Steeds vaker worden vitale onderdelen van bedrijven en overheden geraffineerd aangevallen, waardoor traditionele security methodes te weinig bescherming bieden. Het beschermen van bedrijfsmiddelen vereist immers een focus op preventie, onderbouwd door een strategie die cyberrisico’s kan verminderen. Het NCSC adviseert organisaties daarom om gebruik te maken van het Zero Trust model. President Biden heeft zelfs een ‘executive order’ afgegeven zodat steeds meer organisaties overstappen. Door deze ontwikkelingen zien we dat steeds meer organisaties gebruik maken van Zero Trust. Toch zien we maar al te vaak dat veel organisaties Zero Trust niet op de juiste manier implementeren. Om dit eenvoudiger te maken beschrijf ik hier enkele belangrijke lessen die we hebben geleerd tijdens het implementeren van Zero Trust.
Enkele lessen om rekening mee te houden
Het is belangrijk om bij de implementatie van Zero Trust altijd vast te houden aan de originele Zero Trust concepten en terminologie. Op deze manier kun je mistanden en misvattingen vermijden. Vaak denken organisaties dat netwerksegmentatie hetzelfde is als Zero Trust. Dit is echter niet het geval. Bij netwerksegmentatie breng je virtuele groepen aan in het computernetwerk. Het verkeer tussen deze ‘virtuele netwerken’ controleer of blokkeer je met behulp van een firewall. Met als doel om een incident op te sluiten in een deel van het netwerk, zodat andere delen ongeschonden blijven. Het is eigenlijk het digitale equivalent van branddeuren. Bij Zero Trust blijft het echter niet bij het beperken tot firewallregels. De basis voor Zero Trust ligt bij het bepalen van de beschermoppervlakken (voorheen MCAP’s of microsegmenten). Elk beschermend oppervlak is gebaseerd op een specifiek type data, waar logischerwijs een passend beleid bij hoort. Op deze manier kun je ook beschrijven dat data versleuteld moeten worden opgeslagen of dat endpointbeveiliging vereist is.
Er zijn ook veel organisaties die gebruik maken van een DMZ model (Demilitarized zone) om Zero Trust te realiseren. Het DMZ-model vindt zijn oorsprong in de fysieke wereld, waar de DMZ tussen Noord- en Zuid-Korea het bekendste voorbeeld is. Het idee achter DMZ is dat het een neutraal gebied is. Als er een discussie nodig is over iets waar beide partijen bij betrokken zijn, kunnen ze deze houden in dit gebied. Toen netwerkbeheerders het DMZ-model voor het eerst gingen implementeren, was het idee hetzelfde. De webserver bevond zich in de DMZ en de website werd geüpload naar de webserver via FTP. De bezoekers gingen naar de webserver en de website werd weergegeven. Het is belangrijk dat deze twee connecties vanuit beide partijen worden geïnitieerd, net zoals in een DMZ in de fysieke wereld. Echter is de traditionele DMZ-configuratie niet meer veilig genoeg, het beschermt niet wat het zou moeten beschermen. Het is zelfs zo dat in veel gevallen er meerdere servers in de DMZ zijn die toegang tot verschillende soorten data bieden, elk met hun eigen risico’s. Binnen de DMZ is er geen beveiliging tegen laterale beweging van server tot server en dus geen mogelijkheid tot isolatie in het geval van succesvolle hack.
Het is verder belangrijk dat organisaties, die starten met Zero Trust, gebruik maken van een readiness assessment. Een dergelijke evaluatie helpt CIO’s, CISO’s en IT-afdelingen om de kloof te beheren en te bewaken tussen het cybersecuritybewustzijn, bestuurdersbetrokkenheid, financiering, beleid, richtlijnen en technologische maatregelen. Deze aanpak zorgt ervoor dat klanten een uitgebreide en eenvoudig te gebruiken gap-analyse kunnen ontwikkelen. Hierdoor krijgen ze bruikbare inzichten over de effectiviteit en snelheid van hun cybersecurity.
Er is geen checklist
Hoewel organisaties Zero Trust aanpak interessant vinden, is het niet altijd makkelijk om een goed startpunt te vinden. Je moet niet vergeten dat Zero Trust een strategie is. De Zero Trust strategie is aan te passen aan verschillende frameworks, technologieën en operaties, maar er is geen letterlijke of ‘juiste’ interpretatie of een vaste checklist. De bovenstaande lessen kunnen organisaties helpen om eerste stappen te zetten. Echter blijft de basis altijd hetzelfde: alle elementen die moeten worden beveiligd, moeten worden benoemd.
Dit is een ingezonden bijdrage van ON2IT. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
3 uur geleden
Expert bijdrage
