Zo onderhand weten we dat het beveiligen van het digitale hek rond een organisatie niet meer volstaat. Vroeg of laat komt er altijd wel iemand doorheen en dan is detectie natuurlijk essentieel. Een interessante cybersecurity-ontwikkeling is Zero Trust: uitsluitend te vertrouwen gebruikers en devices krijgen toegang – zowel van buiten naar binnen als intern. Zonder vertrouwen – zero trust – geen toegang.
Zero trust betekent dat het vertrouwen ook steeds bevestigd moet worden en er dus voortdurend geverifieerd moet worden of de gebruiker is wie hij lijkt te zijn. Hoe belangrijk dit is laat een zeer recent datalek bij uitkeringsinstantie UWV zien. Begin mei 2019 zijn via de UWV-website 117.000 cv’s gelekt. Ze werden gedownload via een account van een aangesloten werkgever (wie dat is werd niet bekend gemaakt). Blijkbaar waren zijn inloggevens in verkeerde handen gevallen.
Combinatie risico en vertrouwen
Wat dit voorbeeld laat zien is dat er voortdurend gekeken moet worden naar een combinatie van risico en vertrouwen tijdens de duur van een netwerkinteractie en of het gedrag van een datastroom binnen de norm valt. Eigenlijk zou dit moeten gelden voor alle IT-processen. Het is alleen de vraag of dat helemaal haalbaar is en daarom zien we als alternatief voor zero trust ook wel ‘lean trust’, een wat realistischer ‘afgeslankte’ versie.
Het is inderdaad niet erg praktisch om zero trust als concept voor álle aspecten van security te gebruiken. Gartner, een van de ‘uitvinders’ van zero trust, beveelt daarom ook een lean trust aanpak aan: begin dit jaar met twee projecten, een om voor meer bescherming tegen ongeoorloofde toegang door gebruikers en devices, en een project om workloads en apps te beschermen tegen aanvallen. Het eerste project behelst het opzetten van een software-defined perimeter om alleen vertrouwde gebruikers en devices binnen te laten. Het tweede project gaat om microsegmentatie om de rest buiten te houden.
Huidige technologie
Voor eerste stappen kunnen gewoon de huidige technologie en middelen worden gebruikt. Zo blijven veranderingen en kosten tot een minimum beperkt. Begin eenvoudig met:
- Een inventarisatie van de hardware, software, patches en netwerkstromen.
- Het vaststellen en registreren van de gevoelige data en tussen welke apparatuur die worden uitgewisseld.
- Maak een ranglijst van de 50 meest gevoelige data en leg vast waar die zich bevinden
- En natuurlijk: ken de belangrijkste risico’s (wat zijn de dreigingen, welke partijen zouden belangstelling hebben voor de gevoelige data, wat is de impact van een datalek op de reputatie, hoe is de compliancy geregeld, etc.)
Stel vervolgens een aantal voor de organisatie cruciale use cases op. Denk aan koppeling met toeleveranciers. Aan het netwerkverkeer binnen het datacenter en de compliance. Op basis van de prioriteiten van deze cases, de securitymaatregelen die al genomen zijn en de gesignaleerde ‘gaten’, zal duidelijk worden wat er als eerste moet worden aangepakt. Het ligt voor de hand om vooral te kijken naar two factor authentication. Alleen dit al zorgt voor vertrouwen in de juiste identiteit van gebruikers.
Het tweede project, microsegmentatie is essentieel onderdeel van zero of lean trust. Segmentatie maakt het mogelijk om de toegang van alles wat niet wordt vertrouwd te beperken tot een zo klein mogelijk (netwerk)segment. Het draait dan om vier belangrijke zaken: zichtbaarheid, vertrouwde identiteit, isolatie en het afdwingen van beleidsregels. Moderne software defined netwerken kunnen hierin prima voorzien en maken zo de stap naar zero of lean trust een stuk eenvoudiger.
Michel Schaalje, Directeur Security Cisco Nederland