Een onderzoek van de CyberRisk Alliance onthulde begin dit jaar verrassende resultaten over zero trust security. Ondanks dat de term zo’n 30 jaar oud is, gaf slechts 35% van de security-leiders aan hier ‘zeer bekend’ mee te zijn. En ondanks de vele recente beveiligingsincidenten, had hetzelfde percentage ‘veel vertrouwen’ in hun zero trust-mogelijkheden.
Daar gaat iets mis. Terwijl de interesse in zero trust groeit, lijken veel security-leiders niet precies te weten hoe zij dit juist kunnen implementeren. Te veel van hen geloven dat zero trust kan worden toegepast door simpelweg een nieuw product aan te schaffen of oude producten te upgraden. Wat eigenlijk nodig is, is een beter begrip van wat zero trust security is en hoe het verschillende producten, processen en mensen samenbrengt om missie-kritieke assets te beschermen.
Het concept van zero trust is simpel: ‘never trust, always verify’. Het lijkt misschien hard voor gebruikers die gewend zijn geraakt aan snelle en eenvoudige toegang tot informatie, maar het is een goed beleid. Wij gebruiken graag de term ‘mutually suspicious’. Dit betekent dat iedereen moet bewijzen wie zij zijn.
Tot op zekere hoogte is de praktijk van zero trust – evenals de term – best oud en dateert uit de tijd van minicomputers en mainframes. Wat is veranderd, is de IT-omgeving. Deze is veel groter dan een decennium geleden. Doordat de cloud, edge apparaten en datacenters meer endpoints blootstellen aan dreigingen, moeten organisaties op meer kunnen vertrouwen dan firewalls om indringers buiten de deur te houden. Zero trust is een goede oplossing, echter moeten organisaties hun processen, mensen en producten wel beter op elkaar afstemmen om dit te bereiken.
Producten spreken voor zich. In essentie is er een volledige lijn van beveiligingstechnologieën nodig om de identiteit, locatie en status van het apparaat te kunnen verifiëren. Het doel is om het bereik zo klein mogelijk te maken en toegang te beperken. Er is niet één product of platform dat dit kan bereiken. Een succesvol zero trust-programma zal zowel identiteitsbeheer, multifactor authentication en least-privileges toegang moeten toepassen.
Betrek mensen
Zero trust-technologieën kunnen het hele aanvalsoppervlak dekken, maar dat betekent niks zonder de mensen die het gebruiken. Het op elkaar afstemmen van processen, mensen en beveiliging is essentieel. Dit betekent het creëren van een cultuur waarin transparantie, open communicatie, vertrouwen in het proces en het geloof in elkaars vermogen om goed te doen, voorop staan.
Om zero trust-technologie succesvol te implementeren in een bedrijfscultuur, moeten organisaties hun medewerkers betrekken in het proces. Je kunt niet verwachten dat mensen hier zomaar mee akkoord gaan als ze van niets weten. Breng medewerkers dus op de hoogte van wat er aan de gang is, wat het proces zal zijn, hoe het impact zal hebben op hun werk, de voordelen die het oplevert voor de organisatie en hoe het zijn zero trust-processen kan ondersteunen.
Door werknemers te betrekken en hen uit te dagen om een gezonde dosis scepsis te omarmen ten opzichte van potentiële dreigingen, zorgen werkgevers ervoor dat de uiteindelijke acceptatie en implementatie soepeler verloopt. Als medewerkers eenmaal begrijpen wat de waarde is van zero trust, zullen zij zich vertrouwder voelen om onderdeel te zijn van het bredere cybersecurity-netwerk. Daarnaast stelt het medewerkers in staat om proactief interne en externe dreigingen te identificeren en de standaarden voor security hygiëne hoog te houden.
Herevalueer processen
Organisaties moeten elke asset en elk aspect van hun beveiligingsomgeving definiëren en evalueren. Dit omvat het identificeren van waar ongestructureerde data is opgeslagen, welk doel een specifieke dataopslag dient, wie hier toegang tot heeft en welke beveiligingscontroles er al worden toegepast. Een uitgebreide evaluatie van wie toegang heeft tot wat, zal de ontwikkelen van een alomvattend toegangsbeleid helpen. Sommige assets zullen zero trust-bescherming nodig hebben, anderen niet. Er moet rekening worden gehouden met alle apparaten die verbinding maken met een netwerk, zodat ze bestand zijn tegen phishing-aanvallen van buitenaf.
Een belangrijk technologisch mechanisme dat organisaties kan helpen in de wereld van zero trust is onveranderlijkheid, of het creëren van data-kopieën die niet aangepast of verwijderd kunnen worden. Dit zorgt ervoor dat organisaties geen data kunnen kwijtraken en dat deze ook niet in verkeerde handen kunnen vallen.
Het definiëren van een zero trust-framework voor de hele organisatie wordt vaak over het hoofd gezien. Het heeft geen zin om teams te hebben die verwarrende reeksen conventies moeten interpreteren of opnieuw moeten uitvinden wat ‘zero trust’ betekent.
Als laatste, en misschien wel het belangrijkst, is het noodzaak om zero trust-processen te herevalueren en te herzien. Je kunt het vergelijken met het gaan naar de sportschool: trainen wordt een levensstijl en actieve mensen passen hun routines continu aan. Hetzelfde geldt voor beveiliging. Zero trust is een continuüm. Je bent nooit klaar.
Blijf flexibel
Het dreigingslandschap zal zich blijven ontwikkelen en aanpassen. Organisaties die een zero trust-aanpak hanteren, moeten doorgaan met het ontwikkelen van een alomvattend plan – en vervolgens hun technologieën, processen en mensen voortdurend herzien en op de hoogte houden om aan hun toekomstige behoeften te voldoen.
Dit is een ingezonden bijdrage van Dave Russell en Rick Vanover van Veeam. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
13 minuten geleden
