Wat is Zero Trust eigenlijk?
Ongeveer drie minuten nadat ik begon met het plannen van deze post, kreeg ik zo’n “jeetje, ik ben oud”-moment. Hier is waarom. Ik werk al sinds 1994 in de cyberbeveiliging. Mijn eerste baan was bij een van de Big 3, waar ik voor de Amerikaanse overheid werkte via een van de grootste advocatenkantoren ter wereld. Ja, het was ingewikkeld.
In die tijd (stel je een oude man voor die dit zegt) was cyberbeveiliging niet eens cyberbeveiliging. Het was gewoon beveiliging. Informatieveiligheid werd pas begin 2000 een begrip. Netwerken van computers stond nog in de kinderschoenen. Snap je wat ik bedoel? Ik ben al heel lang bezig.
Het punt is dat zelfs toen computers net werden verbonden en cyberbeveiliging nog geen begrip was, en de functie van CISO als tovenarij werd gezien, er in de IT-architectuur een principe bestond genaamd “Know Your Computer” (KYC) of later “Know Your Network” (KYN). Dit principe vindt zijn oorsprong in de financiële sector van de jaren negentig.
Kort gezegd: om meer producten te verkopen aan hun bestaande klanten, probeerden ze alles te weten te komen wat mogelijk was. Bedenk dat dit het PRILLE begin van het internet was. De enorme databases over gebruikers en hun voorkeuren, afkeuren en koopgedrag na middernacht lagen nog decennia in de toekomst.
KYC of KYN, zoals hierboven geïllustreerd, zijn oude principes die al heel lang bestaan. Door de jaren heen zijn ze in veel vormen geëvolueerd en tegenwoordig noemen we het Zero Trust. Het zou niet eerlijk zijn om de complexiteit en technische details van de huidige IT te vergelijken met die van vroeger. Aan de andere kant zijn er lessen uit een eenvoudigere IT-tijd die vandaag de dag nog steeds waardevol zijn.
KYC of KYN
Het zijn oude concepten, maar de principes zijn nog steeds relevant in de huidige IT-omgeving. Eerlijk gezegd is Zero Trust de nieuwste versie van het KYN-concept. Zie hieronder:
|
KYN |
Zero Trust |
|
Weet wat het doel is van alle apparaten op het netwerk |
Beperk de toegang tot alle apparaten op het netwerk tot alleen wat ze nodig hebben om hun rol te vervullen |
|
Documenteer het gedrag van alle systemen op het netwerk en stel een melding in bij afwijkingen |
Documenteer het gedrag van alle systemen op het netwerk en blokkeer alle andere acties |
|
Documenteer je datastromen |
Documenteer je datastromen en stel een melding in bij wijzigingen |
|
Creëer regelmatige overlegmomenten om wijzigingen en updates aan de netwerksystemen te bespreken |
Bekijk regelmatig meldingen en overtredingen van de Zero-trust controles |
Ik zou nog wel even door kunnen gaan, maar het punt is duidelijk. KYN sluit niet perfect aan bij het Zero-trust model. De dreigingen en complexiteit van computernetwerken bestonden simpelweg niet in de jaren negentig.
Wat is Zero Trust eigenlijk?
We zitten allemaal al jaren in de branche. Zelfs als je pas net bent begonnen, heb je erover gelezen, e-mails ontvangen, ben je gebeld door leveranciers, uitgenodigd voor webinars, seminars of zelfs drumcirkels die Zero Trust aanprijzen.
Elke leverancier, ongeacht de technologie, verkoopt zijn product als het nieuwste Zero-trust wondermiddel. Er zijn veel van dit soort hypes in de branche geweest, maar daar gaat deze post niet over. Deze post legt uit wat Zero Trust is en welke strategieën je kunt gebruiken om het effectief en economisch te implementeren.
Zero Trust is een filosofie. Simpel gezegd: sta niets toe op het netwerk waarvoor jij verantwoordelijk bent, wat je niet al kent. Zoals bij alle filosofieën is het makkelijk gezegd, eenvoudig te begrijpen, maar lastig om uit te voeren.
Misschien vraag je je af: “Ik heb 5.000 endpoints, 40 cloudproviders, 800 servers en 600 applicaties. Verwacht hij dat ik dat allemaal in kaart breng? Hij is gek.” Ook ik heb dat tegen mezelf gezegd toen ik mijn eerste stappen in Zero Trust zette. Ook ik heb iemand voor gek verklaard.
Toen begon ik na te denken over hoe ik de vragen zou beantwoorden die ik zou krijgen van een business development executive die het woord Zero Trust op de achterkant van een tijdschrift had gelezen tijdens een binnenlandse vlucht. “Korte vraag XXX, wat is onze Zero-trust strategie? Ik moet het begrijpen, dus maak even snel drie slides waarin je uitlegt waarom wij er zo goed in zijn.” Ik begon met onze kroonjuwelen. Anderen noemen het de High Value Asset (HVA) lijst. Hoe je het ook noemt, daar begin je.
Stap één is het documenteren van het Wie, Wat, Wanneer, Waar en Hoe van het gebruik van de HVA’s. Dit gebeurt meestal door interviews met de zakelijke gebruikers. NIET met de business leaders. Je hebt hun goedkeuring nodig, maar de mensen die de HVA daadwerkelijk gebruiken zijn degenen met wie je moet werken. Resultaten van deze interviews zijn onder meer namen van computerwerkplekken, gebruikersnamen, applicaties, documentatie van bedrijfsprocessen en datastromen.
Nu je deze vragen hebt beantwoord, kun je een Zero-trust strategie bouwen rond die HVA. Als het niet op afstand wordt benaderd, verwijder dan die toegang. Als slechts een beperkt aantal gebruikers toegang nodig heeft, verwijder dan alle overige. Als een beperkt aantal computers toegang nodig heeft, verwijder dan de rest. Als het proces geen data via e-mail verstuurt, stel dan een DLP-blokkade in om die overdrachtsmethode uit te sluiten. Je bouwt simpelweg muren rond de bedrijfsprocessen.
Je verandert het proces niet, en dat is een punt dat je moet benadrukken richting de business. Je gaat hun dagelijkse werkervaring niet verslechteren. Elke keer dat je een controle toevoegt, zorg ervoor dat je meldingen instelt bij wijzigingen. Als je groepen gebruikt voor gebruikersrechten, zorg er dan voor dat je een meldingsstrategie hebt om zowel de business als de cyberbeveiligingsoperatie te informeren als het groepslidmaatschap verandert. Misschien was het niet verwacht of goedgekeurd, en ontdek je zo iets voordat er schade ontstaat.
Het kan zijn dat je programma nog niet de juiste controles heeft om die benodigde controle op de HVA te implementeren. Je hebt nu je zakelijke rechtvaardiging voor de nieuwe controle vastgelegd. Ik vermoed dat je programma waarschijnlijk al de technische mogelijkheden heeft om de benodigde controles te implementeren.
Een Zero-trust strategie stelt je in staat om twee dingen te doen. Ten eerste kun je de nieuwste terminologie gebruiken om je inspanningen en behoeften te beschrijven. Ten tweede kun je de focus van je teams richten op de HVA-lijst. Proberen om Zero-trust strategieën in één keer over de hele organisatie uit te rollen is zinloos. Begin bij de belangrijkste bedrijfsmiddelen.
Veelgestelde vragen
Risicobeheer cyberbeveiliging is een strategische aanpak waarmee organisaties potentiële bedreigingen voor hun digitale bezittingen identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste dreigingen te identificeren en een plan op te stellen om deze aan te pakken, bijvoorbeeld met preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe dreigingen en veranderingen binnen de organisatie. Het uiteindelijke doel van risicobeheer cyberbeveiliging is om de informatie-assets, reputatie en juridische positie van de organisatie te beschermen. Het is daarmee een essentieel onderdeel van het algemene risicobeheer van elke organisatie.
De belangrijkste onderdelen van een risicobeheerprogramma voor cyberbeveiliging zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en evaluaties.
Organisaties kunnen cyberbeveiligingsrisico’s beperken met diverse strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële dreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bij het detecteren en elimineren van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan minimaliseert schade tijdens een cyberincident, en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot draagt naleving van industriestandaarden en regelgeving, zoals Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST) standaarden, verder bij aan het beperken van cyberbeveiligingsrisico’s.
Een risicobeoordeling is een cruciaal onderdeel van risicobeheer cyberbeveiliging. Het houdt in dat potentiële dreigingen en kwetsbaarheden worden geïdentificeerd, de potentiële impact en waarschijnlijkheid van deze risico’s worden beoordeeld en dat ze worden geprioriteerd op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.
Continue monitoring is een essentieel onderdeel van risicobeheer cyberbeveiliging. Het biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Hierdoor kunnen dreigingen direct worden opgespoord en aangepakt, wat helpt om schade te voorkomen of te minimaliseren. Het zorgt ook voor naleving van cyberbeveiligingsnormen en regelgeving, zodat organisaties snel eventuele non-conformiteiten kunnen oplossen. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data het besluitvormingsproces ondersteunt rond resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.