Zero Trust wordt gezien als essentieel securitymodel voor veiligere bedrijfsnetwerken. De manier waarop securityleveranciers dat voor ogen hebben loopt echter uiteen. Bij Fortinet heeft men daarom vastgesteld dat veilige netwerktoegang het streven moet zijn. We spraken erover met Robert Tom, Systems Engineer bij Fortinet.
Het idee achter Zero Trust is “never trust, always verify”. In de basis wordt niemand vertrouwd, ongeacht of een gebruiker zich binnen of buiten het bedrijfsnetwerk bevindt. Dat wantrouwen klinkt misschien vreemd, maar is bedoeld om infrastructuurbeheerders en securitymedewerkers de omgevingen veiliger in te laten richten. Op die manier worden gebruikers, data, applicaties, diensten en bedrijfsassets veiliger.
Verifieer voortdurend
Fortinet heeft vanwege de ervaring in het beveiligen van infrastructuur uiteraard ideeën over wat Zero Trust moet doen. De basis wordt wat Fortinet betreft gevormd door het verifiëren van gebruikers en apparaten. In de ideale wereld is er genoeg zekerheid over dat een medewerker die een netwerk benadert daadwerkelijk de juiste persoon is. Traditioneel gebruiken we daarvoor een username en password met eventueel tweefactorauthenticatie, maar inloggegevens zijn niet meer betrouwbaar genoeg aangezien ze regelmatig gestolen worden. Als een bedrijfsnetwerk dan alleen op inloggegevens vertrouwt, wordt de hacker niet geblokkeerd en kan hij vrij zijn gang gaan om immense schade aan te richten.
Wat Fortinet betreft worden er veel meer verificatiefactoren meegenomen. Ook moet dat voortdurend gebeuren. “Bij elke sessie en elke gebruikte applicatie moeten er opnieuw allerlei checks ondergaan worden om te ontdekken of de medewerker is wie hij zegt te zijn en de verbinding veilig opgezet kan worden. Je kan veel voorwaarden stellen om toegang te verlenen. Sterke tweefactorauthenticatie kan helpen. Of een check dat een gebruiker inlogt vanuit een bepaald land. Welk besturingssysteem wordt gebruikt? En welk verkeer genereert een gebruiker bij het aanmelden op het netwerk? Het kan zelfs zover gaan om te controleren of een endpoint over geüpdatete antivirussoftware beschikt en of een endpoint nog kwetsbaarheden bevat”, legt Tom uit.
Volgens Tom beweegt een bedrijf met vergaande verificatie naar aan zekerheid grenzende waarschijnlijkheid dat de juiste persoon toegang zoekt. Dat kan vooral door het gedistribueerde karakter van organisaties handig zijn. Medewerkers bevinden zich immers op de eigen bedrijfslocatie, zijn onderweg naar de klant of werken thuis. Iedere situatie zal verificatiefactoren vereisen, want de ingebouwde securitymechanismes kunnen per situatie verschillen. Zodra de verificatiestappen afwijken van het normale, moet de gebruiker direct van het netwerk geweerd worden.
Minimale hoeveelheid rechten
Hoewel met de intensieve verificatie een veiligere omgeving gecreëerd wordt, zal het niet 100 procent waterdicht zijn. Daarom ziet Fortinet het least privilege-principe als eveneens noodzakelijke component van het Zero Trust-framework. Bedrijven die hun infrastructuur volgens least privilege inrichten geven gebruikers, endpoints en processen alleen toegang tot de resources die zij nodig hebben. Een salesmedewerker hoeft bijvoorbeeld alleen bij salestools en andere systemen om verkoop te kunnen faciliteren, iets waar de omgeving op ingericht moet worden.
Bij een architectuur met de minimale hoeveelheid rechten neemt het aantal toegangspunten tot data, infrastructuur en applicaties af. Als een hacker toch binnen weet te komen via een gebruiker, dan kan hij in potentie bij een beperkte hoeveelheid data en applicaties. Op andere delen van het bedrijfsnetwerk is veel moeilijker te komen wanneer de rechten binnen de gehele organisatie netjes toegewezen worden op functieniveau. Het aanvalsoppervlak neemt daarmee drastisch af.
Inrichting vereist investering
De theorie achter verificatie en least privilege is wat dat betreft duidelijk, al blijft het de vraag wat voor impact het op de praktijk heeft. Zero Trust betekent op papier namelijk dat je ook volledig zicht moet hebben op het gehele bedrijfsnetwerk en de activiteiten daarbinnen. Op elk punt van de infrastructuur moet indien nodig toegang af te breken zijn. Dat lijkt binnen een bedrijfsnetwerk met duizenden applicaties, medewerkers en netwerkacties haast niet te doen.
Zero Trust kunnen we daarom het beste zien als iets waar bedrijven naartoe werken. Zero Trust implementeer je namelijk niet van de een op de andere dag. Toch zijn er vaak wel al onderdelen aanwezig om Zero Trust deels af te dwingen. Tom komt bedrijven tegen met Identity and Access Management (IAM)-, VPN- en netwerktoegangssystemen, met daarbovenop een least privilege-beleid. Met dergelijke aanwezige tools vereist Zero Trust om het netwerk nog eens goed onder de loep te nemen, om het op bepaalde plekken verder dicht te timmeren en continue inspectie uit te voeren. Zo kunnen we Zero Trust ook benaderen, want je begint er vaak niet helemaal van de grond af aan mee.
Tip: Fortinet wil het hele bedrijfsnetwerk domineren
Model om aan nieuwe behoeften te voldoen
Tom geeft aan dat veel bedrijven enthousiast raken na het horen van de componenten van Zero Trust. Zeker als het de organisaties duidelijk is dat het framework ideaal is voor werknemers op afstand. Voor deze groep medewerkers zoeken bedrijven manieren om de veiligheid op te krikken. Werknemers op afstand vallen buiten de traditionele perimeter, waardoor de hele zakelijke omgeving met sterke securitymaatregelen minder gebruikt wordt. Bij Zero Trust zoals Fortinet het voor ogen heeft, maakt de locatie niet meer uit. Gebruikers krijgen alleen toegang als dat van het beleid en verificatieproces mag. Iedere gebruiker doorloopt hetzelfde proces.
Daarnaast was het vertrouwen op enkel de netwerkperimeter sowieso al voor de populariteit van thuiswerken min of meer gedateerd. Het richtte zich bijna uitsluitend op het weren van bedreigingen en niet het voorkomen, detecteren en aanpakken van bedreigingen binnen het netwerk. Als een aanvaller in die tijd binnen de perimeter kwam, had hij alle vrijheid om te doen wat hij wil. Daar waren cybercriminelen zich van bewust en speelden ze op in.
Ga ervan uit dat je gehackt bent
Volgens Fortinet kan je daarom het best Zero Trust onderdeel maken van moderniseringstrajecten. Een gewenste gedachtegang daarbij is ervan uitgaan dat je gehackt bent, stelt Tom. Een hypothese waarmee de mentaliteit en werkwijze van bedrijven veranderen. “Als je ervan uitgaat dat je gehackt bent, wat zou je dan allemaal kunnen doen om een ramp van tientallen miljoenen losgeld en bijbehorende schade te voorkomen? En welke stappen kun je zetten om een ramp te reduceren tot een incidentje?”
Wat een bedrijf precies nodig heeft verschilt natuurlijk per bedrijfssituatie. Tom wijst op de rol van de Security Fabric van Fortinet, waarmee de leverancier een platform biedt waarop alles samenvalt. Zero Trust valt daar eveneens onder en moet geadresseerd worden met de combinatie van Fortigate en FortiClient. De Fortigate Next Generation FireWall is onder andere in staat om geavanceerde malware buiten het netwerk te houden, netwerkaanvallen te detecteren, toegang op afstand te verlenen en gebruikte applicaties te verifiëren. Daarnaast is er FortiClient als Agent software voor het veilige en conditionele verbinden van endpoints met de Security Fabric en het bedrijfsnetwerk. Fortinet wil door deze producten te combineren bedrijven eenvoudig Zero Trust-capaciteiten uit laten rollen. Daarbovenop kunnen bedrijven identiteitsmanagement- en netwerktoegangsoplossingen afnemen zoals FortiAuthenticator en FortiNAC, onder andere voor het nauwkeurige profileren en verifiëren van gebruikers en apparaten. Alles wat volgens Fortinets Zero Trust-framework nodig is, valt onder de Security Fabric.
Tom wijst daarnaast op de algemene segmentatiestap die bedrijven dienen te nemen wanneer ze ervan uitgaan dat ze gehackt zijn. Hiermee creëren bedrijven zones in de netwerkomgeving, om vervolgens assets in de zones onder te brengen. Zo kunnen ze op de gesegmenteerde netwerkdelen securitymaatregelen toepassen. Voordeel van de zones is dat hackers lastiger lateraal kunnen bewegen en zo bij assets in andere netwerkdelen kunnen komen. Fortinet biedt hier verdere producten bovenop, om onder meer snel dreigingen binnen de segmenten te detecteren en voorkomen.
Weg naar Zero Trust
Alles bij elkaar valt Zero Trust steeds meer op zijn plek. Het is op zich geen nieuw idee, maar de manier waarop securityleveranciers er tegenaan kijken neemt wel concrete vormen aan. Fortinet ziet daarbij verificatie, least privilege en de aanname gehackt te zijn als uitgangspunten. Wanneer die principes gevolgd worden, wordt de infrastructuur volgens moderne securitystandaarden ingericht. Een tijdsinvestering die in de optiek van Fortinet nodig is voor veilige netwerktoegang en het weren van hackers.
Tip: Fortinet claimt leiderschap in de security van hybride organisaties
4 uur geleden
