Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Wat is Zero-trust beveiliging?

Startpagina Woordenlijst Wat is Zero-trust beveiliging?

Zero trust is een cyberbeveiligingsaanpak die is gebaseerd op het principe van altijd verifiëren en nooit vertrouwen van welke gebruiker, apparaat, applicatie of contentcommunicatie dan ook. In deze aanpak is validatie vereist voordat netwerktoegang wordt verleend aan apparaten, applicaties en gebruikers, en voordat documenten worden verzonden, gedeeld, ontvangen of opgeslagen. Zero trust is een cruciaal onderdeel van de beheersing van beveiligingsrisico’s binnen de strategie van elke organisatie vandaag de dag.

Wat is Zero-trust beveiliging?

Bedrijfsmiddelen die onder een zero-trust architectuur vallen zijn onder andere:

  • Gebruikers
  • Netwerken
  • Applicaties
  • Apparaten
  • Infrastructuur
  • Gegevens

Zero trust heeft het oudere perimeterbeveiligingsmodel vervangen, dat aanzienlijke uitdagingen kende—waaronder het niet kunnen verdedigen tegen bedreigingen van interne actoren. Tekortkomingen in traditionele beveiligingsmodellen stelden kwaadwillenden in staat om het netwerkperimeter te doorbreken en toegang te krijgen tot applicaties of gevoelige content. Ook traditionele beveiligingsaanpakken zijn weerloos tegen bedreigingen van binnenuit.

Als reactie op deze uitdagingen ontwikkelde John Kindervag, destijds werkzaam bij Forrester Research, het Zero Trust Security Model. Al snel werd het model overgenomen in diverse sectoren en voor alle aspecten van risicobeheer op het gebied van cyberbeveiliging. Deze impact strekte zich uit tot onderdelen zoals risicobeheer door derden.

Hieronder krijgen organisaties een overzicht van zero trust, inclusief de kernprincipes, voordelen en hoe je zero trust in jouw organisatie kunt implementeren.

Wat is het Zero-trust beveiligingsmodel?

Zoals de naam al aangeeft, is zero-trust beveiliging gebaseerd op het idee dat organisaties niemand of niets moeten vertrouwen, ongeacht of ze zich buiten of binnen hun systemen/netwerken bevinden.

De standaard beveiligingsstatus is het weigeren van toegang tot het netwerk en alle bedrijfsmiddelen. Iedereen en alles dat toegang probeert te krijgen, moet worden geauthenticeerd, geautoriseerd en continu geverifieerd.

Dit concept gaat uit van maximale en voortdurende waakzaamheid en vereist strikte identificatie en verificatie zonder uitzondering. Het traditionele netwerkbeveiligingsmodel vertrouwde mensen en apparaten zodra ze binnen het netwerk waren. Dit gold ook voor applicaties en gevoelige contentcommunicatie.

Digitale transformatie, de toename van hybride netwerken, werken op afstand en de adoptie van cloudoplossingen, gecombineerd met de steeds veranderende risico’s van vijandige staten en kwaadwillende actoren, zijn enkele van de belangrijkste redenen waarom zero-trust beveiliging een noodzakelijke cyberbeveiligingsstrategie is.

Kernprincipes van Zero-trust beveiliging

Om een zero-trust beveiligingsarchitectuur goed te implementeren, moet men eerst de onderliggende principes achter de beveiligingsstatus begrijpen en ervoor zorgen dat deze zijn geïntegreerd in je beheersing van beveiligingsrisico’s strategie.

Continue monitoring en validatie

Continue monitoring en validatie van gebruikers, apparaten, applicaties en gevoelige contentcommunicatie is een van de krachtigste principes van zero trust. Verificatie van gebruikersidentiteit en time-outs van verbindingen staan centraal in elk zero-trust beleid. Ook wordt inbound en outbound privacy en compliance governance van gevoelige contentcommunicatie verplicht gesteld.

Least Privileged Access

Dit betekent simpelweg dat gebruikers alleen toegang krijgen tot wat ze nodig hebben om hun taken uit te voeren. Alle gebruikers, apparaten en applicaties worden standaard niet vertrouwd en toegang met minimale rechten wordt afgedwongen. Bijvoorbeeld: een gebruiker die geen beheerdersaccount nodig heeft voor haar werk, mag daar nooit toegang toe hebben. Gebruikersrechten moeten duidelijk worden gedefinieerd en gehandhaafd; dit omvat ook vastgestelde contentbeleid van beheerders tot gebruikers met alleen leesrechten.

Bovendien gaat zero trust ervan uit dat een datalek onvermijdelijk is of waarschijnlijk al heeft plaatsgevonden. Het principe van minimale rechten zorgt ervoor dat gecompromitteerde accounts geen toegang krijgen tot waardevolle doelen—of het nu het netwerk, apparaten, applicaties of content betreft.

Apparaattoegangscontrole

Dit is een belangrijk principe dat helpt bij het detecteren en voorkomen van aanvallen. Het vereist continue monitoring van apparaten die proberen toegang te krijgen tot het netwerk en van apparaten die al binnen het netwerk zijn. Met zero trust vormt elk apparaat een potentiële bedreiging en moet daarom worden geautoriseerd, geverifieerd en opnieuw geverifieerd als er verdacht verkeer wordt gedetecteerd.

Microsegmentatie

Dit is een van de belangrijkste veranderingen die een zero-trust beleid introduceert in een bestaande IT-infrastructuur. Traditionele beveiliging bestaat in veel gevallen uit diverse elementen die grotendeels niet geïntegreerd zijn en veel middelen en tijd vergen om te beheren.

Zero trust stimuleert microsegmentatie van een groot netwerk in kleinere netwerken die onafhankelijk van elkaar functioneren. Dit betekent dat als één netwerkzone wordt gecompromitteerd, de dreiging beperkt blijft tot dat netwerk. De grootste datalekken maakten vaak gebruik van laterale beweging, waarbij cybercriminelen toegang krijgen en zich steeds dieper in een netwerk, applicatie of opslagplaats bewegen op zoek naar waardevolle en gevoelige gegevens en bedrijfsmiddelen. Microsegmentatie is bedoeld om de schaal van dergelijke aanvallen te beperken.

Multi-factor Authentication (MFA)

Dit kernprincipe moet altijd worden toegepast binnen een zero-trust beveiligingsaanpak. MFA vereist dat een gebruiker meer dan één verificatiemiddel verstrekt om toegang te krijgen tot bronnen in het netwerk, applicaties en content.

Populaire MFA-methoden zijn bijvoorbeeld het gebruik van een wachtwoord en een code die naar een mobiele telefoon wordt gestuurd. Zo wordt, als een wachtwoord wordt gecompromitteerd, toegang onmogelijk zonder de code op de mobiele telefoon. Een robuuste zero-trust beveiligingsinfrastructuur verwerkt deze kernprincipes van geïntegreerd risicobeheer in het ontwerp.

Content-gedefinieerde Zero Trust

Hetzelfde geldt voor applicaties en gevoelige content die wordt verzonden, gedeeld, ontvangen en opgeslagen. Een zero-trust model voor gevoelige contentcommunicatie monitort en controleert continu wie toegang heeft tot content, wie mag verzenden risicobeheer door derden (TPRM). Daarnaast wordt beveiligingsgovernance toegepast op zowel inkomende als uitgaande communicatie, met geïntegreerde en ingebouwde uitgebreide beveiligingsmonitoring door gebruik van anti-malware, antivirus, antispam, advanced threat protection, preventie van gegevensverlies en security information and event management (SIEM).

Hoe implementeer je Zero Trust?

In tegenstelling tot veel andere strategieën voor risicobeheer op het gebied van cyberbeveiliging, is zero trust niet één enkele actie. Het is eerder een denkwijze die binnen je organisatie moet bestaan. Daarnaast is implementatie een traject, niet iets wat een organisatie van de ene op de andere dag kan inzetten.

Het voordeel is dat de implementatie van zero trust geen volledige herziening van je huidige cyberbeveiligingsarchitectuur vereist. Veel organisaties passen al één of twee van de genoemde kernprincipes toe, zelfs als ze nog geen zero-trust strategie hebben. Zodra een organisatie een zero-trust beveiligingsstrategie heeft, is het vinden, beoordelen en implementeren van de juiste ondersteunende technologieën voor governance, beveiliging en compliance essentieel.

Zero-trust omgevingsontwerp

Voor organisaties die de implementatie van een zero-trust aanpak willen oppakken, zijn dit de aandachtsgebieden binnen het netwerk en de infrastructuur die moeten worden aangepakt.

Identity Security

Dit omvat een systeem waarbij elke gebruiker die toegang krijgt tot het netwerk wordt geïdentificeerd via een unieke set attributen. Om identity security nog sterker te maken, moet toegang tot waardevolle bedrijfsmiddelen een extra laag van biometrische kenmerken bevatten die uniek zijn voor specifieke gebruikers.

Endpoint Security

Net zoals alle gebruikers worden geïdentificeerd, geauthenticeerd en geverifieerd, geldt dit ook voor alle apparaten binnen het netwerk. Endpoints zijn een van de meest voorkomende routes waarlangs cybercriminelen toegang krijgen tot een netwerk. Zij maken gebruik van vaak zwakke beveiliging rond randapparaten om binnen te dringen en zich verder door het netwerk te bewegen. In een zero-trust omgeving worden echter alle apparaten en gebruikers gelogd en gemonitord. Van alle endpoints, activiteiten en status wordt een registratie bijgehouden.

Endpoint security moet ook worden uitgebreid naar Internet of Things (IoT)-apparaten.

Antivirus- en antispamfuncties moeten ingebouwd zijn in gevoelige contentcommunicatie, zodat gecontroleerd wordt of inkomende content—ongeacht of deze wordt verzonden of gedeeld—geen kwaadaardige code en verzoeken bevat. In het geval van een zero-trust private content network aanpak moet endpoint security zijn geïntegreerd in de gebruikte communicatietools. Dit aspect van zero trust moet deel uitmaken van de aanpak voor risicobeheer door derden van elke organisatie.

Application Security

Applicaties in een zero-trust infrastructuur moeten continu worden gemonitord om ongeautoriseerde applicaties of activiteiten van applicaties binnen het netwerk te detecteren. Zelfs applicaties in een zero-trust omgeving moeten continu worden geverifieerd om mogelijke datalekken te monitoren.

Data Security

Vertrouwelijke gegevens staan centraal in alle cyberbeveiligingsstrategieën. Het is een waardevol bedrijfsmiddel waar kwaadwillenden altijd naar op zoek zijn zodra ze je netwerk binnendringen. Datalekken waarbij vertrouwelijke gegevens verloren gingen, namen toe met 33% in 2021, met een gemiddelde kostenstijging van een datalek tot $424 miljoen. Vijandige staten en cybercriminelen richten zich op data in beweging en in rust, binnen en buiten het netwerk.

Buiten cyberdreigingen moeten organisaties voldoen aan toepasselijke wetgeving voor gegevensbescherming en naleving van regelgeving in de rechtsbevoegdheden waar zij actief zijn. Specifiek schrijven wetten zoals de Federal Information Security Management Act (FISMA), Health Insurance Portability and Accountability Act (HIPAA), General Data Protection Regulation (GDPR), California Consumer Privacy Act (CCPA) en Data Protection Act (DPA) 2018 voor hoe je vertrouwelijke gegevens moet behandelen.

Executive Order 14028 en Zero Trust

De Amerikaanse federale overheid erkent het belang van zero trust. Executive Order 14028 dient als de drijvende kracht achter de adoptie en creëert een verplichting voor federale agentschappen en hun opdrachtnemers om over te stappen van traditionele perimeterbeveiliging naar een zero-trust model. Een van de factoren achter EO 14028 is het risico in de toeleveringsketen en de noodzaak om continu het risico van derden voor federale agentschappen te monitoren en te beheren. Elke gebruiker, applicatie en apparaat moet worden geverifieerd om te voldoen aan de zero-trust principes. De executive order vereist ook de bescherming van gevoelige gegevens via encryptie, categorisatie en segmentatie van gegevens, inclusief de mogelijkheid om automatisch ongeautoriseerde toegang te detecteren en te blokkeren.

Federale agentschappen zijn verplicht om zero-trust beveiligingsdoelen te stellen tegen het einde van het fiscale jaar 2024. Er zijn vijf pijlers:

  1. Ontwikkel een datastrategie voor beveiliging
  2. Automatiseer beveiligingsreacties
  3. Controleer toegang tot gevoelige gegevens
  4. Beheer toegang tot logging en informatiebeveiliging
  5. Databeveiliging.

Zero Trust en gevoelige contentcommunicatie

Historisch gezien is er veel meer aandacht besteed aan netwerk- en workloadtoegang dan aan content. Wanneer content buiten het netwerk en applicaties terechtkomt, nemen privacy- en compliance risico’s aanzienlijk toe. Het niet toepassen van een content-gedefinieerd zero-trust model kan een organisatie blootstellen aan het risico van niet-naleving, diefstal van intellectueel eigendom en reputatieschade. Omdat veel organisaties geen alomvattende zero-trust aanpak hebben voor hun contentcommunicatiekanalen, lopen zij een serieus risico. Uit het Sensitive Content Communications Privacy and Compliance Report van Kiteworks uit 2022 bleek dat minder dan de helft van de organisaties zero-trust principes toepast op al hun contentcommunicatiekanalen—e-mail, bestandsoverdracht, file transfer, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s).

Kiteworks stelt organisaties in staat om private content networks te implementeren die gevoelige contentcommunicatie verenigen, volgen, controleren en beveiligen. Door gebruik te maken van het Kiteworks-platform kunnen organisaties consistente zero-trust beveiligingsbeleid definiëren, toepassen en beheren over elk communicatiekanaal. De gecentraliseerde metadata stelt organisaties bovendien in staat om vrijwel realtime te reageren op privacy- en compliance dreigingen.

 

Gerelateerde content:
Wat is Risk Security Management?
De meest veilige opties voor bestandsoverdracht voor bedrijven & compliance
Een gids voor informatiebeveiligingsgovernance
Waarom risicobeheer cyberbeveiliging belangrijk is
Wat is e-mail encryptie?

Terug naar het Risk & Compliance Glossarium

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks