Vrijwel alle it komt uit de cloud. Daarmee kunnen werknemers overal en op ieder apparaat samenwerken en hebben ze toegang tot de informatie en applicaties die ze nodig hebben voor hun werk. Hoewel deze flexibiliteit ons anders heeft doen nadenken over productiviteit, levert het ook nieuwe uitdagingen rond cybersecurity op.
Traditioneel werden bedrijfsgegevens opgeslagen in eigen datacenters, beschermd door securitytools aan de rand van het bedrijfsnetwerk. Denk aan firewalls. Maar nu steeds meer werknemers apparaten en netwerken gebruiken die niet beheerd worden door het eigen it-team van een organisatie, is deze aanpak achterhaald.
Om hiermee om te gaan, kijken organisaties naar een pakket van securitytechnieken en -oplossingen, zoals device management, antivirussoftware, single sign-on en multi-factorauthenticatie. Sommige leveranciers claimen dat dit soort oplossingen gezamenlijk een soort zero-trust-aanpak creëren, waarbij apparaten en gebruikers pas worden vertrouwd en toegang krijgen tot bedrijfsapplicaties en -gegevens nadat meerdere risiconiveaus zijn gecontroleerd. Dit is niet hoe je zero-trust op een goede manier aanvliegt. Hieronder enkele bekende misvattingen over zero-trust:
- Alleen omdat een apparaat wordt beheerd, wil nog niet zeggen dat het te vertrouwen is
Organisaties beheren hun apparaten vaak, om zo hun endpoints te beveiligen. Het idee is dat als je controle hebt over de endpoints van je medewerkers, ze ook veilig zijn. Maar dat is niet voldoende. Hoewel device management-tools bijvoorbeeld updates naar besturingssystemen en apps kunnen pushen, bieden ze geen real-time inzicht in het risiconiveau van een endpoint. Zero-trust werkt echter alleen maar als er continu inzicht is in de risicostatus van een endpoint, zodat er weloverwogen beslissingen genomen kunnen worden over waar een gebruiker via dat apparaat wel en geen toegang toe heeft.
- Alleen omdat op een apparaat antivirussoftware draait, wil nog niet zeggen dat het vrij is van dreigingen
Malware is slechts een van de vele manieren waarop een aanvaller een organisatie kan compromitteren. Om detectie te omzeilen, gebruiken aanvallers vaak geavanceerdere tactieken. Bijvoorbeeld het creëren van achterdeurtjes in de systemen die toegang via internet bieden, zoals het remote desktop protocol (rdp) of een virtual private network (vpn). Ze kunnen ook misbruik maken van kwetsbaarheden in besturingssystemen of applicaties om toegang tot een endpoint te krijgen.
- Alleen omdat iemand het juiste id en wachtwoord heeft, wil dat nog niet zeggen dat hij ook die gebruiker is
Een andere manier waarmee aanvallers toegang proberen te krijgen tot een endpoint of account, is via social engineering. Er zijn talloze kanalen om phishing-aanvallen naar een gebruiker te sturen, zoals sms-berichten, e-mail, sociale-mediaplatforms en zelfs dating- en gaming-apps. Omdat medewerkers via hun mobiele telefoon toegang hebben tot allerlei zakelijke apps zoals bijvoorbeeld Microsoft Office 365, Slack, ServiceNow en SAP SuccessFactors kunnen deze accounts op deze manier worden gecompromitteerd.
Dit vraagt om een geïntegreerde oplossing die de context rond het gedrag van een gebruiker herkent. Met geïntegreerde data loss prevention (dlp; waarschuwingssysteem) en user behavior and entity analytics (ueba; cyberbeveiligingsproces voor het detecteren van bedreigingen) kunnen securityteams precies zien welke gegevens een gebruiker wil benaderen, of de toegangsrechten van deze gebruiker daar wel op aansluiten of zijn gedrag ‘normaal’ is. Zonder deze contextuele informatie is het onmogelijk te controleren of een gebruiker ook inderdaad is wie hij zegt te zijn. Het is dan ook niet mogelijk om zero-trust af te dwingen.
- Alleen omdat we ze kennen, wil nog niet zeggen dat ze geen risico vormen voor uw organisatie
Zelfs als is vastgesteld dat een apparaat of endpoint legitiem is, betekent dit nog niet dat ze geen bedreiging vormen voor een organisatie. Dreigingen kunnen ook afkomstig zijn van interne gebruikers, al dan niet opzettelijk. Een goed voorbeeld daarvan is intellectueel eigendom van Pfizer over coronavaccins, dat werd gestolen door een werknemer. Daarnaast kunnen medewerkers ook gemakkelijk per ongeluk informatie delen met onbevoegden.
Onbedoeld
De interconnectiviteit via de cloud heeft de kans op gebruikersfouten en op gecompromitteerde accounts vergroot. De gevolgen daarvan kunnen serieus zijn, omdat gegevens razendsnel zijn te verplaatsen. Daarom zijn technieken zoals dlp en ueba essentieel, evenals de mogelijkheid om vast te stellen of een account is gecompromitteerd. Het gaat ook niet altijd om opzettelijke acties door iemand binnen de organisatie, ieder van ons kan makkelijk onbedoeld content delen met niet-geautoriseerde gebruikers.
Hierboven staan de meest voorkomende misvattingen over zero-trust beschreven, een concept dat de kern zou moeten vormen van de security-aanpak voor iedere organisatie. Deze lijst is niet volledig, maar geeft wel aan dat het verstandig is goed te kijken naar leveranciers die beweren met één enkele tool de uitdagingen rond een remote-first omgeving op te kunnen lossen.
Zero-trust zou moeten bestaan uit een optimaal op elkaar afgestemde set van – bij voorkeur geïntegreerde – technieken en oplossingen. Alleen daarmee is de toegang tot bedrijfsinformatie goed te beheren en te controleren.
Zero trust is een beveilingsprincipe wat om een set aan geïntegreerde technieken & policies gaat welke begint bij de gebruiker omdat deze meerdere apparaten kan hebben. Wat betreft principes als product verkopen wijzen wij als WC-eend op de verschilende puzzelstukjes hierin die elk eigen voorwaarden hebben. Zie diagram halverwege de onderstaande link omdat een plaatje meer zegt dan duizend woorden:
https://www.microsoft.com/nl-nl/security/business/zero-trust/
Oja, een ‘single strong source of user identity’ is tegenwoordig veelal biometrie omdat volgens NIST, NCSC e.e.a dit de enige identificatie met zekerheid is maar zo’n source wil/mag je niet in de cloud zetten zonder waterdichte garanties dat deze bijzondere persoonsgegevens niet oneigenlijk overdragen worden aan derden. En hetzelfde geldt voor de telemetrie aangezien deze gegevens kan bevatten welke als persoonsgegevens beschouwd kunnen worden. Dat kan de onlosmakkelijke koppeling van het apparaat aan de persoon zijn maar end-to-end zitten er aan de achterkant ook nog lijntjes wat om logging van toegang gaat waarin meestal geen sprake is van pseudonimisering.