BLOG – Fysieke en netwerkbarrières die ooit bedrijfsomgevingen scheidden van de buitenwereld bestaan niet meer. Identiteiten vormen de nieuwe perimeter. Ze kunnen een aanvalspad vormen naar de waardevolste bedrijfsmiddelen van een organisatie. Om deze complexiteit het hoofd te bieden, bestaan allerlei security-oplossingen en modellen, maar niet alles is wetenschappelijk onderbouwd.
We kunnen hier verandering in brengen door de ‘three-box-solution’ van professor Vijay Govindarajan toe te passen. Het vormt een drietraps-aanpak die een verfrissend eenvoudige oplossing biedt om security-uitdagingen aan te gaan.
Filosofie
De three-box solution is een strategisch raamwerk dat, zoals beschreven in Govindarajans gelijknamige boek, is gebaseerd op een oude hindoeïstische filosofie. Het gaat in op het evenwicht in energie, tijd en middelen in drie domeinen of ‘boxes’, te weten heden, verleden en toekomst. Govindarajan stelt dat hoe meer leiders hun plannen richten op kansen, hoe groter de mogelijkheid wordt om een succesvolle toekomst te creëren.
Het model bevordert niet-lineair denken en gaat uit van een verschuiving in de traditionele perceptie van tijd als een reeks elkaar opvolgende gebeurtenissen. Het suggereert dat organisaties elke dag de toekomst moeten ‘maken’ om die toekomst te bereiken. Dit doe je door het heden te beheren (bestaande processen en systemen optimaliseren), het verleden selectief te vergeten (verouderde praktijken elimineren) en de toekomst te creëren (nieuwe manieren van denken en werken ontwikkelen).
Om succesvol te zijn, moeten leiders specifiek gedrag vertonen op elk punt van dit continuüm, zoals weergegeven in de onderstaande tabel.
| Box 1 | Box 2 | Box 3 |
| Beheer het heden | Vergeet selectief het verleden | Maak de toekomst |
| Focus op het verbeteren en beschermen huidige systemen en processen. Beheer het de huidige omgeving met maximale efficiency en betrouwbaarheid | Laat het verleden achter je door activiteiten, ideeën en houdingen die niet langer relevant zijn los te laten; nieuwe technologie creëert nieuwe kansen en uitdagingen | Innoveer en investeer in nieuwe technologie en methodes om klaar voor de toekomst te zijn. Integreer nieuwe ideeën in producten en creëer nieuwe kansen door hedendaagse best practices te omarmen |
| Acties en gedrag | Acties en gedrag | Acties en gedrag |
1. Definieer goals om maximale prestatie te behalen 2. Gebruik data om inefficiënties te bepalen 3. Optimaliseer om minder met meer te doen | 1. Stimuleer afwijkende ideevorming 2. Maak korte metten met de zo-hebben-we-het-altijd-gedaan-houding | 1. Stimuleer experimenten 2. Test hypotheses over producten, diensten en marktontwikkeling. |
Toepassing op identity security
Wereldwijde organisaties als GE en PepsiCo hebben het three-box-model toegepast om specifieke gebieden van hun bedrijfsvoering te transformeren. Ciso’s en beveiligingsleiders kunnen deze bewezen aanpak ook toepassen om hun strategie voor identity security te verbeteren.
- Box 1: Beheer het heden
Het optimaliseren van beveiligingsmaatregelen voor huidige identiteitssystemen komt in veel gevallen neer op het beschermen van legacy-systemen en verbeteren van monitoring en respons.
Het ontbreekt legacy-systemen vaak aan moderne beveiligingsfuncties, waardoor ze kwetsbaar zijn voor identiteitsgerelateerde aanvallen. Het implementeren van sterke authenticatiemechanismen, zoals multi-factor authenticatie (MFA) en het regelmatig auditen van toegangscontroles zijn cruciale stappen. In sommige gevallen kan men ervoor kiezen om een gateway te installeren om legacy-systemen zichtbaar te behouden en te controleren, aan auditvereisten te kunnen voldoen en oude systemen te isoleren.
Zichtbaarheid is cruciaal. Door uitgebreide monitoringoplossingen te implementeren die realtime inzicht bieden in gebruikersactiviteiten, kunnen beveiligingsteams verdacht gedrag snel detecteren en erop reageren. Beveiligingsteams wenden zich steeds vaker tot AI om privileged access in verschillende omgevingen te beschermen en realtime ondersteuning en begeleiding te bieden.
- Box 2: Selectief oudere identiteitspraktijken vergeten
Het is noodzakelijk om verouderde identiteitsbeheerpraktijken te identificeren en te elimineren. Traditionele benaderingen van identity management leverden vaak buitensporige privileges op waardoor het risico op misbruik toeneemt. Het aannemen van een zero standing privileges (ZSP) model, waarbij gebruikers het minimaal benodigde niveau van privileges krijgen, alleen wanneer dat nodig is, kan dit risico aanzienlijk verkleinen.
Legacy-systemen die niet langer worden ondersteund of veilig te gebruiken zijn, moeten buiten gebruik worden gesteld. Dit verkleint het aanvalsoppervlak en vereenvoudigt de IT-omgeving. Natuurlijk is dit geen makkelijke taak. Bedenk dus een manier om verouderde systemen te isoleren tot alleen die elementen die beperkte toegang nodig hebben. Zo wordt de kans op misbruik van (bekende) kwetsbaarheden kleiner.
- Box 3: De toekomst bouwen met zero-trust en moderne oplossingen voor identity security
Een toekomstgerichte blik betekent nieuwe beveiligingsparadigma’s en -technologieën omarmen. Denk hierbij aan een zero trust architectuur, moderne identiteits- en toegangsbeheer (iam) en zero standing privileges-toegang in multi-cloud-omgevingen.
Het zero-trust-model gaat ervan uit dat bedreigingen overal vandaan kunnen komen en verplicht tot voortdurende verificatie van identiteiten, controle van apparaatstatus en strikte toegangscontroles. Het implementeren van zero trust vereist een verschuiving van het traditionele, op de perimeter gebaseerde beveiligingsmodel naar een model waarbij toegang wordt verleend op basis van dynamische risicobeoordelingen.
Door gebruik te maken van geavanceerde iam-oplossingen die technologieën als biometrie, adaptieve authenticatie (gebaseerd op risiconiveaus) en machine learning ondersteunen, is de identity security aanzienlijk te verbeteren. Deze technologieën bieden nauwkeurigere gebruikersverificatie en kunnen zich aanpassen aan veranderende risico’s en bedreigingen.
Het instellen van precies genoeg machtigingen om te voldoen aan het principe van least privilege (polp) betekentdat rechten beperkt blijven tot wat noodzakelijk is. Het verwijderen van alle permanente toegang en het inschakelen van just-in-time privilege elevation vermindert de risico’s met betrekking tot gevoelige sessies in de publieke cloud aanzienlijk. Bedrijven gebruiken steeds vaker saas-oplossingen om toegang tot de cloud te beheren en operationele efficiëntie mogelijk te maken.
Bart Bruijnesteijn is solutions engineering director North Europe bij CyberArk
