BLOG – De migratie naar zero-trust krijgt voet aan de grond binnen de (inter)nationale cybersecuritygemeenschap. Bijna negentig procent van organisaties wereldwijd is begonnen met het implementeren van de basis van een zero-trust-beveiligingsmodel. In het Forrester 2024-rapport voorspellen analisten dat functies met ‘zero-trust’ in de titel naar verwachting in het komende jaar verdubbelen.
De behoefte aan zero-trust authentication (zta) is nog nooit zo groot geweest. Traditionele netwerkbeveiliging wordt steeds kwetsbaarder in huidige bedrijfsomgevingen; de post-Covid digitale transformatie, software supply-chains, op afstand werken en bring your own device-afspraken hebben het aanvalsoppervlak vergroot. Resultaat: cyberaanvallen in de cloud zijn in 2022 met bijna de helft toegenomen. Ondertussen werden datzelfde jaar meer dan tien miljoen mensen getroffen door aanvallen in de supply-chain.
Door zero-trust-principes te volgen, creëren organisaties een dynamische vorm van security om gevoelige data te beveiligen
Zta neemt afscheid van op netwerkperimeter gebaseerde securitycontroles. In plaats daarvan wordt de verdediging van binnenuit opgebouwd om de beveiliging rond bedrijfskritische data te versterken. Het geeft de voorkeur aan voortdurende verificatie en levert verbeterde bescherming door middel van gebruikersverificatie, het principe van de minste privileges, datasegmentatie en voortdurende monitoring. Door zero-trust-principes te volgen, creëren organisaties een dynamische vorm van security om gevoelige data te beveiligen – ongeacht de locatie van de gebruiker of het toegangspunt tot het netwerk.
Complexiteit
Onthoud wel dat de implementatie van een zero-trust-raamwerk een grotere complexiteit met zich meebrengt. Dit vanwege de behoefte aan extra beleidsregels, workflows en onderhoudstaken. Organisaties moeten hun it-medewerkers (van wie velen hun carrière zijn begonnen in het traditionele netwerkbeveiligingstijdperk) zo positioneren dat ze de zero-trust-implementatie kunnen faciliteren. Dat begint met ervoor te zorgen dat ze worden getraind op de fundamentele pijlers van Cisa’s (Certified Information Systems Auditor) zero-trust maturity model: identiteit, apparaten, netwerk, gegevens en toepassingen/werklasten. Daarnaast moeten de ‘silo’s’ tussen beveiligingsteams worden doorbroken om zo de effectiviteit van zero-trust te bevorderen.
Het omarmen van een nieuw securitymodel zonder overgangsmaatregelen kan de securityhouding negatief beïnvloeden. Bij- en herscholingstrainingen over het zero-trust-beleid zijn cruciaal voor het uitvoeren van de implementatie. Deze trainingen helpen eventuele onderliggende vaardigheidstekorten binnen beveiligingsteams op te vullen en zorgen ervoor dat ze een goed begrip hebben van de processen en technologieën. Denk aan oplossingen voor identity access management, multi-factorauthenticatie, endpointbeveiliging, cloudbeveiliging, et cetera. De bruikbare richtlijnen stemmen hun expertise af op de unieke behoeften van de beveiligingsomgeving van de organisatie.
Financieel
Vanuit financieel oogpunt kan training op basis van vaardigheden helpen de kosten te verlagen die gepaard gaan met de implementatie van zero-trust. Uit recent onderzoek blijkt dat de gemiddelde kosten voor organisaties om over te stappen op zero-trust hoger lagen dan zo’n 600.000 euro. Op vaardigheden gebaseerde trainingsprogramma’s kunnen op maat worden gemaakt om te focussen op het gebruik van de huidige infrastructuur ten behoeve van het herconfigureren (en valideren) van security-architecturen voor zero-trust-implementatie. Deze kennis stelt securityteams ook in staat om tekortkomingen in bestaande oplossingen te identificeren, analyseren en begrijpen die zero-trust-workflows zouden kunnen verstoren.
Om van zero-trust een succes te maken, dient het een culturele prioriteit te worden op elk niveau van de onderneming. Het vereist een security-first-mentaliteit die verder gaat dan alleen it-medewerkers. Iedereen speelt een rol in de verdediging van de gevoelige data van multi-cloud-omgevingen. Bewustzijnstrainingen voor gebruikers die cloudsecurity en zero-trust-principes combineren, zijn van groot belang. Ze wapenen niet-technische medewerkers met de kennis en middelen die ze nodig hebben om zich niet alleen aan te passen aan een zero-trust-omgeving. Vereenvoudigde instructies helpen de technische aspecten van beveiliging te versimpelen en biedt een basis om actief deelnemer aan het zero-trust-model te worden.
Ryan Chapman is certified instructor bij Sans
Zero trust, heel verhaal waarom je daarop zou moeten vertrouwen.
En dan nog zonder op de contradictie in te gaan.
Post-Covid digitale transformatie die het aanvalsoppervlak vergroot zou hebben.. en wat doe je dan :
de beveiliging onafhankelijk maken van de de locatie, zodat je overal kwetsbaar bent 😛
Daarna proza over complexiteit. Extra beleidsregels, workflows en onderhoudstaken. Mensen die wel eens in de
ICT werken weten dat daar wel eens e.e.a misgaat 🙂
Nog eventjes silos doorbreken “om zo de effectiviteit van zero-trust te bevorderen.” want
“Het omarmen van een nieuw securitymodel zonder overgangsmaatregelen kan de securityhouding negatief beïnvloeden”.
Allerlei trainingen die nodig zouden zijn..
Je wilt toch juist een model waarbij zo min mogelijk training nodig is lijkt me dan.
Foutjes zijn nl snel gemaakt.
Blijkbaar ligt het anders : “Om van zero-trust een succes te maken, dient het een culturele prioriteit te worden op elk niveau van de onderneming. Het vereist een security-first-mentaliteit die verder gaat dan alleen it-medewerkers.”
Ben ik de enige die wat risico’s ziet ?
Verhaal lijkt mij een pleidooi om het vooral niet in te voeren.
Wij van WC-eend adviseren WC-eend want een gecertificeerde instructeur pleit voor eigen boterham. Met dikke letters zou hier dan ook een waarschuwing boven moeten staan dat het om een advertorial gaat. Want de content marketing voor een beveilingsmodel waar het commmerciële circus van certificeringen aangehangen wordt gaat vooral om een vertrouwen in papieren tijgers.
Wat betreft de financiële paragraaf is een zin zoals: “Uit recent onderzoek blijkt dat de gemiddelde kosten voor organisaties om over te stappen op zero-trust hoger lagen dan zo’n 600.000 euro.” dan ook lekker duidelijk want de prijs van al dat wantrouwen zal uiteindelijk vergeleken moeten worden met een vertrouwen in de zwakste schakel, de mens blijft het probleem.
Vanuit financieel oogpunt drukken de opleidingskosten steeds harder op de balans want vroeger was alles veel eenvoudiger, de zero-trust in maatschappelijke organisaties slaat ondertussen door als ik kijk naar verplichtingen. En dan heb ik het niet over een EHBO diploma maar de certificeringen van een quartaire sector welke kennis gerelateerde activiteiten als verdienmodel gebruikt.
Op vaardigheden gebaseerde trainingsprogramma’s op maat maken kan tenslotte heel goed als we het praktijkonderwijs verlossen van zoiets als een zero-trust-model op basis van nietszeggende papieren tijgers want vertrouwen komt nog altijd te voet en gaat ter paard.