Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Wat is Zero-trust beveiliging?

Startpagina Woordenlijst Wat is Zero-trust beveiliging?

Zero trust is een cyberbeveiligingsaanpak gebaseerd op het principe van altijd verifiëren en nooit vertrouwen van welke gebruiker, apparaat, applicatie of inhoudscommunicatie dan ook. Bij deze aanpak is validatie vereist voordat netwerktoegang wordt verleend aan apparaten, applicaties en gebruikers, en voordat documenten worden verzonden, gedeeld, ontvangen of opgeslagen. Zero trust is een cruciaal onderdeel van de strategie voor risicobeheer cyberbeveiliging van elke organisatie vandaag de dag.

Wat is Zero-trust beveiliging?

Bedrijfsmiddelen die onder een zero trust architectuur vallen zijn onder andere:

  • Gebruikers
  • Netwerken
  • Applicaties
  • Apparaten
  • Infrastructuur
  • Gegevens

Zero trust heeft het oudere perimeterbeveiligingsmodel vervangen, dat aanzienlijke uitdagingen kende—waaronder het niet kunnen verdedigen tegen bedreigingen van interne actoren. Tekortkomingen van traditionele beveiligingsmodellen stelden kwaadwillenden in staat om het netwerkperimeter te doorbreken en toegang te krijgen tot applicaties of gevoelige inhoud. Ook zijn traditionele beveiligingsaanpakken weerloos tegen bedreigingen van binnenuit.

Als reactie op deze uitdagingen ontwikkelde John Kindervag, destijds werkzaam bij Forrester Research, het Zero Trust Security Model. Al snel werd het model overgenomen in diverse sectoren en voor alle aspecten van risicobeheer cyberbeveiliging. Deze impact strekte zich uit tot onderdelen als risicobeheer door derden.

Hieronder krijgen organisaties een overzicht van zero trust, inclusief de kernprincipes, voordelen en hoe je zero trust in jouw organisatie kunt implementeren.

Wat is het Zero-trust beveiligingsmodel?

Zoals de naam al aangeeft, is zero-trust beveiliging gebaseerd op het idee dat organisaties niemand of niets mogen vertrouwen, of ze zich nu buiten of binnen hun systemen/netwerken bevinden.

De standaard beveiligingsstatus is het weigeren van toegang tot het netwerk en alle bedrijfsmiddelen. Iedereen en alles die toegang probeert te krijgen, moet worden geauthenticeerd, geautoriseerd en continu geverifieerd.

Dit concept gaat uit van maximale en voortdurende waakzaamheid en vereist strikte identificatie en verificatie zonder uitzonderingen. Het traditionele netwerkbeveiligingsmodel vertrouwde mensen en apparaten zodra ze zich binnen het netwerk bevonden. Hetzelfde gold voor applicaties en gevoelige inhoudscommunicatie.

Digitale transformatie, de toename van hybride netwerken, werken op afstand en de adoptie van cloudoplossingen, gecombineerd met de steeds veranderende risico’s van kwaadwillende staten en cybercriminelen, zijn enkele van de belangrijkste redenen waarom zero-trust beveiliging een vereiste cyberbeveiligingsstrategie is.

Kernprincipes van Zero-trust beveiliging

Om een zero-trust beveiligingsarchitectuur adequaat te implementeren, moet men eerst de onderliggende principes achter de beveiligingsstatus begrijpen en zorgen dat deze zijn geïntegreerd in de strategie voor risicobeheer cyberbeveiliging.

Continue monitoring en validatie

Continue monitoring en validatie van gebruikers, apparaten, applicaties en gevoelige inhoudscommunicatie is een van de krachtigste principes van zero trust. Time-outs van verbindingen en verificatie van gebruikersidentiteit vormen de kern van elk zero-trust beleid. Ook vereist het inbound en outbound privacy- en compliancebeheer van gevoelige inhoudscommunicatie.

Minimale toegangsrechten

Dit betekent simpelweg dat gebruikers alleen toegang krijgen tot wat ze nodig hebben om hun taken uit te voeren. Alle gebruikers, apparaten en applicaties worden standaard niet vertrouwd en minimale toegangsrechten worden afgedwongen. Bijvoorbeeld: een gebruiker die geen beheerdersaccount nodig heeft voor haar werk, mag daar nooit toegang toe hebben. Gebruikersrechten moeten duidelijk worden gedefinieerd en gehandhaafd; dit omvat ook vastgestelde inhoudsbeleid van degenen die inhoud beheren tot degenen die deze alleen mogen bekijken.

Bovendien gaat zero trust ervan uit dat een datalek onvermijdelijk is of waarschijnlijk al heeft plaatsgevonden. Het principe van minimale toegangscontrole zorgt ervoor dat gecompromitteerde accounts geen toegang krijgen tot waardevolle doelwitten—of het nu het netwerk, apparaten, applicaties of inhoud betreft.

Apparaattoegangscontrole

Dit is een belangrijk principe dat helpt bij het detecteren en voorkomen van aanvallen. Het vereist continue monitoring van apparaten die proberen toegang te krijgen tot het netwerk en van apparaten die zich al in het netwerk bevinden. Bij zero trust vormt elk apparaat een potentiële bedreiging en moet daarom worden geautoriseerd, geverifieerd en opnieuw geverifieerd als er verdacht verkeer wordt gedetecteerd.

Microsegmentatie

Dit is een van de belangrijkste veranderingen die een zero-trust beleid introduceert in een bestaande IT-infrastructuur. Traditionele beveiliging bestaat in de meeste gevallen uit diverse elementen die grotendeels niet geïntegreerd zijn en veel middelen en tijd kosten om te beheren.

Zero trust stimuleert de microsegmentatie van een groot netwerk in kleinere netwerken die onafhankelijk van elkaar functioneren. Dit betekent dat als één netwerkzone wordt gecompromitteerd, de dreiging beperkt blijft tot dat netwerk. De meeste grote datalekken maakten gebruik van laterale beweging, waarbij cybercriminelen toegang krijgen en zich steeds dieper in een netwerk, applicatie of opslagplaats bewegen, op zoek naar waardevolle en gevoelige gegevens en bedrijfsmiddelen. Microsegmentatie is bedoeld om de schaal van dergelijke aanvallen te beperken.

Multi-factor authentication (MFA)

Dit kernprincipe moet altijd worden toegepast in een zero-trust beveiligingsaanpak. Multi-factor authentication vereist dat een gebruiker meer dan één verificatiemiddel verstrekt om toegang te krijgen tot bronnen in het netwerk, applicaties en inhoud.

Populaire MFA-methoden zijn bijvoorbeeld het gebruik van een wachtwoord en een code die naar een mobiele telefoon wordt gestuurd. Dit zorgt ervoor dat als een wachtwoord wordt gecompromitteerd, toegang niet mogelijk is zonder de code die naar de mobiele telefoon is gestuurd. Een robuuste zero-trust beveiligingsinfrastructuur verwerkt deze kernprincipes van geïntegreerd risicobeheer in het ontwerp.

Content-gedefinieerde Zero Trust

Hetzelfde geldt voor applicaties en gevoelige inhoud die wordt verzonden, gedeeld, ontvangen en opgeslagen. Een zero-trust model voor gevoelige inhoudscommunicatie monitort en controleert continu wie toegang heeft tot inhoud, wie mag verzenden, en wie risicobeheer door derden (TPRM) mag uitvoeren. Daarnaast wordt beveiligingsbeheer toegepast voor zowel inkomende als uitgaande communicatie met geïntegreerde en ingebouwde uitgebreide beveiligingsmonitoring via anti-malware, antivirus, antispam, advanced threat protection, preventie van gegevensverlies en security information and event management (SIEM).

Hoe implementeer je Zero Trust?

In tegenstelling tot veel andere strategieën voor risicobeheer cyberbeveiliging is zero trust niet één ding dat je doet. Het is eerder een denkwijze die binnen je organisatie moet bestaan. Bovendien is implementatie een traject, niet iets wat een organisatie van de ene op de andere dag kan inzetten.

Het voordeel is dat implementatie van zero trust geen volledige herziening van je huidige cyberbeveiligingsarchitectuur vereist. Veel organisaties passen al één of twee van de bovengenoemde kernprincipes toe, zelfs als ze nog geen zero-trust beveiligingsstrategie hebben. Zodra een organisatie een zero-trust beveiligingsstrategie heeft, is het vinden, beoordelen en implementeren van de juiste ondersteunende technologieën voor governance, beveiliging en compliance essentieel.

Zero Trust-omgevingsontwerp

Voor organisaties die de implementatie van een zero-trust aanpak willen aanpakken, zijn de volgende aandachtsgebieden binnen het netwerk en de infrastructuur van belang.

Identiteitsbeveiliging

Dit omvat een systeem waarbij elke gebruiker die toegang krijgt tot het netwerk wordt geïdentificeerd via een unieke set attributen. Om identiteitsbeveiliging nog robuuster te maken, moet toegang tot waardevolle bedrijfsmiddelen een extra laag biometrische kenmerken bevatten die uniek zijn voor specifieke gebruikers.

Endpointbeveiliging

Net zoals alle gebruikers worden geïdentificeerd, geauthenticeerd en geverifieerd, geldt dit ook voor alle apparaten binnen het netwerk. Endpoints zijn een van de meest voorkomende routes waarlangs cybercriminelen toegang krijgen tot een netwerk. Zij maken gebruik van vaak zwakke beveiliging rond randapparaten om binnen te dringen en zich een weg door het netwerk te banen. In een zero-trust omgeving worden echter alle apparaten en gebruikers gelogd en gemonitord. Van alle endpoints, activiteiten en de status wordt een registratie bijgehouden.

Endpointbeveiliging moet ook worden uitgebreid naar Internet of Things (IoT)-apparaten.

Antivirus- en antispamfuncties moeten zijn ingebouwd in gevoelige inhoudscommunicatie, zodat wordt gecontroleerd of inkomende inhoud—ongeacht of deze wordt verzonden of gedeeld—geen kwaadaardige code en verzoeken bevat. In het geval van een zero-trust private content network-aanpak moet endpointbeveiliging worden geïntegreerd in de gebruikte communicatietools. Dit aspect van zero trust moet deel uitmaken van het risicobeheer door derden van elke organisatie.

Applicatiebeveiliging

Applicaties in een zero-trust infrastructuur moeten continu worden gemonitord om ongeautoriseerde applicaties of activiteiten van applicaties binnen het netwerk te detecteren. Zelfs applicaties in een zero-trust omgeving moeten voortdurend worden geverifieerd om potentiële datalekken te monitoren.

Gegevensbeveiliging

Vertrouwelijke gegevens staan centraal in alle cyberbeveiligingsstrategieën. Het is een waardevol bedrijfsmiddel waar kwaadwillenden altijd naar op zoek zijn zodra ze je netwerk binnendringen. Datalekken waarbij vertrouwelijke gegevens verloren gingen, namen in 2021 met 33% toe, met een gemiddelde kostenpost van $424 miljoen per datalek. Kwaadwillende staten en cybercriminelen richten zich op gegevens in beweging en in rust, binnen en buiten het netwerk.

Buiten cyberdreigingen moeten organisaties voldoen aan toepasselijke privacywetgeving en naleving van regelgeving in de rechtsbevoegdheden waar ze actief zijn. Specifiek geven gegevensbeschermingswetten zoals de Federal Information Security Management Act (FISMA), Health Insurance Portability and Accountability Act (HIPAA), General Data Protection Regulation (GDPR), California Consumer Privacy Act (CCPA) en Data Protection Act (DPA) 2018 aan hoe vertrouwelijke gegevens moeten worden behandeld.

Executive Order 14028 en Zero Trust

De Amerikaanse federale overheid erkent het belang van zero trust. Executive Order 14028 fungeert als drijvende kracht achter de adoptie en creëert een verplichting voor federale instanties en hun opdrachtnemers om van traditionele perimeterbeveiliging over te stappen naar een zero-trust model. Een van de factoren achter EO 14028 is het risico in de toeleveringsketen en de noodzaak om continu risico’s van derden voor federale instanties te monitoren en te beheren. Elke gebruiker, applicatie en elk apparaat moet worden geverifieerd om te voldoen aan zero-trust principes. De executive order vereist ook de bescherming van gevoelige gegevens via encryptie, categorisatie en segmentatie van gegevens, inclusief de mogelijkheid om ongeautoriseerde toegang automatisch te detecteren en te blokkeren.

Federale instanties zijn verplicht om uiterlijk aan het einde van het fiscale jaar 2024 zero-trust beveiligingsdoelen te stellen. Er zijn vijf pijlers:

  1. Ontwikkel een strategie voor gegevensbeveiliging
  2. Automatiseer beveiligingsreacties
  3. Controleer toegang tot gevoelige gegevens
  4. Beheer toegang tot logging en informatiebeveiliging
  5. Gegevensbeveiliging.

Zero Trust en gevoelige inhoudscommunicatie

Historisch gezien werd er veel meer aandacht besteed aan netwerk- en workloadtoegang dan aan inhoud. Wanneer inhoud buiten het netwerk en applicaties gaat, nemen privacy- en compliance risico’s aanzienlijk toe. Het niet toepassen van een content-gedefinieerd zero-trust model kan een organisatie blootstellen aan risico op niet-naleving, diefstal van intellectueel eigendom en reputatieschade. Omdat veel organisaties geen uitgebreide zero-trust aanpak hebben voor hun inhoudscommunicatiekanalen, lopen ze serieuze risico’s. Uit het Sensitive Content Communications Privacy and Compliance Report van Kiteworks uit 2022 blijkt dat minder dan de helft van de organisaties zero-trust principes toepast op al hun inhoudscommunicatiekanalen—e-mail, bestandsoverdracht, file transfer, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s).

Kiteworks stelt organisaties in staat om private content networks te implementeren die gevoelige inhoudscommunicatie verenigen, volgen, controleren en beveiligen. Met het Kiteworks-platform kunnen organisaties consistente zero-trust beveiligingsbeleid definiëren, toepassen en beheren voor elk communicatiekanaal. De gecentraliseerde metadata stelt organisaties ook in staat om in vrijwel real-time te reageren op privacy- en compliance bedreigingen.

 

Gerelateerde content:
Wat is risicobeheer cyberbeveiliging?
De meest veilige opties voor bestandsoverdracht voor bedrijven & compliance
Een gids voor informatiebeveiligingsbeheer
Waarom risicobeheer cyberbeveiliging belangrijk is
Wat is e-mail encryptie?

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks