Waarom IT-teams ‘zero trust’ moeten hanteren bij netwerkbeveiliging

Mark de Haan

3 oktober 2022

In het begin van de pandemie was de bescherming van apparaten en data tegen cyberdreigingen een topprioriteit voor veel IT-teams. Dit kwam door de uitbreiding van hun netwerkperimeter, aangezien het personeel buiten zijn gebruikelijke kantooromgeving begon te werken. Ondertussen zijn het aantal cyberaanvallen volgens schattingen van het World Economic Forum wereldwijd tussen februari en april 2020 met maar liefst 238% toegenomen.

Aangezien hybride werken over de hele wereld almaar populairder wordt, moeten IT-teams nog waakzamer zijn wat betreft het ontwikkelen van hun algemene IT-netwerkstrategie voor bedrijven. Dit komt doordat werknemers die op afstand werken, niet op dezelfde manier worden beschermd als in een typische LAN-omgeving op kantoor.

Dit is een van de redenen waarom sommige IT-beleidsregels zijn verschoven naar wat ‘zero trust’ wordt genoemd. Dit betekent dat over het hele netwerk geen enkele individuele gebruiker volledig wordt vertrouwd, maar dat hij of zij afhankelijk van het gebruikte apparaat en de gebruikte applicaties, de specifieke beveiligingsinstellingen en eventuele specifiek overeengekomen privileges directe toegang krijgt tot online bestanden en gegevens.

Netwerktoegang wordt mogelijk gemaakt op identiteits- en contextbasis, een logische toegangsgrens rond een applicatie of een reeks applicaties in plaats van toegangsbeveiligingen te laten aansturen door de netwerkperimeter zelf. Dit kan worden geïmplementeerd, ongeacht de plaats waar de werknemer zich bevindt of verbinding maakt, zodat de verbindingservaring met online bedrijfssystemen precies op dezelfde manier en volledig naadloos verloopt.

Zero trust-benadering

Met de introductie van SASE-technologie (Secure Access Service Edge) kunnen leidinggevenden in IT een zero trust-benadering beter handhaven over hun hele netwerk. SASE maakt gebruik van concepten voor bedrijfsnetwerken zoals SD-WAN en koppelt ze aan beveiligingsmogelijkheden. Dit gaat verder dan de nieuwste firewalls en omvat cloudgebaseerde beveiligingstools.

Deze netwerkstrategie is ontworpen om alle aspecten van netwerken en beveiliging te integreren, zodat het mogelijk is om hiaten te dichten en tegelijkertijd de prestaties te maximaliseren. SASE streeft er ook naar zoveel mogelijk beveiligingsfuncties naar de cloud te verplaatsen, waar ze ongeacht hun fysieke locatie op grote schaal en voor gebruikers kunnen worden ingezet.

Weesaccounts

Gelijke tred houden met werknemers en hun toegang tot gegevens is ongelooflijk complex voor IT-teams. Het wordt nog uitdagender als je nadenkt over het aantal organisatorische veranderingen dat dagelijks plaatsvindt, naarmate medewerkers tot de organisatie toetreden of verlaten of bijvoorbeeld van functie veranderen. In veel gevallen hebben vaste medewerkers hun vroegere toegangsrechten mogelijk nog lang nadat ze het bedrijf hebben verlaten.

Deze ‘weesaccounts’, nog steeds technisch actief maar zonder toegewezen eigenaar, zijn erg gevaarlijk omdat ze het netwerk kwetsbaar kunnen maken voor hacks. Dit komt doordat de toegang tot systemen en gegevens legitiem lijkt en binnen het normale dagelijkse toegangspatroon van een bedrijf valt.

Opleiden van werknemers

Hoewel wachtwoorden kunnen worden gewijzigd als ze in gevaar komen, moeten bedrijven actief proberen gegevens op een zorgvuldigere manier te beveiligen. Nu er de afgelopen maanden in de media spraakmakende inbreuken zijn gemeld in sommige sectoren, zoals de bank- en telecomsector, is het opleiden van werknemers om onzekerheid en risico’s zoveel mogelijk te verminderen, momenteel de beste vorm van bescherming van digitale identiteiten.

Tips om de veiligheidsperimeter aan te scherpen

Hieronder staan vier stappen die elk bedrijf zou moeten implementeren om bedrijfsmiddelen beter te beveiligen:

1. Voer een volledige audit uit van de toegang van werknemers tot systemen, applicaties en gegevens in het hele bedrijf.

  • Dit betekent dat je zwakke plekken in de gebruikerstoegang tot bedrijfsmiddelen identificeert.
  • Bepaal de mate van connectiviteit tussen elk onderdeel van de beveiligingsomgeving


2. Zorg ervoor dat alle beveiligingsprocessen die geautomatiseerd kunnen worden, ook daadwerkelijk worden geautomatiseerd.
Wanneer gebruikers tot het bedrijf toetreden, verhuizen of het bedrijf verlaten, moet de toegang – aan de hand van het beleid – worden gecontroleerd om ervoor te zorgen dat alleen minimale toegang wordt gegeven voor hun huidige rol.

3. Neem bedrijfsgegevens in de hand.

  • De eerste stap is het vinden en classificeren van alle gegevens, zowel gestructureerd als ongestructureerd, binnen het bedrijf. Een tool die automatisch data in beide categorieën kan ontdekken, is daarbij heel nuttig.
  • Diezelfde tool moet ook in staat zijn om data te classificeren en te beoordelen als het gaat om risico’s, door bepaalde bestanden of archieven als gevoelige informatie te markeren.
  • Kies eigenaren voor alle gegevens door teams te vragen gezamenlijk te stemmen wie de eigenaar moet zijn. Waarschijnlijk zal de meest productieve gebruiker niet degene zijn die wordt gekozen, maar eerder iemand in een toezichthoudende of managementrol.


4. Evalueer en pas indien nodig elk aspect van de netwerkbeveiligingsstrategie regelmatig aan.
Dit betekent dat je een stap achteruit moet zetten en opnieuw moet beoordelen welke impact de beveiligingsstrategie op het bedrijf heeft. Neem daarvoor de originele situatie opnieuw onder de loep.

Aangezien de verschuiving in netwerken de komende maanden en jaren almaar sneller zal blijven gaan, zullen bedrijven gedwongen worden hun IT-strategie te wijzigen om een ​​meer geïntegreerde bedrijfsnetwerkstack te hebben.

Hun strategie zal erop gericht zijn veel afzonderlijke technologieën om de hele netwerkstack te dekken achterwege te laten. In plaats daarvan kunnen ze kiezen voor een alles-in-één oplossing die echt alles kan dekken. GTT exploiteert IP-netwerken in 140 landen en de afgelopen jaren hebben we gemerkt dat bedrijven eerder geneigd zijn te kiezen voor minder providers die goed zijn in netwerkmonitoring dan voor een reeks oplossingen die zijn aangepast aan elk individueel systeem in het netwerk.

Gerelateerde artikelen

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.

Supply Chain Trends 2024: de digitale revolutie

Supply Chain Trends 2024: de digitale revolutie

Geavanceerde technologieën zetten de wereld van de toeleveringsketen op zijn kop. Met snel evoluerende mogelijkheden op het gebied van generatieve AI, data-analyse, automatisering, machine learning, IoT, blockchain en meer, is de ‘slimme’ toeleveringsketen hard op weg het nieuwe normaal te worden.

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?