Pas Zero Trust toe en bescherm je bedrijf
Zero Trust is een strategie die als uitgangspunt neemt om niets en niemand te vertrouwen en telkens alles opnieuw te verifiëren. In het kader van cyberweerbaarheid klinkt dit misschien logisch maar de realiteit is dat de (traditionele) manier hoe we IT-systemen inrichten vaak elementen van vertrouwen bevatten. Dit weten kwaadwillenden ook en ze zoeken steeds vaker manieren om dit vertrouwen te misbruiken. Daarom wint Zero Trust aan populariteit.
Bij Zero Trust bepaal je wie er op welk moment en op welke manier toegang mag krijgen. Het stelt je bijvoorbeeld ook in staat om toegang tot (gevoelige) informatie alleen mogelijk te maken als aan bepaalde randvoorwaarden is voldaan; zoals een up-to-date besturingssysteem, een inlog met tweefactorauthenticatie of alleen toegang vanaf bepaalde locaties en systemen. Daarnaast kan het type toegang nog verschillen; bijvoorbeeld op kantoor andere toegang dan wanneer je vanuit huis werkt.
Het is belangrijk om te beseffen dat Zero Trust een strategie is. Het is geen product of dienst. Fabrikanten die hun producten of diensten aanduiden als Zero Trust, kunnen wel helpen om de toegang in te richten zodat deze aan je strategie voldoet.
Factsheet Zero Trust NCSC
Het gebruik van Zero Trust-principes wordt steeds populairder en de noodzaak van het gebruik ervan wordt groter.
Waarom is Zero Trust nodig?
Bedrijven digitaliseren veel van hun processen. Dit zorgt ervoor dat bedrijven steeds afhankelijker zijn van IT-systemen. De traditionele manier van het inrichten van deze IT-systemen levert steeds meer risico op omdat we ten eerste deze systemen op een andere manier zijn gaan gebruiken en ten tweede omdat cyberdreigingen toenemen en cyberaanvallen steeds geavanceerder worden.
-
Een andere manier van werken
De computers, servers met bedrijfsdata en andere randapparatuur van een bedrijf bevonden zich jarenlang op één locatie, meestal het kantoor. Ook het werken met deze systemen gebeurde voornamelijk op deze ene locatie. Traditioneel richt je een bedrijfsnetwerk in om het vertrouwde kantoornetwerk te beschermen tegen de gevaren van het niet-vertrouwde internet. Uiteraard is deze bescherming belangrijk, maar áls een aanvaller weet binnen te dringen in het vertrouwde kantoornetwerk, dan heeft hij daar vaak vrij spel.
Ook is inmiddels voor veel bedrijven het zogenoemde 'hybride' werken niet meer weg te denken. Steeds meer software, en daarmee de bedrijfsdata, verhuizen naar de cloud. Wat we traditioneel als vertrouwd zagen, verplaatst zich dus steeds meer naar het niet-vertrouwde deel.
-
Toenemende en geavanceerdere cyberaanvallen
Steeds meer cyberincidenten halen het nieuws en het gaat dan in veel gevallen om ransomware-aanvallen bij grote of bekende organisaties. Steeds geavanceerdere phishingtechnieken en kwetsbaarheden in software zorgen ervoor dat aanvallers weten binnen te dringen tot een computer van een organisatie om vervolgens ongezien ook andere computers in het bedrijfsnetwerk over te nemen. Dit wordt ook wel 'lateral movement' genoemd en is vooral eenvoudig wanneer er nog sprake is van een traditioneel vertrouwd netwerk.
De toenemende cyberdreigingen en de nieuwe manier van werken zorgen er dus voor dat een strategie als Zero Trust steeds belangrijker wordt. Deze strategie wordt daarom steeds meer aangemoedigd waaronder ook door het Nationaal Cyber Security Centrum (NCSC): “Organisaties die Zero Trust omarmen zijn minder vatbaar voor externe aanvallen en dreigingen van binnenuit”.
Gevaar op zee na hack bij maritieme dienstverlener
Ongeveer een kwart van de olieplatforms in het Nederlandse deel van de Noordzee wordt op afstand bewaakt door Royal Dirkzwager. Maar stel je voor dat de systemen uitvallen en er geen enkel signaal meer binnenkomt op de controlekamer. Dan liggen er mogelijk catastrofale gevolgen op de loer.
In het ondernemersverhaal 'Gevaar op zee na hack bij maritieme dienstverlener' vertelt Nicolas Maes hoe Royal Dirkzwager een veilige omgeving gecreëerd heeft, gebaseerd op zero trust.
Hoe pas ik Zero Trust toe?
Zero Trust kent een aantal principes die je meeneemt bij de (her)inrichting van elke omgeving.
-
Ga uit van een lek (Assume Breach)
Dit principe stimuleert je om nu al na te denken over het slechtste scenario; bedrijfsdata worden door derden ingezien, gestolen, vernietigd of aangepast. Er ligt daarom veel nadruk op monitoring en automatisering. Zo kun je verdachte activiteiten herkennen en automatisch actie ondernemen om schade te voorkomen. Denk bijvoorbeeld aan het automatisch uitschakelen van een gebruikersaccount wanneer deze inlogt van een verdachte of nooit eerder gebruikte locatie.
-
Verifieer bij elke toegang (Verify Explicitly)
Verifieer telkens opnieuw iemands identiteit, authenticatie en autorisatie bij het verlenen van toegang. Of het nu om gebruikers of applicaties gaat, bij iedere toegang vinden deze checks plaats. Zo controleer je grondig of iets of iemand toegang heeft en welke toegang of rechten er verstrekt zijn. Situaties waarbij iemand toegang krijgt omdat deze persoon ooit toegang heeft gekregen tot het kantoorpand, zijn hiermee verleden tijd.
Om dit principe goed te kunnen toepassen, is het belangrijk dat iets of iemand maar één identiteit heeft binnen het bedrijf. Dus niet verschillende gebruikersnamen en wachtwoorden om in verschillende applicaties in te loggen, maar één identiteit om toegang tot meerdere applicaties te krijgen. Voor die ene identiteit zorg je uiteraard dat je sterke authenticatie afdwingt door middel van tweefactorauthenticatie.
-
Verstrek minimale rechten (Implement Least Privilege)
Standaard hebben gebruikers of applicaties vaak meer toegangsrechten dan nodig is. Binnen dit principe probeer je toegangsrechten zo veel mogelijk te minimaliseren naar wat nodig is om het werk te kunnen uitvoeren. Dit principe heet least privilege. Dit beperkt zich niet alleen tot welke toegang maar bekijk ook wanneer er toegang nodig is.
Hoe bereid ik Zero Trust voor?
Zero Trust kun je meestal niet in één dag realiseren. Het is iets waar je naar toe werkt. Een belangrijke voorwaarde is dat de strategie binnen de organisatie en vooral het bestuur of management team omarmd wordt.
Ook Zero Trust heeft uiteindelijk als doel om de 'kroonjuwelen' van je bedrijf te beschermen. Zorg dat je de informatiestromen goed in kaart hebt. Mogelijk kom je bij de implementatie van Zero Trust nog informatiestromen tegen waar je nu nog geen weet van hebt. Zorg dus dat je snel kunt schakelen om verstoring van dit soort processen te voorkomen.
Begin klein. Zero Trust is een andere manier van denken. Je kunt in bestaande omgevingen tegen uitdagingen aanlopen zoals verouderde (legacy-)infrastructuur. Begin daarom met het beperken van de toegang tussen bestaande netwerksegmenten waar vaak meer wordt toegestaan dan noodzakelijk is. Sta je bijvoorbeeld op het punt om te migreren naar de cloud of nieuwe (cloud)oplossingen te integreren? Dan is dit een uitstekend moment om de strategie direct mee te nemen. Zorg in alle gevallen dat je samenwerkt met (IT-)partners die Zero Trust ook (willen) omarmen.
Heb je vragen over Zero Trust?
Op de DTC Community kun je als ondernemer of cyberprofessional kennis vergaren en vragen stellen over diverse cyberonderwerpen. Interessant? Meld je aan voor dit online cyberplatform.