Cyberaanvallen worden steeds geraffineerder. Cybercriminelen zijn beter georganiseerd dan ooit tevoren. Voor organisaties is het de hoogste tijd om in te zien dat het opzeggen van alle vertrouwen de best mogelijke beveiliging is. Anders gezegd: zero trust security is eigenlijk de enige manier waarop we ons kunnen verdedigen tegen cybercriminelen.

De complexiteit van de beveiliging is de afgelopen jaren aanzienlijk toegenomen. Niet alleen worden de aanvallen steeds geraffineerder, cybercriminelen zijn ook beter georganiseerd dan voorheen en worden in sommige gevallen ook nog eens goed gefinancierd door overheden. Doordat mensen steeds meer op afstand zijn gaan werken en steeds meer organisaties een multi-cloud strategie hebben ingevoerd, zijn er steeds meer kwetsbare plekken bijgekomen. Hierdoor heeft het concept van de traditionele perimeterbescherming zijn waarde grotendeels verloren. Er bestaat niet meer zoiets als een perimeter of een perimeterverdediging waarachter we veilig zijn. Zero trust blijft dan de enig mogelijke strategie.

Vertrouw niets of niemand

Het idee van zero trust is vrij eenvoudig: vertrouw geen enkele gebruiker of apparaat en controleer altijd – ook als een persoon of een apparaat al veel vaker als veilig is aangemerkt. Een succesvolle zero trust-aanpak houdt rekening met drie dingen: de credentials van een gebruiker, de gegevens waartoe de gebruiker toegang probeert te krijgen en het apparaat dat de persoon gebruikt. Door het principe van least privilege (ofwel: een gebruiker en een apparaat toegang geven tot zo weinig mogelijk databronnen en applicaties) te combineren met een moderne aanpak van context-gebaseerde toegang, multifactor-authenticatie (MFA) en netwerktoegang, kunnen organisaties een flexibeler beveiligingsmodel handhaven dat zeer geschikt is voor een cloud- en mobiele omgeving.

Bij zero trust verkleinen organisaties hun aanvalsoppervlak. Gevoelige gegevens zijn alleen toegankelijk voor gebruikers die kunnen aantonen dat zij deze nodig hebben voor hun werkzaamheden. Dit vermindert het risico aanzienlijk.

Traditionele zero trust-praktijken zijn doorgaans gericht op netwerktoegang en identiteits- en toegangsbeheer (IAM) via single sign-on (SSO). Deze focus op de gebruiker gaat echter voorbij aan het belang van de apparaten. In een wereld zonder perimeter, vormen apparaten de nieuwe perimeter. Wie zich wil verdedigen, moet zijn beveiligingsprotocol uitbreiden met procedures voor het valideren van apparaten. Anders gezegd: van ieder apparaat moet iedere keer dat deze toegang wil krijgen tot een systeem of netwerk vastgesteld worden dat deze ook daadwerkelijk toegang mag krijgen en dat deze niet is gecompromitteerd.

Als een netwerkomgeving wordt gecontroleerd op het al of niet voldoen aan de regels of dat zich kritieke kwetsbaarheden voordoen, is het beveiligen van het apparaat de beste verdediging tegen het stelen van gevoelige data. Daarom is het zo belangrijk om een geconvergeerde oplossing voor endpointbeheer te gebruiken als onderdeel van de zero trust-benadering.

Begin met de basis

Zero trust op zich is niet genoeg. Organisaties moeten ook aandacht besteden aan de basisprincipes van beveiliging. Patches moeten worden geïnstalleerd en bijgewerkt, maar niet op een lukrake manier. Uitgebreide patch-beheerprogramma’s moeten alle apparaten omvatten die in de organisatie worden gebruikt en die verbonden zijn met het internet en de bedrijfsnetwerken. Daarnaast is het aan te raden een audit te doen van alle systemen en apparaten die op admin-niveau toegang hebben tot netwerksystemen, en een evaluatie uit te voeren van de security van alle sensoren of andere IoT-apparaten (Internet of Things) die aan netwerken zijn gekoppeld.

Op langere termijn moeten bedrijven opnieuw beoordelen hoe zij de groeiende hoeveelheden gegevens die zij verzamelen, opslaan, beheren en categoriseren. Dat kan betekenen dat gegevens worden gesegmenteerd, zodat de toegang tot de meest gevoelige gegevens, zoals persoonlijke informatie of intellectueel eigendom, strenger wordt gecontroleerd.

VPN’s bieden vals gevoel van veiligheid

Beveiliging vereist tegenwoordig meer dan alleen het beheren van identiteiten en het authenticeren van gebruikers. We moeten ervan uitgaan dat iedere persoon en ieder apparaat dat het netwerk probeert binnen te komen een indringer is – totdat het tegendeel is bewezen. Bij veel organisaties groeit het besef dat de traditionele VPN’s een vals gevoel van veiligheid geven. De organisatie is niet veilig, simpelweg omdat een gebruiker of apparaat verbonden is met een geverifieerd netwerk. Het gebruik van een VPN zegt immers niets over de vraag of de persoon of het apparaat dat via de VPN binnen wil komen al of niet is gecompromitteerd.

Nu veel mensen hybride werken, hebben VPN’s bovendien moeite om de verkeersbelasting die thuiswerk genereert bij te houden. Uit onderzoek van Tanium is gebleken dat overbelaste VPN’s de op één na grootste beveiligingsuitdaging vormen voor organisaties die overgaan op een gedistribueerd personeelsbestand. Nu steeds meer thuiswerkers een VPN gebruiken, wordt het beheren en onderhouden van al die verbindingen een nachtmerrie. De problemen met legacy VPN’s hebben niet alleen de beveiliging van verkeersstromen in gevaar gebracht, maar dragen ook bij aan een groeiend beveiligingsrisico met betrekking tot endpoints. Gebruikers vertrouwen te vaak op apparaten die in veel gevallen niet zo veilig zijn als ze zouden moeten zijn.

Daarmee komen we weer bij een oud probleem: onveilige endpoints. Apparaatvalidatie is een belangrijk onderdeel van een succesvolle zero trust-strategie. Omdat werken op afstand tegenwoordig een groot deel van de toegang van eindgebruikers uitmaakt, is de security status van apparaten uiterst belangrijk. Apparaten zijn de nieuwe perimeter. Apparaatvalidatie stelt organisaties in staat zich te beschermen tegen gestolen inloggegevens of zelfs gestolen apparaten die cybercriminelen kunnen gebruiken om toegang te krijgen tot netwerken.

Daarom is sterk endpoint-beheer zo’n belangrijk onderdeel van een zero trust-aanpak. Zonder real-time en nauwkeurig endpoint-beheer kunnen organisaties geen compliance afdwingen of de apparaatstatus valideren als voorwaarde voor toegang. Authenticatie alleen kan immers niet garanderen dat een apparaat veilig is.

Het concept van zero trust kan negatief of zelfs paranoïde overkomen: ‘Vertrouw niets en niemand!’ Of het nu gaat om apparaten en andere endpoints, applicaties, netwerken of individuen. Maar wat deze aanpak eigenlijk vooral aangeeft is dat organisaties opereren in zeer uitdagende tijden en dat er heel veel op het spel staat bij een datalek of een ransomware-aanval.

Organisaties moeten het initiatief nemen om ervoor te zorgen dat waardevolle gegevens altijd beschermd zijn. Zij moeten er altijd zeker van zijn dat de gebruikers en apparaten die toegang proberen te krijgen tot hun netwerken geen schade zullen aanrichten. Het implementeren van een zero trust-strategie is een daadwerkelijk effectieve manier om dit beveiligingsniveau te bereiken.

Lees hier hoe je kunt migreren naar een zero-trust architectuur met real-time zichtbaarheid en controle van endpoints.