Zero trust is een van de top drie trends uit F5’s State of Application Strategy 2022 rapport en heeft de afgelopen twaalf maanden constant hoog gescoord in Google Trends. Hierdoor is zero trust een van de meest besproken én verkeerd begrepen benaderingen van security sinds “shift left” zijn intrede deed. Zero trust wordt te vaak gelijkgesteld aan een specifieke technologie, zoals software defined perimeter (SDP), of een marktsegment, zoals identity and access management (IDAM).
Toen cloud computing werd geïntroduceerd, zagen we ook deze haast om specifieke technologieën of producten met elkaar te verbinden. ‘Cloud washing’ kwam regelmatig voor en werd vaak gebruikt als denigrerende opmerking over de feitelijke ‘cloudiness’ van een of ander nieuw product.
Zero trust security is, in de kern, een mentaliteit waaruit technieken en tactieken voortkomen die gebruik maken van specifieke technologieën, die vervolgens kunnen worden toegepast om een breed spectrum van beveiligingsrisico’s aan te pakken. Die mentaliteit omvat een reeks aannames, en het gebruik van technologieën is het gevolg van die aannames.
Het implementeren van een technologie als SDP of API-beveiliging betekent niet dat er sprake is van zero trust. Er is geen enkel product dat na installatie plotseling betekent dat een bedrijf “zero trust compliant” is en dus immuun voor aanvallen, inbreuken of exploits. Het is wel zo dat SDP- en API-beveiliging in feite een passend tactisch antwoord kunnen zijn op een zero trust-aanpak. Maar om dat te bereiken moet je beginnen met een aantal basisaannames en vervolgens beslissen wat de beste tools en technologieën zijn die daar logischerwijs uit voortvloeien.
Botbescherming en web- en API-beveiliging maken deel uit van de zero trust-toolbox
Er is al ingebroken
Een zero trust-benadering gaat ervan uit dat inbreuk heeft plaatsgevonden. Legitieme gebruikers met geautoriseerde toegang kunnen in feite gecompromitteerd zijn en daardoor een onbedoelde en zeer kostbare bedreiging vormen. Aanvallers begrijpen dat het meestal gemakkelijker is om door ramen (gebruikers) binnen te komen dan door de voordeur (bedrijfsnetwerk). Gebruikers staan voortdurend onder dreiging te worden gecompromitteerd en dus is de aanname dat dit al gebeurd is de veiligste weg. De reeks mogelijke acties vanaf een getroffen bedrijfslaptop of mobiele telefoon is talrijk; van het opstarten van aanvallen op websites en apps die proberen malware, ransomware en whatever-comes-next-ware te delen tot het uitbuiten van kwetsbaarheden om toegang te krijgen. Omdat mobiele en webgebaseerde apps steeds vaker via API’s toegang krijgen tot bedrijfsapps en -systemen, wordt het belangrijk om ook verkeer dat afkomstig is van legitieme, geauthenticeerde gebruikers te inspecteren om te bepalen of het al dan niet kwaadaardig is. Dat maakt web- en API-beveiliging tot een logische keuze om dit risico beter af te schermen.
Inloggegevens geven geen zekerheid
Een zero trust-benadering gaat ervan uit dat inloggegevens niet voldoende zijn. Of een gebruiker nu mens, machine of software is, een zero trust-aanpak gaat ervan uit dat zelfs als legitieme inloggegevens worden gepresenteerd, de daadwerkelijke gebruiker mogelijk niet legitiem is. Credential stuffing is immers een voortdurend probleem waarbij gebruik wordt gemaakt van legitieme maar gestolen inloggegevens. Dagelijks worden er gemiddeld een miljoen gebruikersnamen en wachtwoorden gemorst of gestolen. Uit onderzoek van F5 blijkt dat 0,5 – 2 procent van een lijst met geschonden inloggegevens bij een gerichte aanval op een website of mobiele app succesvol is. Daarom moet een zero trust-aanpak stappen ondernemen om niet alleen de inloggegevens, maar ook de identiteit van de gebruiker te verifiëren. Dit betekent het signaleren van bots die zich voordoen als legitieme gebruiker maar een wolf in schaapskleren zijn. Tactisch leidt dit ertoe dat botbescherming of botdetectie een belangrijke rol speelt in een zero trust-aanpak.
Alles verandert continu
Een zero trust-benadering gaat ervan uit dat verandering constant is. Zero trust verwerpt de veronderstelling dat zodra een gebruiker is geverifieerd en toegang tot een bron is toegestaan, er geen risico meer is. Elke transactie wordt als riskant beschouwd en geëvalueerd met betrekking tot de inhoud ervan en de gebruiker die ze verstuurt. Sessie hijacking is immers een beproefde aanvalsmethode. Constante waakzaamheid is het motto van zero trust (of zou dat moeten zijn), wat inhoudt dat men voortdurend op zoek is naar kwaadaardige inhoud. Dit maakt web- en API-beveiliging samen met botdetectie tot cruciale onderdelen van een zero trust-aanpak.
Nu leidt deze aanpak ook tot andere hulpmiddelen en technologieën, zoals SDP en identiteits- en toegangscontrole, netwerkfirewalls en CASB, en een groot aantal andere oplossingen die bekende risico’s beperken en die natuurlijk voortvloeien uit deze aannames. Maar je kunt niet slechts één daarvan implementeren en je zero trust-initiatief afronden. Zero trust omarmen als een mentaliteitsverandering die leidt tot risicominimalisering is niet perfect – geen enkele methode is dat – maar het brengt je verder op weg naar een groter aanpassingsvermogen en een snellere en succesvollere aanpak van nieuwe en opkomende aanvallen.
Lori MacVittie, Distinguished Engineer bij F5
