• 23 juni 2020

Zero trust: zo beheerst u de risico’s

Als het gaat om security is niets of niemand te vertrouwen. Ook medewerkers kunnen – bewust of onbewust – voor een datalek zorgen. Maar zakendoen is niet mogelijk zonder vertrouwen. De mate van vertrouwen moet dan wel passen bij het risico. Hoe stemt u die twee op elkaar af?

In de beginfase van het internet was security nog overzichtelijk: je had het interne netwerk met de good guys, en de buitenwereld met de bad guys. Een firewall hield die twee werelden strikt van elkaar gescheiden. Kwaadwillenden werden tegenhouden aan de perimeter van het netwerk.

Aan die overzichtelijke situatie kwam al snel een einde. Zo maakten we ‘gaatjes’ in de firewall om medewerkers van op afstand toegang te geven tot bijvoorbeeld e-mail. De good guy zat dus ook buiten. De digitale transformatie zorgde er vervolgens voor dat medewerkers altijd en overal kunnen werken, met data en systemen die zich on-premises, onderweg en in de cloud bevinden. En niet alleen gebruikers maar bijvoorbeeld ook IoT-devices genereren data.

Wie kan ik vertrouwen?

Die transformatie had gevolgen voor het vertrouwen dat we kunnen stellen in gebruikers, data en systemen. Want is die good guy die onderweg inlogt niet stiekem een cybercrimineel met gestolen inloggegevens? Dat is met het blote oog niet te controleren. En is het mobiele apparaat van die gebruiker dan nog wel een trusted device? En wat is er met de data gebeurd?

Daar komt bij dat de securitydreiging lang niet altijd alleen van de cybercriminelen komt. Soms zorgt een medewerker voor een datalek, bijvoorbeeld door een e-mail met vertrouwelijke gegevens naar de verkeerde personen te sturen. Of door gegevens per ongeluk te publiceren. Uit het Data Breach Investigations Report 2019 van Verizon blijkt dan ook dat insiders verantwoordelijk zijn voor bijna 20 procent van de beveiligingsincidenten en voor 20 procent van de bevestigde inbreuken.

Never trust, always verify

Tegen deze achtergrond kwam ‘zero trust’ ongeveer een decennium geleden opzetten als benadering voor netwerkbeveiliging. Dit concept gaat uit van het principe dat je niets en niemand kunt vertrouwen, en alles moet verifiëren. Never trust, always verify.

 Zero trust behandelt alle gebruikers alsof ze van het open internet komen, en laat ze voor ieder toegangsverzoek het volledige authenticatie- en autorisatieproces doorlopen. Bij een geslaagde authenticatie krijgt de gebruiker toegang tot een microsegment op het netwerk, met zo min mogelijk bewegingsvrijheid en met niet meer rechten dan strikt noodzakelijk.

Binnen de micosegmenten is er dus sprake van een beperkte mate van vertrouwen. Dat vertrouwen hebben medewerkers of partners nodig om het werk gedaan te krijgen. Zonder vertrouwen geen business. Hoeveel vertrouwen is afhankelijk van het risico dat een organisatie bereid is om te aanvaarden. Bijvoorbeeld de impact van en kans op een datalek bepalen het risico.

Digital risk management

Het bepalen van de mate van vertrouwen op basis van de risico’s – die nooit gelijk blijven – is een continu proces. In dat proces zijn drie stappen te onderscheiden:

  1. In kaart brengen
    Verzamel zoveel mogelijk gegevens over de digitale omgeving van uw klant: de gebruikers, de apparaten die toenadering zoeken tot het netwerk, de applicaties, de gebruikersactiviteiten, et cetera. Deze gegevens helpen bij het opstellen van één centraal en accuraat beleid voor autorisatie en authenticatie.
  1. Inzicht creëren
    De verzamelde gegevens gebruikt u ook voor de risk-assessment. Aan welke dreigingen staan bijvoorbeeld de gebruikers, endpoints en applicaties bloot die u in stap 1 in kaart heeft gebracht? Hoe groot is de kans dat iemand ongeoorloofd toegang krijgt tot een applicatie, en wat is dan de impact op de business van uw klant?
  1. Actie ondernemen
    De volgende stap is het ondernemen van actie. Als u weet wat het risico is, kunt u bepalen hoeveel vertrouwen u een gebruiker of systeem binnen een microsegment geeft. Is het risico hoog? Dan hoort daar misschien extra strenge authenticatie bij met behulp van multifactorauthenticatie. En beperkte rechten voor de gebruiker.

Reis naar zero trust

Zero trust is zoals gezegd een concept en niet een product dat u aan uw klanten kunt verkopen. Securityspecialist RSA biedt wel de oplossingen die u nodig heeft voor het bepalen van vertrouwen op basis van de risico’s. Zo kunt u met het RSA NetWitness Platform dreigingen identificeren en met RSA Archer de risico’s kwantificeren en evalueren. Met de RSA SecurID Suite en de RSA Fraud and Risk Intelligence Suite richt u de toegangscontrole en het authenticatieproces in.

Hulp nodig op de reis naar zero trust? Neem dan contact op met Tech Data.

 

  • Algemeen