Zero Trust Security model

Business Continuity 04.06.2021

Zero Trust strategie als bescherming tegen security-incidenten

Een groeiend aantal mobiele apparaten, thuiswerken, Bring Your Own Device en niet te vergeten SaaS- en clouddiensten zorgen ervoor dat je als organisatie niet meer kunt volstaan met het beveiligen van enkele applicaties. De IT-afdeling heeft immers steeds minder overzicht over toegangsrechten en de gezondheid van applicaties. Dat vraagt om een andere security-aanpak en steeds meer bedrijven kiezen daarbij voor een Zero Trust-model. Zero Trust helpt je de security-uitdagingen van de moderne werkplek te tackelen.

In deze blogpost ontdek je welke factoren security op dit moment lastiger maken, hoe Zeker Trust je daarbij helpt én hoe je ermee begint.

De grootste security uitdagingen

De beveiliging van systemen, data en medewerkers op de werkvloer wordt steeds moeilijker. Daarbij spelen de groei van het aantal SaaS-applicaties en apparaten een grote rol. Zij zorgen immers voor een groter aanvalsoppervlakte.

SaaS-applicaties

Door het toenemen van het aantal SaaS-applicaties heeft de IT-afdeling minder toezicht en controle op de infrastructuur. Uit onderzoek van McAfee blijkt dat de gemiddelde medewerker bij een Amerikaans bedrijf dagelijks 36 verschillende SaaS-applicaties gebruikt. Daarnaast gebruiken bedrijven zelf maar liefst 1900 verschillende clouddiensten. Ook in Nederland groeit het aantal SaaS-applicaties de afgelopen jaren gestaag. Deze exponentiële toename in apps zorgt ervoor dat het monitoren en beveiligen van applicatie complex.

Meer verschillende apparaten

Naast een enorme toename in het gebruik van SaaS-applicaties, worden er ook steeds meer mobiele en persoonlijke apparaten gebruikt. Waar medewerkers voorheen alleen toegang nodig hadden tot werkapplicaties als ze ook daadwerkelijk op het werk waren, is die situatie nu heel anders: thuiswerken is veel normaler en daarmee veranderen ook de eisen die gesteld worden aan security.

Alleen een veilige VPN om verbinding te maken en te autoriseren op het bedrijfsnetwerk is niet meer voldoende. De IT-afdeling moet zorgen dat de laptop of pc van medewerkers voldoende beveiligd is, maar ook de data goed beschermen wanneer medewerkers op een mobiel device of een eigen laptop werken. En daarbij mogen ook de complianceregels van de organisatie niet uit het oog verloren worden.

Groei security risico’s

De aanvalsoppervlakte voor kwaadwillenden groeit daarom door het gebruik van meer applicaties en apparaten. Medewerkers met zwakke wachtwoorden of apparaten die niet geüpdatet zijn, vormen security-risico’s voor het bedrijf. Zodra een kwaadwillende toegang heeft tot één enkel apparaat of applicatie, kan hij in theorie dieper doordringen in het bedrijfsnetwerk. Doordat het complexer is om alle apps en devices adequaat te monitoren, worden bedreigingen minder snel opgepakt en neemt het risico dat kwaadwillenden in bezit komen van waardevolle data toe. Een Zero Trust-beleid kan organisaties helpen de security risico’s te beperken.

Wat is Zero Trust?

Zero Trust is een beleid om ‘endpoint security’ toe te passen. Een endpoint is een apparaat zoals laptops, tablets en mobiele telefoons die verbinding hebben met het bedrijfsnetwerk. Het beleid richt zich op sterke authenticiteits- en identiteitscontroles, vertrouwde apparaten en endpoints. Dat leidt tot een fijnmazige controle over toegang tot data en systemen. De principes van Zero Trust zijn samen te vatten als:

– Never trust, always verify. Laat niet zomaar alles toe op je netwerk. Als je niet elk IP-adres of apparaat kunt controleren, kun je de veiligheid van het netwerk niet garanderen.
– Geef toegang op basis van identiteit en apparaat van de medewerker die toegang vraagt, ongeacht van welk netwerk de medewerker gebruikmaakt. Je moet niet alleen zeker weten dat de medewerker is wie hij zegt te zijn, je moet ook kunnen verifiëren dat deze persoon rechtmatig toegang heeft tot bepaalde gegevens.
– Toegang tot bedrijfsgevoelige informatie is dynamisch en iets wat continu geverifieerd moet worden. In een Zero Trust-beleid is consistente authenticatie en autorisatie essentieel voor het behoud van veilige systemen.

Lees ook: Security trends van dit moment tillen it beveiliging naar hoger niveau

Waar bestaat een Zero Trust-strategie uit?

Aan de basis van Zero Trust liggen drie componenten:

1. Identity & Authentication

Het fundament van ieder Zero Trust-beleid is continu evalueren of personen toegang horen te hebben tot bedrijfsmiddelen. Daarvoor is goede authenticatie onmisbaar. Een goede database voor gebruikers die integreert met alle software binnen het bedrijf én die je in staat stelt gebruikersprofielen en -rollen te definiëren mag daarbij niet ontbreken. Veel zaken, zoals toegang tot applicaties en data op basis van een groepsprofiel, kun je met een dergelijke gebruikersdatabase al vooraf vastleggen.

Maar daarnaast geeft deze gebruikersdatabase je ook een centraal systeem waarmee gebruikers zich kunnen authenticeren. Met technieken als Single Sign-On (SSO) Two-factor authentication kun je vervolgens inloggegevens van gebruikers verifiëren. Juist wanneer bedrijven gebruikmaken van SaaS-apps is het belangrijk om een centrale gebruikersdatabase te hebben. De data in een SaaS-apple is immers kwetsbaar tenzij de toegang gelimiteerd is tot een endpoint dat je kunt controleren. Veel Identity & Access Management software maakt dit mogelijk en integreert on-premise software met SaaS-applicaties, zodat je één plek hebt om gebruikersprofielen en groepen te beheren en 100% zeker te weten dat de juiste personen toegang krijgen tot de gegevens.

2. Device Authentication

Ook voor device authentication is het handig om gebruik te maken van een gecentraliseerde database om apparaten die toegang tot bedrijfsnetwerk en bedrijfsinformatie krijgen te beheren. Dit kan door middel van een zogenoemde ‘asset database’, die de eigenaar van een apparaat verifieert, aangevuld met een ‘posture assessment’. Deze controleert alle complianceregels voordat een apparaat toegang krijgt tot systemen en informatie.

Daarvoor is het belangrijk dat ieder apparaat een unieke identiteit heeft die gecontroleerd wordt voordat het apparaat toegang krijgt. Dat kan via een ‘public key infrastructure’ (PKI), die certificaten aanmaakt en koppelt aan ieder uniek apparaat. Daarbij kun je verschillende security-niveaus voor verschillende apparaten hanteren en bepalen hoe de apparaten gemonitord worden.

3. Access management

Zodra je weet welke personen en apparaten toegang mogen hebben tot bedrijfsapplicaties en informatie, kun je via access management de toegang beheren. De kern van access management draait om het definiëren en toepassen van het securitybeleid. Wat Zero Trust hierin uniek maakt is dat toegang zo minimaal mogelijk moet worden ingeregeld. Door een medewerker minimale toegang te geven, verklein je de aanvalsoppervlakte aanzienlijk. Krijgt de aanvaller wel toegang tot de inloggegevens van een medewerker? Dan wordt het een stuk lastiger om via de medewerker verder in het netwerk te komen, aangezien zijn gebruikersrechten gelimiteerd zijn.

Conclusie

Het implementeren van een Zero Trust-beleid is geen eenvoudige taak en succesvolle implementatie kan je organisatie veel tijd kosten. Volgens een onderzoek van IBM kost het gemiddelde datalek een grote corporate zo’n 3,92 miljoen dollar. En omdat de werkplek steeds complexer wordt naarmate de data, netwerken, devices, applicaties en werklocaties toenemen, wordt een Zero Trust-strategie bijna onmisbaar om de werkplek veilig te houden.
Wil je meer weten over Zero Trust policies, Microsoft 365 en welke andere mogelijkheden er zijn om je medewerkers een innovatieve én veilige werkplek te bieden? Bespreek de mogelijkheden met ons. Neem contact met ons op.