Zero Trust: het fundament van beveiliging

Zero Trust: het fundament van beveiliging

Met een zero trust strategie wordt er vanuit gegaan dat niets en niemand te vertrouwen is en om alles te verifiëren. Dat klinkt heftig maar kan een belangrijk fundament vormen voor uw beveiliging.

Het belang van Zero Trust

Vrijwel alle bedrijven hebben hun processen en informatie in een rap tempo gedigitaliseerd en is het vrijwel overal en altijd beschikbaar door het gebruik van bijvoorbeeld cloud diensten. Daarnaast is het aantal risico’s en dreigingen enorm toegenomen.

  • Hybride werken
    Door de introductie van hybride werken werkt men steeds vaker vanuit huis en andere locaties, waardoor devices volgens het traditionele model steeds vaker buiten het “bastion” vallen. Hierdoor is een verandering van benadering hierin nodig.
  • Toename van aanvallen
    Cyberaanvallen worden steeds geavanceerder, waarbij niet alleen systemen worden aangevallen maar ook direct aanvallen op de mens worden geplaatst om gegevens of credentials te overhandigen, al dan niet onder druk. Hierdoor neemt het risico op aanvallen van binnenuit (insider threats) toe.
  • Bring Your Own Device (BYOD)
    Met BYOD werken mensen vanaf hun eigen device (smartphone, tablet, laptop, etc.) die geen eigendom is van het bedrijf en dus onder andere regels kan vallen waardoor de beveiliging hiervan minder kan zijn.

Drie basisprincipes

Kortgezegd bestaat Zero Trust uit een drietal basisprincipes die worden meegenomen in het (her)ontwerp van een omgeving.

  • Least Privilege
    Least Privilege zorgt dat iedereen, zowel gebruikers als beheerders en externen het absolute minimale aan rechten hebben om hun werk te kunnen uitvoeren
  • Assume Breach
    Dit principe wordt ook wel eens “expect the worst” genoemd en hierbij wordt er naar de IT gekeken alsof er al een incident heeft plaatsgevonden en helpt om na te denken over dit worst case scenario.
  • Verify Explicitly
    Bij het verlenen van toegang is het zaak om elke keer opnieuw iemands identiteit (wie ze zijn), authenticatie (mogen ze inloggen) en autorisatie (mogen ze toegang tot het object) te verifiëren. Dit om te zorgen dat bijvoorbeeld mensen die uit dienst zijn alsnog bij data of systemen kunnen.

Zero Trust implementeren

Zero Trust is een strategie die top-down geïmplementeerd moet worden, dat wil zeggen dat dit begint bij het (hoger) management/board/directie/etc. en vanuit daar de organisatie in gedragen wordt.

Wij kunnen adviseren en ondersteunen bij het implementeren van een Zero Trust strategie door de kroonjuwelen van de organisatie en daarop aansluitende maatregelen in kaart te brengen. Daarbij is het zaak om bij de belangrijkste zaken te beginnen en niet in één keer de gehele organisatie om te gooien.

Zero Trust factsheet

Download hier het Zero Trust Factsheet van het NCSC:

Meer artikelen