Zero-trust mag dan een term zijn die vaak verkeerd begrepen en gebruikt wordt, een zero-trust-aanpak blijft waardevol om systematische cyberrisico's te verminderen en de weerbaarheid van je organisatie te verbeteren. In de transitie naar de cloud is een zero-trust-aanpak zelfs onmisbaar bij het waarborgen van een veilige cloud-omgeving.
Sommige leveranciers beweren dat zero-trust alleen te maken heeft met identiteits- en toegangsbeheer. Bijvoorbeeld hoe een bedrijf geautoriseerde gebruikers toegang geeft tot bronnen en systemen. Hoewel dat zeker een onderdeel is van zero-trust, is het slechts één onderdeel van wat moet worden gezien als een grotere strategie die rekening houdt met alle risicogebieden waarin het bedrijf opereert, zoals identiteit, infrastructuur, product, processen en toeleveringsketen.
Elke beveiligingsprofessional zal je vertellen dat te veel vertrouwen op technologiearchitecturen en netwerken historisch gezien een slecht idee is geweest. Een vertrouwd netwerk dat verbonden is met uw datacenternetwerk kan worden gecompromitteerd, een eindpunt gehackt en een vertrouwde gebruiker met de sleutel tot jouw koninkrijk kan zomaar veranderen in een onbetrouwbare binnendringer.
Zero-trust biedt de strategische aanpak om al het impliciete vertrouwen tussen technologische entiteiten te elimineren.
Is zero-trust dan zo eenvoudig als een oproep voor meer beveiliging? De hamvraag is nooit geweest óf organisaties zero-trust moeten omarmen, maar meer hóé ze dit zouden moeten doen. Waar moet je beginnen en hoe ga je om met de kosten en de wellicht geringe bereidheid tot verandering binnen de organisatie?
Black swans
Uit mijn ervaring blijkt dat organisaties die zero-trust met succes hebben omarmd, hun programma’s eerst op risicomanagement hebben gericht. Omdat ik meer dan tien jaar voor een grote financiële dienstverlener heb gewerkt, heb ik risicomanagement goed leren kennen – en dan vooral dat kleine gebeurtenissen soms schade kunnen toebrengen aan een hele organisatie of zelfs bedrijfstak.
Dergelijke systematische gebeurtenissen, ook wel ‘black swans’ genoemd, zijn recentelijk ook binnen onze cybersecurity-metaverse gewoon geworden. Ransomware-aanvallen en incidenten in de toeleveringsketen zijn mogelijk de meest zichtbare symptomen van de risico’s die we dagelijks in het nieuws zien. Die risico’s zijn een goede focus voor je zero-trust-programma.
Dit soort technologische systematische risico’s kunnen zich in meerdere situaties voordoen:
- Single point of failures
Hieronder vallen in ieder geval de belangrijkste componenten die de ruggengraat van je infrastructuur vormen. Een onveilige of slecht ontworpen active directory, web-single sign-on of dns-infrastructuur kan snel ontaarden in een nachtmerrie.
- Verouderde software-monoculturen
Besturingssystemen, firmware en software die door grote delen van de organisatie worden gebruikt en niet regelmatig worden gepatcht: één enkele kwetsbaarheid kan leiden tot een catastrofaal ransomware- of sabotagerisico.
- ‘Flat networks’-effect
Een organisatie zonder goede segmentatie of netwerkcontrole over it (denk aan al uw onbeheerde apparaten), ot en iot. Makkelijk spel voor elke indringer of virus/ransomware.
Weerbare organisatie
Als ik uit zou moeten leggen hoe je de cybersecurity van je organisatie optimaliseert, dan zou ik dat als volgt doen: om een weerbare organisatie te creëren, moet van cybersecurity een systeem worden gemaakt en niet een afgezonderde doelstelling. Leg bijvoorbeeld niet al je focus op het testen van de effectiviteit van je sandboxcontrole. Geef in plaats daarvan prioriteit aan hoe je sandbox is geïntegreerd met andere beveiligingscontroles in je organisatie. Besteed ook geen miljoenen aan het pentesten van je meest kritieke applicatie als deze applicatie in hetzelfde netwerk is verbonden met een iot-apparaat van een miljoen dollar en op de server enkele extra blootgestelde diensten draait.
De manier waarop netwerkbeveiliging in het verleden werkte was dat alles binnen de organisatie werd vertrouwd, en alles daarbuiten niet – beveiliging werd alleen toegepast aan de grenzen van de organisatie. Dat model werkt niet meer met externe werknemers, cloud, edge en mobiele toegangseisen.
Al deze omgevingen zijn tegenwoordig rechtstreeks verbonden met het internet. Maar ze missen allemaal zelfs de meest elementaire beveiligingscontroles zoals segmentatie of inbraakdetectie. De reden hiervoor is dat het testen of invoeren van individuele controles en beleidsmaatregelen tot hoge kosten leidt, waardoor de meeste cybersecuritycontroles voor organisaties onbetaalbaar zijn.
Devops invoeren
Het vervangen van legacy-connectiviteit of een gedateerde beveiligingsstack is een grote stap en soms is er een harde (ransomware) duw nodig om die stap te maken. Nu organisaties in toenemende mate werklasten, toepassingen en gebruikers naar de cloud verplaatsen en devops invoeren, is dit het juiste moment om je cybersecurity vanaf het begin te ontwerpen en niet achteraf bij te spijkeren.
Een systematische aanpak in deze context vereist dat je, naast de beveiliging van je productieomgeving, de beveiliging van je ci/cd-pijplijn en de integratie van beveiligingscontroles zo vroeg mogelijk in de pijplijn in acht neemt. Laten we een paar vragen formuleren in zero-trust taal, die je zou moeten kunnen beantwoorden als je beveiliging in de devops en cloudomgevingen serieus neemt:
- Vertrouw je erop dat het apparaat van je software engineer niet gecompromitteerd is?
- Vertrouw je erop dat je code repository niet gecompromitteerd wordt?
- Vertrouw je op de integriteit van de code tijdens het ontwikkelings- en implementatieproces?
- Vertrouw je je infrastructure-as-code (iac) template of docker container van derden? Vergeet niet dat gemiddeld de helft daarvan kwetsbaarheden bevat.
- Hoe zit het met andere afhankelijkheden van softwaretoepassingen die in je projecten worden gebruikt?
- Vertrouw je erop dat aan jouw identiteiten de juiste rechten worden toegekend?
- Vertrouw je erop dat je code wordt gecontroleerd op beveiliging of verkeerde configuraties, zoals hardcoded credentials, te geprivilegieerde netwerkinstellingen etc.?
- Vertrouw je erop dat je microservices orchestrator niet gecompromitteerd is?
Wacht niet te lang met het beantwoorden van deze vragen en bouw je zero-trust-strategie aan het begin van je reis naar devops en de cloud.
Zero-trust betekent vooral wantrouwigheid en dat is meer een organisatorische verandering dan een technische. Zero-trust heeft daarom vooral te maken met identiteits- en toegangsbeheer welke bij de fysieke deur van de organisatie begint. Dus wie is Mark van Leeuwen?
Oja, tegenwoordig werken we allemaal buiten de deur van de organisatie waardoor de ruggengraat van de infrastructuur het openbare netwerk is. En hoe graag de werkgever ook achter de deur van de werknemer kijkt er is nog zoiets als het recht om onbespied te mogen leven.
Wantrouwigheid als maatschappelijke verandering klinkt opeens niet zo leuk meer.