Zero Trust

Vertrouwen is een menselijke waarde die we zonder enige reden in digitale systemen hebben geïnjecteerd en dit is het fundamentele probleem in cyberbeveiliging’, zegt John Kindervag. Hij is er sterk van overtuigd dat wanneer bureaus en andere organisaties beginnen met…

Vertrouwen is een menselijke waarde die we zonder enige reden in digitale systemen hebben geïnjecteerd en dit is het fundamentele probleem in cyberbeveiliging’, zegt John Kindervag. Hij is er sterk van overtuigd dat wanneer bureaus en andere organisaties beginnen met het bouwen van een Zero Trust-architectuur, ze stapsgewijze stappen moeten nemen om het framework in te zetten in plaats van alles in een groot project te willen aanpakken.

Hij is er sterk van overtuigd dat wanneer bureaus en andere organisaties beginnen met het bouwen van een Zero Trust-architectuur, ze stapsgewijze stappen moeten nemen om het framework in te zetten in plaats van alles in een groot project te willen aanpakken.

Role Based Access Control

Het Role Based Access Model (RBAC) is de afgelopen decennia het meest gebruikte model. Lekker overzichtelijk. Je bedenkt een profiel: Gebruiker X heeft de standaard kantoor applicaties nodig en daarbovenop krijgt hij toegang tot het systeem Y en Z en dan kan hij zijn werk doen. Daarin zitten twee risico’s. Ten eerste krijgt die nieuwe medewerker in de loop van de tijd extra taken waardoor hij meer applicaties nodig heeft. Die rechten worden toegekend en daarmee functioneert het strakke RBAC model niet meer. Ten tweede werd bij de komst van een nieuwe Medewerker K vaak gezegd: “Geef hem de rechten van Gebruiker X maar” Daarmee kreeg de nieuwe medewerker niet alleen de rechtend ie hij nodig had, maar ook al die rechten die Gebruiker X er inmiddels bij had gekregen. Wil je nou echt dat de nieuwe Medewerker K, meteen toegang heeft tot het financiële systeem en ongecontroleerd grote bedragen mag overboeken omdat dat toevallig tot de taken van Gebruiker X is gaan horen?

Het is niet zo simpel om dat zomaar aan te passen. Een situatie die in de jaren 70 -’80 van de vorige eeuw is opgebouwd, verander je niet zomaar. Eigenlijk is de toegang tot een applicatie het probleem niet. Het gaat om de toegang tot de data. Neem als voorbeeld de Algemene verordening gegevensbescherming (AVG). De privacy wet die in 2018 vernieuwd is. Die wet beschermt de toegang tot persoonsgegevens. Het lekken van persoonsgegevens is strafbaar. Nergens in de wet wordt gesproken over toegang tot applicaties. Wel over de toegang tot en omgang met persoonsgegevens. Die data mag alleen toegankelijk zijn voor medewerkers die daar voor hun werk toegang toe moeten hebben, en die getraind zijn in de omgang met persoonsgegevens. Nu is dit artikel niet bedoeld als een lesje AVG, dus terug naar Zero Trust.

De bescherming van Persoonsgegevens is, door wetgeving gedreven, steeds belangrijker geworden

Van Lokaal naar Cloud Computing

Er kwam een omslag van lokaal werken (gesloten netwerk op kantoor) naar werken op afstand. Het begon met het afschaffen van de PC op dat bureau, naar het verstrekken van een laptop per medewerker. De volgende stap was het gebruik van een tablet en de komst van de smartphone. Een compleet nieuwe werkwijze werd gemaakt. We willen niet alleen vanuit huis, maar in feite overal ter wereld vandaan kunnen werken. Met die omslag werd het internet geen handig ding meer om wat op te zoeken, maar de lifeline van iedere organisatie om toegang tot hun omgeving te krijgen en om data over te transporteren.
Cloud first werd de volgende stap. Geen eigen rekencentra meer, maar uitbesteding van diensten naar leveranciers, wat we dan gemakshalve, ‘Cloud’ zijn gaan noemen.
De risico’s van het gebruik van het internet zijn bekend. De kranten staan vol met datalekken, DDoS aanvallen, ransomware aanvallen, je kunt het zo gek niet bedenken of criminelen proberen het uit. Door de rechten die een hacker kan vergaren als hij eenmaal binnen is, te zorgen dat hij niet binnen komt, maar vooral, als het dan toch gelukt is, de toegang te beperken en daar komt Zero Trust tevoorschijn.

Zero Trust

Zero Trust is een belangrijke afwijking van de traditionele netwerkbeveiliging die de methode “vertrouwen maar verifiëren” volgde. De traditionele aanpak vertrouwde automatisch gebruikers en eindpunten binnen de perimeter van de organisatie. Hierdoor liep de organisatie gevaar door kwaadwillende interne actoren en malafide inloggegevens. Ongeautoriseerde en gecompromitteerde accounts kregen uitgebreide toegang zodra ze binnen waren. Hiervan werd misbruik gemaakt bij de zogenaamde ‘Advanced Persistent Threats’; eenmaal binnen kun je rustig je gang gaan.

Zero Trust architectuur vereist daarom dat organisaties continu controleren en goedkeuren dat een gebruiker en zijn apparaat de juiste privileges en attributen heeft. Het vereist dat de organisatie al hun service- en geprivilegieerde accounts kent en controles kan instellen over elke verbinding die gemaakt wordt. Eenmalige validatie is simpelweg niet voldoende, omdat bedreigingen en gebruikerskenmerken allemaal aan verandering onderhevig zijn.

  • Als gevolg hiervan moeten organisaties ervoor zorgen dat alle toegangsverzoeken continu worden doorgelicht voordat verbinding met een van uw bedrijfs- of Cloud data wordt toegestaan. Daarom is de handhaving van Zero Trust-beleid afhankelijk van realtime-inzicht in gebruikersreferenties en -kenmerken, zoals:
  • Gebruikersidentiteit en type verwijzing (menselijk, programmatisch)
  • Aantal en privileges van elke verwijzing op elk apparaat
  • Normale verbindingen voor de verwijzing en het apparaat (gedragspatronen)
  • Hardwaretype en functie van eindpunt
  • Geografische locatie
  • Firmwareversies
  • Authenticatieprotocol en risico
  • Besturingssysteemversies en patch niveaus
  • Applicaties geïnstalleerd op eindpunt
  • Detectie van beveiliging of gebeurtenissen, inclusief verdachte activiteit en herkenning van aanvallen.
Webinar CISO-40: ‘Zero trust, as it is meant to be’ terugkijken?
Spreker tijdens dit webinar op 8 september 2021 was John Kindervag, de bedenker van Zero Trust, en sinds begin 2021 Senior VP Cybersecurity Strategy and Group Fellow van ON2IT. 

Controleren is beter dan geloven

Organisaties moeten hun netwerkstructuur en toegangsrechten grondig beoordelen om mogelijke aanvallen in te dammen en de impact te minimaliseren als er een inbreuk zou plaatsvinden. Dit kan segmentering op apparaat, type, identiteit of groepsfuncties omvatten. D.w.z. je kunt controleren welke activiteiten verdachte protocollen zoals RDP of RPC naar het domeincontroller uit willen voeren. Maar je kunt ook gebruikers segmenteren. Een voorbeeld daarvan is een open wifi internet verbinding in uw bedrijfspand. De gebruikers daarvan mogen nooit op het bedrijfsinternet terechtkomen. Een strikte scheiding door het Zero Trust model is hiervoor een mooie oplossing.

Wilt u weten of Zero Trust een goede aanpak is voor uw organisatie?

Blixt wil daar graag met u naar kijken. Met de ervaring van de aanpak voor een universitair ziekenhuis en kennis van het onderwerp, wil Blixt graag met u kijken naar uw huidige inrichting en hoe het gemigreerd zou kunnen worden naar een Zero Trust aanpak. Neem contact met ons op!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.