De cyberrisico’s die de coronacrisis met zich meebrengt en de groeiende netwerkcomplexiteit zijn niet onopgemerkt voorbijgegaan aan ceo’s en cfo’s. Volgens een recente enquête door Deloitte onder managers op C-level kreeg bijna driekwart van alle organisaties alleen al in 2021 met één of meerdere cyberincidenten te maken. De cyberbedreigingen en het onvermogen van organisaties om indringers te weren zorgen voor een onrustig gevoel bij managers.
Dit gevoel van onrust, gevoed door het wantrouwen, is waarschijnlijk een van de belangrijkste redenen waarom de term zero-trust getergde ceo’s en cfo’s aanspreekt. Die hebben namelijk het vertrouwen in alles en iedereen binnen hun netwerk zo goed als verloren. Als ze simpele uitspraken horen als ‘vertrouw niets en verifieer alles’, dan worden ze dolenthousiast en geven ze hun security-team spontaan opdracht om dit in de praktijk toe te passen. En het liefst gisteren nog.
Bij ict-managers en security-professionals maakt de term zero-trust een andere emotie los, namelijk kille haat. De ceo vindt het concept fantastisch vanwege zijn relatieve eenvoud en wil er snel mee aan de slag. Maar in de praktijk is het allesbehalve eenvoudig om helder te krijgen hoe zero-trust precies moet worden toegepast. Dit vraagt om ingrijpende veranderingen. Beveiliging van enkel de netwerk edge moet worden ingeruild voor een security-model waarbij de identiteit van zowel interne als externe gebruikers herhaaldelijk wordt geverifieerd voordat zij toegang tot it-bronnen krijgen. Dit vraagt zowel om een verandering van zienswijze als de toepassing van nieuwe technologie.
Maar of zero-trust nu prettige gevoelens of wanhoop opwekt, er bestaat nauwelijks twijfel over dat dit concept de toekomst van netwerkbeveiliging vertegenwoordigt. We leven in een hyperverbonden wereld waarin de edge voor de meeste organisaties volledig in rook is opgegaan. En ondertussen worden cyberbedreigingen steeds slimmer en geavanceerder. Outsiders die proberen om firewalls aan de edge te doorbreken om toegang tot het bedrijfsnetwerk te krijgen maken plaats voor gerichte phishing-aanvallen, malware en andere technieken die insiders (vertrouwde gebruikers of applicaties) tot een cyberwapen kunnen omvormen. Zelfs de meest ondoordringbare beveiliging aan de netwerk edge kan weinig tegen dit soort bedreigingen uithalen.
Grote muur
In het verleden hadden netwerken veel weg van kastelen. Een grote muur met maar enkele poorten waren voldoende om het netwerk, de data en de gebruikers veilig te houden. Maar in het tijdperk van iot en thuiswerken beginnen ze meer op steden te lijken. De grote muur is afgebroken en er zijn vele wegen aangelegd om het de gebruikers en de benodigde datastromen zo makkelijk mogelijk te maken. Dat betekent dat security-teams moeten denken als burgemeesters in plaats van kasteelheren. Zaken in kaart brengen, coördineren en voorbereiden krijgt nu voorrang boven het bouwen van stenen vestingmuren. Dat is de kern van de uitdaging van organisaties die op zero-trust willen overstappen.
Hoewel zero-trust toegevoegde waarde kan bieden voor organisaties in alle sectoren bestaat er geen universele oplossing. Zero-trust vraagt om een meerjarige inspanning waarbij alle voordelen, de bestaande mogelijkheden en de meest relevante toepassingsscenario’s in kaart worden gebracht. Het vraagt om het doorlopen van diverse niveaus van beveiliging en vertrouwen, waaronder het personeel, data en applicaties, apparaten, en het netwerk zelf.
In tegenstelling tot een puur technologische oplossing vraagt zero-trust om uitgebreide veranderingen qua bedrijfscultuur. Organisaties moeten verder kijken dan technologie en zachtere aspecten omarmen. Dan valt te denken aan interne communicatie, trainingsprogramma’s, voorlichting en wijzigingen van bedrijfsprocessen. Hun zero-trust-strategie moet bovendien worden afgestemd op de business en volledig worden gesteund door het management en andere belanghebbenden.
Overstap
De toenemende belangstelling voor zero-trust en het groeiende besef van de noodzaak daarvan hebben geresulteerd in de komst van nieuwe oplossingen die de overstap op een zero-trust-omgeving vereenvoudigen. Deze oplossingen maken het mogelijk de beveiliging uit te breiden van gebruikers naar workloads en netwerken op locatie en in de cloud. Er zal zoals altijd flink wat werk moeten worden verricht om inzicht te verwerven in applicaties en gebruikers, maar het goede nieuws is dat de zero-trust-oplossingen diverse aspecten van de implementatie van zero-trust ingrijpend kunnen stroomlijnen. Het uiteindelijke doel is om overzicht te verkrijgen en de principes van zero-trust toe te passen op elk punt binnen het netwerk.
Hoewel zero-trust een ogenschijnlijk simpel concept is (vertrouw geen gebruikers, apparaten of applicaties) is het inrichten van de ondersteunende architectuur niet makkelijk. Maar wat je ook van zero-trust mag vinden, het concept biedt wel de weg naar een veiliger toekomst.
Vertrouw niets, verifieer alles is een mooi uitgangspunt maar wat kost het? Het is geen kille haat bij ict-managers en security-professionals maar gewoon realisme dat C-level management alles wil maar nergens voor wil betalen want het fundamement van een beveiligingsbeleid is nog altijd het budget. En laten we eerlijk zijn, de laatste jaren hebben we niet alleen op digitale veiligheid bezuinigd want ‘wir alle sind Brüder’ waren we te goed van vertrouwen. Oja, de auteur doet er goed aan om ook eens naar reacties te kijken want het verschil tussen een concept en een strategie gaat om de som der delen.
Ik kan me trouwens vinden in het idee dat netwerken geen kastelen meer zijn waar je na één keer identificeren bij de ophaalbrug een onbeperkte toegang hebt tot alle kasteelkamers. Sowieso een verkeerde voorstelling van de realiteit als we kijken naar alle logische en fysieke scheidingen en de organisatorische problemen hierin. We weten tenslotte niet wie erin het paard van Troje zaten maar wel tot welke partij ze behoorden als het om de verificatie van zowel de persoon als het apparaat gaat. Zo heet ik Repelsteeltje, zo heet ik Japie want kijkend naar het huis is er nog zoiets als een fundament in IdM;-)