Zero trust: wat het betekent buiten de marketingfolder

Als je de afgelopen jaren leveranciers van beveiligingssoftware hebt gesproken, is de kans groot dat zero trust voorbij is gekomen. Soms als productfeature, soms als architectuurvisie, soms als antwoord op een vraag die je niet had gesteld.

Dat heeft de term geen goed gedaan. Want het onderliggende idee is helder en praktisch nuttig. Het is alleen begraven geraakt onder een laag marketing.

Wat zero trust eigenlijk betekent

Het traditionele beveiligingsmodel gaat uit van een kasteel. Alles binnen het bedrijfsnetwerk is vertrouwd, alles erbuiten niet. Wie eenmaal binnen is, kan vrij bewegen. Dat model dateert uit een tijd dat medewerkers op kantoor werkten, data op lokale servers stond en applicaties niet in de cloud draaiden.

Die situatie bestaat lang niet overal meer. Medewerkers werken thuis, onderweg en op locatie bij klanten. Applicaties draaien in public clouds zoals AWS en Azure of in een datacenter. Leveranciers hebben toegang tot interne systemen. De grens van het kasteel is daarmee vervaagd.

Zero trust stelt daar een ander uitgangspunt tegenover: vertrouw niets en niemand standaard, ongeacht de locatie. Niet de medewerker die al tien jaar in dienst is, niet het apparaat dat al jaren op het netwerk zit, niet de applicatie die van binnen het netwerk verbinding maakt. Elke toegangspoging wordt geverifieerd, elke keer opnieuw.

Dat klinkt streng. In de praktijk merkt een medewerker er weinig van als het goed is ingericht.

Drie principes die het concreet maken

  • Verifieer altijd (always verify)
    Toegang wordt pas verleend nadat identiteit, apparaat en context zijn geverifieerd. Wie is dit, welk apparaat gebruikt hij, vanwaar maakt hij verbinding en welke rechten zijn daarvoor nodig? Multifactorauthenticatie is een basisonderdeel van dit principe. Het gaat ook verder: een apparaat zonder actuele updates of zonder beveiligingssoftware kan worden geweigerd, zelfs als de gebruikersidentiteit klopt.
  • Verleen minimale toegang (least privilege)
    Medewerkers krijgen alleen toegang tot wat ze nodig hebben voor hun werk, niet meer. Een medewerker van de financiële afdeling heeft geen toegang nodig tot de productiesystemen. Een leverancier die een specifieke applicatie onderhoudt, heeft geen toegang nodig tot de rest van het netwerk. Dit principe heet least privilege en is een van de meest effectieve maatregelen om schade te beperken als een account wordt gecompromitteerd.
  • Ga uit van inbreuk (assume breach)
    Dit is het meest ongemakkelijke principe, maar ook het meest eerlijke. Ontwerp systemen en processen alsof een aanvaller al binnen is. Wat kan hij bereiken? Hoe ver kan hij bewegen? Hoe snel wordt hij opgemerkt? Wie dit serieus neemt, investeert in segmentatie, monitoring en detectie, niet alleen in het voorkomen van toegang.

Waarom dit nu actueel is

Zero trust is geen nieuw concept. Het werd al in 2010 geïntroduceerd door analist John Kindervag bij Forrester Research. Wat veranderd is, is de context.

De reeks kwetsbaarheden die de afgelopen maanden publiek is gemaakt, laat een patroon zien: aanvallers die via een beperkt account volledige systeemrechten weten te verkrijgen. Copy Fail, Dirty Frag, MiniPlasma, CIFSwitch. Allemaal variaties op hetzelfde thema: een gebruiker met beperkte rechten die door een fout in het systeem uitgroeit tot beheerder met volledige controle.

Zero trust verkleint de schade van precies dit type aanval. Als toegang consequent wordt beperkt tot wat nodig is, en als systemen zijn gesegmenteerd zodat een gecompromitteerd account niet direct toegang geeft tot alles, dan is de impact van zo’n kwetsbaarheid aanzienlijk kleiner. De aanvaller komt wel binnen, maar kan een stuk minder.

Wat het in de praktijk vraagt

Zero trust implementeren is geen project met een einddatum. Het is een richting die je inslaat en stap voor stap uitwerkt. De meeste organisaties beginnen met de meest impactvolle onderdelen.

Identiteit en toegangsbeheer

Wie heeft toegang tot wat, en is dat nog actueel? Voormalige medewerkers, oud-leveranciers, accounts met te brede rechten: dit is waar de meeste organisaties de meeste winst boeken met de minste inspanning.

  • Multifactorauthenticatie
    Een gestolen wachtwoord is niet genoeg voor toegang als MFA is ingeschakeld. Dit is een van de meest effectieve en relatief goedkope maatregelen die een organisatie kan nemen.
  • Netwerksegmentatie
    Verdeel het netwerk in zones. Een aanvaller die toegang krijgt tot een zone, kan niet automatisch door naar de rest. Dit beperkt de schade bij een incident aanzienlijk. In sommige situaties kan het zelfs waardevol zijn om microsegmentatie te doen waarbij alle devices van elkaar geïsoleerd zijn.
  • Monitoring en detectie
    Als je uitgaat van inbreuk, moet je ook kunnen zien wanneer er iets misgaat. Logging, alerting en actieve monitoring zijn geen luxe maar een basisonderdeel van een volwassen beveiligingsaanpak.

Wat zero trust niet is

Zero trust is geen product dat je koopt. Geen leverancier die zegt dat zijn platform zero trust is, verkoopt je daarmee een complete aanpak. Hij verkoopt je een onderdeel dat bij een zero trust strategie past, of niet.

Het is ook geen binaire keuze. Je bent nooit klaar met zero trust, net zoals je nooit klaar bent met risicomanagement. Het is een continu proces van verbeteren, controleren en aanpassen aan een veranderende omgeving.

Wat het wel is: een nuttig kader om beveiligingsbeslissingen aan te toetsen. Verleent deze maatregel minimale toegang? Verifiëren we identiteit en context? Zijn we voorbereid op inbreuk? Wie die drie vragen consequent stelt, maakt betere keuzes dan wie dat niet doet.

Wat RiskGuard hierin doet

RiskGuard helpt organisaties een praktische invulling te geven aan zero trust principes, zonder onnodige complexiteit en zonder de belofte dat één oplossing alle problemen oplost. We brengen in kaart waar de grootste risico’s zitten, welke stappen het meest impact hebben en hoe dat aansluit op de bestaande omgeving en het beschikbare budget.

Wil je weten waar jouw organisatie staat en waar de meeste winst te behalen valt? Neem contact op voor een vrijblijvend gesprek.

Benieuwd hoe jouw organisatie scoort?
Doe de gratis zelfscan en ontdek waar de risico's zitten.

Doe de zelfscan

Lees verder:

Entrepreneur working with bills

Wat een cyberaanval echt kost: verder dan de directe schade

Cyber security experts working on spyware and malware detection

CIFSwitch: een negentien jaar oude Linux-kwetsbaarheid die nu actie vraagt

Een plaatje met een slot en een waarschuwingsicoon

YellowKey: een USB-stick waarmee BitLocker-versleuteling op Windows omzeild wordt