De securitywereld is al een tijd in de ban van zero trust. Onderzoek van Zscaler bevestigt nu dat organisaties het framework ook als ideaal middel zien voor het beveiligen van gebruikers, workloads en devices. Cloudmigratie draagt daaraan bij: 90 procent van de Nederlandse organisaties heeft een zero trust-strategie geïmplementeerd of zit in een implementatieproces. Toch wordt het volledige potentieel door slechts een klein deel van de organisatie benut, vindt 14 procent van de IT-beslissers. Het biedt een kans voor zero trust.

Voorafgaand aan de bekendmaking van het onderzoek woonden we een presentatie bij van VP Emerging Technology & 5G Nathan Howe. Howe heeft vanuit zijn rol bij Zscaler veel zicht op zero trust, aangezien het bedrijf met het Zero Trust Exchange-platform zich volledig toelegt op het concept. Een onderzoek kan zaken echter nog wat scherper krijgen. Daarom ondervroeg Zscaler 1.908 IT-beslissers (CIO’s, CISO’s, Chief Digital Officers en Heads of Network Architecture). Het kan concluderen dat het bedrijfsleven zero trust als framework serieus neemt. In Nederland en wereldwijd is het concept populair bij organisaties met een gestarte cloudmigratie.

Cloud is een ideaal middel met nieuwe uitdagingen

Nathan Howe, VP Emerging Technology & 5G bij Zscaler

Voor veel organisaties is inmiddels duidelijk dat de cloud een aantrekkelijke infrastructuuroptie is. Door applicaties, data en workloads af te nemen als gehoste diensten, bereiken ze voordelen rond performance, schaalbaarheid en beschikbaarheid. Het is een makkelijke manier om bijvoorbeeld hybride werken te ondersteunen en innovaties mogelijk te maken.

De omarming van de cloud en daarmee het toewerken naar een hybrid cloud maakt het volledig vertrouwen op de legacy netwerksecurity-architectuur echter moeilijk. Zo’n oude architectuur is gemaakt om het verkeer naar het datacenter te sturen, waar de additionele securitystappen zijn geregeld. Traditionele firewalls en VPN’s zijn verre van ideaal, stelt Zscaler. Daarbij komt ook nog eens kijken dat het aanvalsoppervlak van hackers toeneemt doordat meer services, gebruikers en apparaten met het internet verbinden. Iedere nieuwe connectie is op papier een nieuw toegangspunt voor een cybercrimineel.

Zero trust is een reis naar een veiligere architectuur

Het onderzoek van Zscaler toont aan dat de IT-beslissers zich zorgen maken over een aantal zaken rondom de cloud. De topzorgen zijn security, toegang en complexiteit. Precies daarom groeit de interesse in zero trust als technologie om de zorgen weg te nemen. Hiermee kunnen organisaties zich beveiligen op basis van least-privileged access en het principe geen gebruiker of applicatie te vertrouwen. Zero trust gaat ervanuit dat alles verdacht is. Vertrouwen is enkel te realiseren op basis van de gebruikersidentiteit en context. Policies dienen als een soort poortwachter. “Never trust, always verify”, zo is het idee.

De ondervraagde CIO’s, CISO’s, CDO’s en Heads of Network Architecture hebben aangetoond een goede basiskennis te hebben van de securityvoordelen van zero trust. Zo vroeg Zscaler ze naar traditionele netwerk- en securityinfrastructuur. Iets meer dan de helft gaf aan dat VPN’s of perimeter firewalls inefficiënt zijn voor bescherming tegen cyberaanvallen of het bieden van zichtbaarheid in applicatieverkeer en aanvallen. Daarnaast geeft 68 procent toe dat zero trust network access voordelen over traditionele firewalls en VPN’s heeft voor veilige toegang op afstand. Ze kunnen er ook van overtuigd zijn dat veilige cloudtransformatie niet te realiseren is met legacy netwerksecurityinfrastructuur.

Tip: Zscaler sloopt securitykasteel, gaat voor veilig eiland in de cloud

Implementatiegraad van 90 procent

Met het bewustzijn lijkt het dus wel goed te zitten. Zo heeft wereldwijd 91 procent van de ondervraagden die de cloudmigratie startte ofwel een zero trust-strategie geïmplementeerd, of zich voorgenomen om dat in de komende 12 maanden te doen. Italië en India springen in dit geval uit. Respectievelijk heeft 97 procent en 96 procent van de organisaties de strategie geïmplementeerd of gepland. Het lijstje wordt verder aangevuld met het Verenigd Koninkrijk (95 procent), de VS (95 procent), Japan (94 procent), Brazilië (93 procent), Singapore (93 procent), Duitsland (92 procent), Mexico (91 procent), Nederland (90 procent), Spanje (89 procent), Frankrijk (89 procent), Australië (88 procent) en Zweden (85 procent).

Een siloed IT-centric securityoplossing?

Als er wat verder wordt ingezoomd op de reden van bedrijven om een zero trust-architectuur te implementeren, dan worden verschillende motivaties genoemd. Het hoogste scoort ‘het verbeteren van detectie van geavanceerde bedreigingen of webapplicatieaanvallen en het uitbreiden van beveiliging voor gevoelige data’ (65 procent). Op een stevige tweede plek eindigt ‘het beveiligen van remote access voor leveranciers, partners en operationele technologie’ (44 procent). Daarna volgen ‘verbetering van veilige toegang voor een hybride personeelsbestand’ (27 procent) en ‘vermindering van de kosten en complexiteit van legacy netwerkbeveiliging’ (24 procent).

Toch concludeert Zscaler dat, hoewel de interesse in zero trust groot is, het potentieel van de technologie als ‘business enabler’ niet volledig benut wordt. De onderzoeksresultaten geven zelfs aan dat zero trust nog steeds overwegend gezien wordt als een siloed IT-centric securityoplossing. Het concept wordt met andere woorden met name ingezet om securityuitdagingen aan te pakken. Zscaler wijst er echter op dat zero trust organisaties veel meer kan bieden.

Aanbevelingen voor profiteren van zero trust

Daarmee komen we wat ons betreft uit bij een van de belangrijkste zaken waar Zscaler tijdens de presentatie van het onderzoek mee komt: de aanbevelingen om het potentieel van zero trust te benutten. Ten eerste gaat het om de benadrukking dat bedrijven er verstandig aan doen een ‘echte zero trust-architectuur’ te implementeren. Die architectuur moet gebaseerd zijn op het principe geen enkele gebruiker of applicatie te vertrouwen.

De tweede aanbeveling van Zscaler richt zich wat meer op het wegnemen van complexiteit rond IT-operations. Zero trust streeft namelijk naar een hoger niveau van security, zichtbaarheid en controle. Doordat IT’ers minder met dergelijke taken bezig zijn, kunnen ze zich concentreren op het behalen van verbeterde bedrijfsuitkomsten met andere lopende digitaliseringsprojecten.

De andere aanbeveling van Zscaler is het feit dat zero trust kan dienen als basis voor de toekomst. Zero trust kan immers nodig zijn om opkomende technologieën in te zetten, zoals 5G. Met zero trust worden de connectiviteitsbehoeften rond performance en security voor de opkomende technologieën ondersteund. Zulke technologieën moeten in de optiek van Zscaler als competitief business-voordeel ingezet worden.

Tot slot spreekt Zscaler nog over ‘zero trust voor de directiekamer’. Om overeen te komen met de bedrijfsstrategie raadt Zscaler CIO’s en CISO’s aan de onderzoeksresultaten te gebruiken om angst, onzekerheid en twijfel over wat zero trust betekent weg te nemen. Idealiter kunnen ze de andere besluitnemers ervan overtuigen dat het hele bedrijf ervan profiteert.

“Organisaties zouden ambitieuzer kunnen zijn. Er ligt een ongelooflijke kans voor IT-leiders om business IT-beslissers te onderwijzen over zero trust als een hoogwaardige business driver, vooral nu ze worstelen met het bieden van een nieuwe klasse van de hybride werkplek of productieomgeving en afhankelijk zijn van een reeks opkomende technologieën zoals IoT en OT, 5G en zelfs de metaverse”, aldus Howe.

“Een zero trust-platform heeft de kracht om zakelijke en organisatorische infrastructuurvereisten opnieuw te ontwerpen: om een echte business driver te worden die niet alleen het hybride werkmodel mogelijk maakt waar werknemers om vragen, maar organisaties in staat stelt om volledig gedigitaliseerd te worden en te profiteren van wendbaarheid, efficiëntie en toekomstbestendige infrastructuur”, stelt Howe.

Uitdagingen blijven

Zscaler ziet wat dat betreft nog genoeg kans, zeker ook realiserende dat de reden achter cloudmigratie laat zien hoe IT-leiders tegen de cloud aankijken. IT-leiders in Nederland noemden de uitdagingen van het schalen van netwerkbeveiliging, de uitdaging om toegang van derden tot applicaties en data mogelijk te maken en zorgen over data-privacy als de grootste belemmeringen voor het omarmen van het volledige potentieel van de cloud.

Bovendien denken de IT-leiders dat het personeelsbestand in het komend jaar de verschillende werkopties zal blijven omarmen. Ze verwachten een mix van fulltime kantoormedewerkers (37 procent), volledig op afstand (34 procent) en hybride. Zero trust kan in die situatie de architectuur zijn om alles betrouwbaar te verbinden.

Ben je benieuwd naar alle onderzoeksresultaten van het Zscaler-onderzoek? Op de website van Zscaler kan je de resultaten downloaden.