Zero Trust: het fundament van beveiliging

Zero Trust: het fundament van beveiliging

Met een zero trust strategie wordt er vanuit gegaan dat niets en niemand te vertrouwen is en om alles te verifiëren. Dat klinkt heftig maar kan een belangrijk fundament vormen voor uw beveiliging.

Het belang van Zero Trust

Vrijwel alle bedrijven hebben hun processen en informatie in een rap tempo gedigitaliseerd en is het vrijwel overal en altijd beschikbaar door het gebruik van bijvoorbeeld cloud diensten. Daarnaast is het aantal risico’s en dreigingen enorm toegenomen.

  • Hybride werken
    Door de introductie van hybride werken werkt men steeds vaker vanuit huis en andere locaties, waardoor devices volgens het traditionele model steeds vaker buiten het “bastion” vallen. Hierdoor is een verandering van benadering hierin nodig.
  • Toename van aanvallen
    Cyberaanvallen worden steeds geavanceerder, waarbij niet alleen systemen worden aangevallen maar ook direct aanvallen op de mens worden geplaatst om gegevens of credentials te overhandigen, al dan niet onder druk. Hierdoor neemt het risico op aanvallen van binnenuit (insider threats) toe.
  • Bring Your Own Device (BYOD)
    Met BYOD werken mensen vanaf hun eigen device (smartphone, tablet, laptop, etc.) die geen eigendom is van het bedrijf en dus onder andere regels kan vallen waardoor de beveiliging hiervan minder kan zijn.

Drie basisprincipes

Kortgezegd bestaat Zero Trust uit een drietal basisprincipes die worden meegenomen in het (her)ontwerp van een omgeving.

  • Least Privilege
    Least Privilege zorgt dat iedereen, zowel gebruikers als beheerders en externen het absolute minimale aan rechten hebben om hun werk te kunnen uitvoeren
  • Assume Breach
    Dit principe wordt ook wel eens “expect the worst” genoemd en hierbij wordt er naar de IT gekeken alsof er al een incident heeft plaatsgevonden en helpt om na te denken over dit worst case scenario.
  • Verify Explicitly
    Bij het verlenen van toegang is het zaak om elke keer opnieuw iemands identiteit (wie ze zijn), authenticatie (mogen ze inloggen) en autorisatie (mogen ze toegang tot het object) te verifiëren. Dit om te zorgen dat bijvoorbeeld mensen die uit dienst zijn alsnog bij data of systemen kunnen.

Zero Trust implementeren

Zero Trust is een strategie die top-down geïmplementeerd moet worden, dat wil zeggen dat dit begint bij het (hoger) management/board/directie/etc. en vanuit daar de organisatie in gedragen wordt.

Wij kunnen adviseren en ondersteunen bij het implementeren van een Zero Trust strategie door de kroonjuwelen van de organisatie en daarop aansluitende maatregelen in kaart te brengen. Daarbij is het zaak om bij de belangrijkste zaken te beginnen en niet in één keer de gehele organisatie om te gooien.

Zero Trust factsheet

Download hier het Zero Trust Factsheet van het NCSC:

Meer artikelen

  • De verborgen bedreigingen van slimme apparaten in jouw netwerk
    Tegenwoordig zijn ze bijna niet meer weg te denken: slimme apparaten die één of meerdere taken kunnen uitvoeren en worden aangestuurd met een app of andere online dienst. De voordelen daarvan zijn dan ook duidelijk, voordat je naar kantoor gaat vast de warmtepomp de boel laten opwarmen of zelfs alvast de koffie klaar hebben staan.
  • Wat zijn Browser-in-the-Browser (BitB) aanvallen?
    Cybercriminelen hebben een nieuwe manier gevonden om je om de tuin te leiden. Hiervoor gebruiken ze een zogenaamde *browser-in-the-browser* (BitB) aanval, waarin ze een browservenster van jouw browser nabootsen op een phishing site. Op deze manier kunnen ze steeds succesvollere phishing-aanvallen opzetten. Er zijn gelukkig ook manieren om je hiertegen te wapenen!
  • Hoe hou je de supply chain veilig?
    Ieder bedrijf werkt samen met andere bedrijven om samen een doel te bewerkstelligen of een (eind)klant een dienst of product te leveren. Door deze samenwerking ontstaat een vaak sterke keten maar in het kader van cybersecurity levert dit ook de nodige risico’s op. Door het onderlinge vertrouwen kan het zijn dat bijvoorbeeld e-mails of andere digitale gegevens uit deze keten minder goed gecontroleerd worden waardoor er een risico ontstaat.
  • Uw bedrijf beter beschermen tegen ransomware?
    Ransomware is helaas een veel voorkomende maar vaak ook verwoestende vorm van cybercriminaliteit, doordat het laagdrempelig is om te gebruiken voor criminelen. Door bestanden of systemen te gijzelen voor losgeld (ransom) proberen criminelen bedrijven geld afhandig te maken – vaak met vergaande gevolgen. Gelukkig zijn er ook manieren om je hiertegen te wapenen.
  • De kracht van gelaagde beveiliging: defense in depth
    Een cybersecurity strategie is net als een goede lasagne, opgebouwd in laagjes. Net zoals de verschillende lagen pasta, saus en kaas elkaar aanvullen, bestaat een defense in depth-strategie uit meerdere beveiligingslagen die elkaar versterken om een robuuste bescherming te bieden tegen verschillende aanvallen.