenten van dat proces bepalen.”


Dit interview verscheen origineel op 30/05/2022.

beveiligingbusinessinterviewsslider

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600