Het maakt niet uit of jij en je collega's nu op kantoor, thuis, onderweg of overal tegelijk werken: zolang je alles hebt om productief en aangenaam te werken, toch? Met slechts één voorwaarde: je moet ook je IT-manager en je chief security officer happy houden.
Stel je even deze situatie voor: je stapt de kantoorlobby binnen en de bewaker wenkt je al vriendelijk door het poortje. Je komt hier haast dagelijks, dus hij herkent je gezicht al van ver. Waarom zou hij je identiteit checken, of – godbetert – een full body check doen? Je was de voorbije zes maanden al elke dag betrouwbaar, dus waarom zou dat vandaag niet zo zijn?
De digitale beveiligingsarchitectuur is vandaag de dag in veel bedrijven nog steeds georganiseerd zoals in deze korte scène hierboven. En vaak is dat ook prima. Zeker voor wie elke dag op kantoor werkt. Een heel ander verhaal wordt het voor degenen die thuis werken en via een VPN-gateway verbinding maken met het bedrijf. Wanneer deze gebruikers inloggen op het netwerk, worden ze automatisch als betrouwbaar gelabeld – zoiets als: ‘Hallo daar, jou herkennen we van de vorige keer. Het was oké toen, dus het zal nu ook wel in orde zijn. Kom binnen!’ En dat is riskant. Het systeem weet namelijk niet of de gebruiker thuis al dan niet ‘besmet’ raakte.
In 2010 legde analist John Kindervag van Forrester Research de vinger al op de wonde. Hij introduceerde het Zero Trust Model. Volgens Kindervag moeten bedrijven striktere cyberbeveiligingsprogramma's implementeren en hun toegangscontrole verscherpen. Kortom, vertrouw gebruikers niet blindelings omdat je hun IP-adres (her)kent. De computers en apparaten die ze gebruiken zijn – potentieel – net zo onveilig als die van gebruikers die je niet kent. Om hun netwerk en bronnen veilig te houden, houden bedrijven dus best die oude slogan uit ‘The X-Files’ in het achterhoofd bij het opzetten van hun beveiligingsarchitectuur: trust no one. Met andere woorden: behandel alle gebruikers alsof ze roaming gebruikers zijn.
Het Zero Trust-model bestaat uit 3 pijlers:
Check élke keer de identiteit van alle gebruikers of apparaten (computer, laptop, maar ook printer of camera) die toegang willen tot je bedrijfsmiddelen. En doe dat niet met één wachtwoord, maar combineer een reeks vaste en eenmalige wachtwoordcontroles.
Ga er nooit vanuit dat gebruikers of apparaten die gisteren en eergisteren veilig waren, dat ook vandaag nog zijn. Zo is het geen geweldig idee om de veiligheid van een gebruiker te baseren op, bijvoorbeeld, zijn geolocatie. Deze posture check voer je best altijd in realtime uit.
Geef gebruikers de toegang die ze nodig hebben, maar ook niet meer dan dat. Laat mensen liever niet zomaar digitaal rondneuzen. Het is beter om ze alleen toegang te geven tot plekken die nodig zijn om hun taken naar behoren uit te voeren. Dit is wellicht de moeilijkste regel om te implementeren, omdat de indeling van je netwerk waarschijnlijk nogal complex is – soms zou je durven denken dat het een labyrint is. Maar toch.
Soms voegen we daar een vierde pijler aan toe:
Zelfs als je veel beveiligingsmaatregelen invoert, kan je nooit honderd procent zeker zijn dat je infrastructuur geen gevaar loopt. Daarom moet je ervan uitgaan dat ze op een bepaald moment toch besmet kan raken. Om de schade te beperken, zet je best een limiet op de laterale bewegingen van je gebruikers (d.w.z. van het ene apparaat naar het andere) en laat je alleen verticale bewegingen toe (van een gebruiker naar een toepassingsservice). Malware verspreidt zich meestal doorheen het netwerk door apparaten te infecteren in de buurt van het systeem dat de infectie als eerste opliep, omdat dit verkeer niet gefilterd wordt door beveiligingsapparaten. Wanneer de zijwaartse trafiek beperkt is en systemen beter afgeschermd zijn, wordt het makkelijker om potentiële gevaren in te perken.
Een Zero Trust-beleid kan je implementeren voor verschillende bedrijfsaspecten: het netwerk zelf, de toepassingen of de gegevens binnen deze toepassingen. Die laatste is de zwaarste noot om te kraken. Een volledige inventaris maken van de inhoud van elke applicatie is immers een zware klus. En wanneer gebruikers eenmaal binnen zijn, wordt het bijzonder complex om te bepalen welke data ze al dan niet in handen krijgen. Maar toch moet je streven naar een goede combinatie van ZTNA- en ZTDP-tools (respectievelijk Zero Trust Network Access en Zero Trust Data Protection). ZTNA-tools beperken de toegang van gebruikers tot je middelen, ZTDP-tools doen hetzelfde voor je gegevens.
Maar hoe begin je eraan? Eerst en vooral: kiezen is moeilijk. Er zijn zóveel producten die alle pijlers van het Zero Trust-beleid implementeren. Sommige doen dat meteen op het LAN-toegangsniveau, andere treden pas in werking op het toegangsniveau van het datacenter, enzovoort. Maar om een uitgebreide Zero Trust-architectuur uit te bouwen, moet je verschillende producten combineren, zoals NAC-technologie, een SDWAN-platform, een SSE-product of een SASE-oplossing (dat is een mix van zowel SDWAN als SSE: Lees er hier meer over).
De zoektocht naar het evenwicht tussen veiligheid en gebruiksvriendelijkheid is voor elk bedrijf anders. Toch raden we aan om te beginnen met ZTNA, omdat dit veel eenvoudiger te implementeren is. Je hoeft namelijk de verschillende soorten gegevens niet te lokaliseren en te identificeren, en je moet ook de gebruikers en privileges niet gedetailleerd in kaart brengen. Een ZTDP-tool, daarentegen, zullen alleen organisaties met voldoende technische voorkennis kunnen implementeren.
Een voorbeeld: als je in de defensie-industrie zit, ben je het waarschijnlijk gewend om een groot budget te spenderen aan de implementatie van een complexe reeks beveiligingsmaatregelen en geavanceerde producten. Je moet een gigantisch arsenaal aan kleine en grote tools bij elkaar puzzelen én je moet leren omgaan met gefrustreerde gebruikers die klagen omdat ze niet de juiste toegang krijgen – dat laatste is slechts een kleine prijs die je betaalt voor een gezonde nachtrust. Maar ben je een klein b2b-bedrijf zonder ‘grote geheimen’, dan heb je wellicht al genoeg aan het absolute minimum, zoals het bufferen van toegang tot de netwerkinfrastructuur en het installeren van gebruikersverificatie op basis van twee factoren. En dat hoeft echt niet per se een arm en een been te kosten.
Kan je hulp gebruiken bij het opzetten van een Zero Trust-beleid voor jouw bedrijf? We helpen je daar graag bij. Neem contact op met ons Team.
