Vorig jaar organiseerden wij een webinar over Zero Trust. We hebben het gehad over wat Zero Trust is en waarom digitale identiteiten een cruciale rol spelen bij het beveiligen van data en het voorkomen van fraude. Er wordt ons vaak gevraagd waar te beginnen met het implementeren van Zero Trust. Als verlengstuk op ons webinar leggen we u in deze blogpost uit welke stappen u kunt nemen om te beginnen met het implementeren van een Zero Trust-strategie. 

Wat is Zero Trust?

Eerst nog even in het kort: wat is Zero Trust ook alweer? Zero Trust is een beveiligingsstrategie die een aanpak voorschrijft om data en systemen beter te beveiligen. Deze aanpak gaat uit van het principe ‘Never trust and always verify’ en stelt dat niets en niemand zomaar vertrouwd moet worden. Het maakt daarin niet uit of de entiteiten zoals users of devices zich binnen of buiten een bepaald netwerk bevinden. Zero Trust is gebaseerd op het idee dat organisaties proactief controle moeten hebben op alle interacties tussen mensen, data en informatiesystemen om zo hun veiligheidsrisico’s terug te brengen tot een aanvaardbaar niveau. 

Met deze aanpak stuurt Zero Trust weg van het inmiddels verouderde Castle-and-Moat-model. In dit traditionele cybersecurity-model wordt uitgegaan van de gedachte dat alles wat zich binnen het eigen netwerk bevindt als ‘betrouwbaar’ kan worden beschouwd. Deze beveiligingsarchitectuur richt zich dan ook met name op de bescherming van de buitengrens. Echter is dit vandaag de dag niet meer genoeg om geavanceerde cyberaanvallen te weren. 

Sinds de eerste publicatie over Zero Trust in 2010 heeft het gedachtengoed niet stilgestaan. Er zijn meerdere benaderingen ontwikkeld. Denk aan CARTA (Gartner Continuous Adaptive Risk and Trust Assessment) van Gartner en Zero Trust en Zero Trust eXtended (ZTX) van Forrester. Deze benaderingen bouwen verder op de oorspronkelijke strategie. 

Geavanceerde cyberaanvallen en digitale ontwikkelingen

Waarom is IT-security volgens het Castle-and-Moat-principe niet meer afdoende? Dit heeft te maken met de voortdurende digitale ontwikkelingen. Het wordt steeds belangrijker om zaken te doen via digitale kanalen en om ook via die wegen te communiceren met klanten, partners en werknemers. 

Organisaties bevinden zich tegenwoordig dan ook veelal in een digitale transformatie. Dit is een verschuiving van de conventionele manier van werken naar een vernieuwde manier die ondersteund wordt door technologie. Deze verschuiving naar datageoriënteerde ondernemingen en een groeiend gebruik van IT, leidt tot een toename in het aantal en de geraffineerdheid van cyberaanvallen. 

Ontwikkelingen in de organisatie van IT-processen

De ontwikkelingen hebben niet alleen gevolgen voor de relatie en communicatie met klanten, partners en werknemers, ze zijn ook van invloed op de manier waarop we onze processen en IT-infrastructuur organiseren. Het verschil tussen ‘intern’ en ‘extern’ verwatert. Zo hebben tegenwoordig steeds meer gebruikers van buiten een organisatie toegang tot systemen binnen de organisatie.

De ontplooiing van zaken als cloud computing en mobile devices hebben als gevolg dat applicaties en data zich verplaatsen naar buiten de grenzen van de organisatie. Tegelijkertijd komen gebruikers, en daarmee ook hun devices, ook steeds vaker van buiten. Cyberaanvallen zijn vandaag de dag niet alleen meer tegen de buitengrens gericht, maar ze komen ook steeds vaker van binnenuit. Het is dus belangrijk om aanvallen op tijd te detecteren en ervoor te zorgen dat aanvallers niet verder kunnen komen als ze eenmaal binnen zijn.

Identity as the perimeter

Om controle te krijgen op interacties in het landschap, is het van cruciaal belang dat alles en iedereen, die met informatiesystemen probeert te communiceren, gecontroleerd en geverifieerd wordt. De toegang moet pas worden verleend op het moment dat er genoeg vertrouwen is. Dit houdt in dat u moet weten dat u te maken heeft met de juiste aanvrager en dat de aanvraag onder de juiste condities plaatsvindt. Zo kunnen er bijvoorbeeld eisen worden gesteld aan het apparaat vanaf waar de aanvraag wordt gedaan.

Om deze verificatie goed te kunnen uitvoeren, is het van groot belang dat zowel het identitymanagement als de authenticatie op orde is. Is dat het geval, dan kan er worden vastgesteld of de aanvrager daadwerkelijk de juiste persoon of het juiste systeem is. Ook wordt er dan gezorgd dat het account niet méér rechten heeft dan strikt noodzakelijk en dat de authenticatie zelf middels veilige methoden plaatsvindt. Het vertrouwen voor het wel of niet verlenen van toegang wordt dus niet meer enkel gebaseerd op een IP-adres van een intern of extern netwerk. De identiteit van de aanvrager en de context waarin de aanvraag plaatsvindt zijn veel belangrijker. Hierdoor wordt vaak gesteld dat ‘Identity is the new perimeter’.

Veiligheidsrisico’s effectief beheersen

Organisaties hebben dus een mechanisme nodig om ervoor te zorgen dat alleen geautoriseerde gebruikers geautoriseerde functies mogen uitvoeren op geautoriseerde applicaties met geautoriseerde content op geautoriseerde apparaten. Met dat niveau van granulaire controle rond bedrijfsmiddelen, zijn we veel beter in staat om risico’s effectiever te beheersen. Dit klinkt wellicht vrij abstract, maar het is goed te realiseren door grip te krijgen op de identiteiten binnen en buiten de organisatie en door te zorgen voor gecentraliseerde authenticatie op basis van moderne technieken. 

Zero Trust in de praktijk

We vertelden zojuist al dat het gedachtengoed niet stil heeft gestaan sinds de eerste publicatie over Zero Trust. Er is in de afgelopen jaren veel over geschreven en gesproken. De benadering is vaak theoretisch of gebaseerd op een green field situatie. Het merendeel van de organisaties die starten met Zero Trust beschikken echter niet over een green field situatie en hebben te maken met zaken als legacy IT en technical debt.

Het idee van Zero Trust is daarom misschien in een aantal zinnen te vatten, de realisatie ervan is dat zeker niet. Binnen een organisatie met bestaande IT-processen en -technieken heeft de implementatie redelijk wat voeten in de aarde. Zero Trust schrijft geen technieken voor en er is ook geen pasklare oplossing die kan worden aangeschaft om Zero Trust in één keer tot stand te brengen. Om Zero Trust te implementeren is het belangrijk om systemen, applicaties en data te isoleren door het aanbrengen van een logische scheiding. Dit kan worden gedaan door het creëren van kleine segmenten (microsegmentatie) met elk een eigen en strikte doorlopende toegangscontrole.

Hoe implementeer je Zero Trust?

Maar waar begint u concreet met de implementatie van Zero Trust binnen uw organisatie? Omdat authenticatie en autorisatie beiden een belangrijke rol spelen binnen Zero Trust, is het van belang om grip te krijgen op de digitale identiteiten in de organisatie en om te zorgen voor sterke authenticatiemogelijkheden. Door dit te doen, legt u het fundament voor verdere maatregelen.

Onderstaande stappen helpen u met het leggen van het fundament voor Zero Trust.

1. Identificeer gevoelige data, datastromen en kritische applicaties

De eerste stap naar de implementatie van Zero Trust is het identificeren van gevoelige data binnen de organisatie. Hierdoor krijgt u een helder beeld van wat er beveiligd dient te worden om misbruik en datalekken te voorkomen. Deze data classificeert u vervolgens op basis van gevoeligheid (bijvoorbeeld public of company secret). Dit biedt u de kans om gestandaardiseerde beveiligingsmaatregelen te koppelen aan de mate van gevoeligheid van de data. Hierdoor wordt een iteratieve, data-driven aanpak mogelijk. Na het identificeren van gevoelige data is het zaak om de verschillende datastromen in kaart te brengen. Op die manier kunt u identificeren waar deze data naartoe gaat en wie of wat er gebruik moeten maken van deze data. 

Naast het identificeren van data is het ook belangrijk om inzicht te krijgen in kritieke handelingen in applicaties en systemen, zoals het uitvoeren van financiële transacties. Door deze inzichten te combineren met het inzicht in gevoelige data ontstaat er een sterk startpunt met een op risico gebaseerd overzicht van zaken die beveiligd moeten worden.

2. Krijg grip op digitale identiteiten

Digitale identiteiten en hun accounts bieden gebruikers en systemen toegang tot allerlei bedrijfsgegevens en applicaties. Om misbruik en fraude te voorkomen is het belangrijk om grip op deze identiteiten te krijgen. Het doel hiervan is om efficiënte, gecontroleerde en veilige toegang tot data, systemen en processen te waarborgen. Om zeker te weten dat de juiste personen toegang hebben tot de juiste resources op het juiste moment en om de juiste redenen, is het verstandig om een IAM-initiatief op te starten.

Controle op de Identity Lifecycle

Bij het grip krijgen op digitale identiteiten is het allereerst belangrijk te zorgen dat u grip krijgt op de lifecycle van personen (bijvoorbeeld medewerkers en externen) zelf. De meest voor de hand liggende afdeling die hiervoor kan zorgen is de HR-afdeling. Dit komt doordat zij verantwoordelijk zijn voor personeelsgerelateerde zaken en daardoor het merendeel van de gegevens over medewerkers en diens aanstelling(en) beheren. Daar bovenop komt dat deze afdeling zorgt voor identity proofing door de identiteit van personen vast te stellen door een controle van het paspoort of identiteitskaart. Door te zorgen voor eenduidige processen voor de instroom, doorstroom en uitstroom van personen ontstaat een betrouwbare administratie met accurate data en is de identiteit van de personen vastgesteld. Als deze informatie gedeeld wordt met de IT-afdeling, bijvoorbeeld door middel van een IAM systeem, kunnen op basis van deze data ook rechten in systemen uitgegeven en ingetrokken worden.

Controle op de Account Lifecycle

Vervolgens wordt het dus mogelijk om grip te krijgen op de lifecycle van de accounts van medewerkers en externen in de verschillende applicaties en systemen. Dit kan worden gedaan door de accounts aan personen te relateren. Hierdoor wordt duidelijk wie welke accounts precies gebruikt. Door vervolgens de accurate data uit de HR-processen te gebruiken als bron voor het aanmaken, aanpassen en verwijderen van accounts begint er een herleidbaar geheel te ontstaan. Deze processen kunnen worden geautomatiseerd (provisioning) en er kan over worden gerapporteerd (auditing). Hierdoor wordt de integriteit van het geheel gewaarborgd en wordt het geheel beheersbaar (governance). Een sluitende audit trail onderhouden is voor grotere organisaties zonder IAM software nagenoeg onmogelijk. Zorg er daarom voor dat de juiste software de organisatie hierin ondersteunt.

Controle op de rechten binnen systemen

Na controle te krijgen op de accounts zelf, is het zaak om grip te krijgen op de rechten van de accounts. Belangrijk hierbij is dat het ‘Least Privilege’-uitgangspunt wordt gehanteerd. Dit zorgt ervoor dat er wordt bepaald of iemand niet meer rechten heeft dan strikt noodzakelijk is. Om rechten voor accounts te bepalen en te beheren, kan gebruik gemaakt worden van het model Roll-Based Access Control (RBAC). Start hierbij met het opstellen van een autorisatiematrix . In deze matrix is vastgelegd welke toegangsrechten er in systemen en applicaties moeten worden toegekend aan identiteiten. Het doel hiervan is om de uitgedeelde autorisaties te kunnen verantwoorden en om ze transparant en beheersbaar te maken.

Deze toegangsrechten in de matrix kunnen dan worden gekoppeld aan een bepaalde rol of rollen om daarmee een begin te maken met het opbouwen van een rollenmodel. Door de matrix te vergelijken met de daadwerkelijk toegekende rechten in systemen en applicaties is het ook mogelijk om afwijkingen in toegangsrechten inzichtelijk te maken.

3. Gecentraliseerde, risicogebaseerde authenticatie

Als u eenmaal grip heeft op de identiteiten en hun rechten in applicaties en systemen, is het zaak om de authenticatie op orde te brengen. Authenticatie is het proces van het verifiëren van de identiteit van de aanvrager of het verifiëren van een claim van een aanvrager voordat toegang kan worden verleend. Tegenwoordig is het niet meer voldoende om de toegang tot vertrouwelijke data en risicovolle handelingen enkel te beveiligen met een gebruikersnaam en wachtwoord. Ongeautoriseerde toegang tot waardevolle en confidentiële assets moet worden voorkomen. Het is dan van essentieel belang om er zeker van te zijn dat u met de juiste aanvrager te maken heeft. Dit doet u door verschillende soorten informatie te combineren, bijvoorbeeld: 

• Iets wat de aanvrager weet, zoals wachtwoorden
• Iets wat de aanvrager heeft, zoals een hardware token of een smartcard
• Iets wat de aanvrager is, denk aan biometrische gegevens zoals een vingerafdruk

U herkent deze combinatie van “factoren” om vast te stellen met wie we te maken hebben, vast als Multi-Factor Authenticatie. Door deze risicogebaseerde MFA te combineren met het herkennen van afwijkend gedrag van een gebruiker, ontstaat er een sterke verdediging tegen ongeautoriseerde toegang. Als de gebruikersnaam of wachtwoord van een gebruiker uitlekt, dan kan een kwaadwillende deze niet effectief misbruiken. Hij beschikt immers niet over de andere factoren, of hij wordt gedetecteerd doordat hij afwijkend gedrag vertoond. 

Voordelen van het centraal uitvoeren van toegangsaanvragen

Moderne, federatieve protocollen kunnen voor u op de achtergrond volgens bepaalde regels veilig informatie uitwisselen. Door te zorgen dat daarnaast de authenticatie centraal plaatsvindt, is het niet meer nodig om het wachtwoord van de gebruiker op te slaan in applicaties. Door alle toegangsaanvragen centraal uit te voeren, wordt het mogelijk om afwijkingen in gedrag te herkennen, hoeven beleidsregels voor authenticatie maar op één plek te worden bijgehouden en kunnen we de ervaring gebruikersvriendelijker maken door het bieden van single sign-on en passwordless authentication.

Het is belangrijk om de authenticatie plaats te laten vinden via een mechanisme dat geschikt is voor de gevoeligheid van de gegevens of processen die via dat systeem toegankelijk zijn. Er moet een bepaald zekerheidsniveau gegarandeerd kunnen worden (level of assurance). Hierdoor voorkomt u dat uw data te gemakkelijk toegankelijk is, maar ook dat gebruikers onnodig worden overvraagd.

4. Microsegmentatie

De beveiliging van netwerken (bijvoorbeeld door middel van firewalls) richt zich vaak op het voorkomen van ongeautoriseerde toegang door het beveiligen van de (buiten)grenzen van een netwerk. Maar hoe voorkomt u dat een aanvaller zich vrij door het netwerk kan bewegen zodra deze hier eenmaal toegang tot heeft? Dit doet u door kleine softwarematige segmenten te creëren met daarin een groep van een of meerdere applicaties of bepaalde data met een zelfde risicoclassificatie: een micro-segment. Elk segment beschikt vervolgens over een eigen beveiligingsbeleid en eigen beveiligingsmechanismen. Zo bent u in staat om toegang tot applicaties of data veel fijnmaziger te beperken en te controleren dan met ‘klassieke’ netwerkbeveiliging mogelijk is.

Indien een aanvaller toch toegang weet te krijgen tot een bepaald segment, dan kan hij dankzij micro-segmentatie niet automatisch door het gehele netwerk heen bewegen. De aanvaller is dan beperkt tot dat specifieke segment. 

Het beveiligingsbeleid van het segment bepaalt de voorwaarden voor de verbinding. Dit wordt vervolgens afgedwongen en gehandhaafd door de centrale authenticatielaag die we in de eerdere stap hebben gecreëerd. 

5. Context gebaseerde authenticatie

In stap drie maakten we helder hoe u het fundament legt voor authenticatie. Daar pasten we de inlogmethode al aan, aan de risicoclassificatie van de asset. Om de authenticatie dynamischer en slimmer te maken worden de authenticatiemechanismen in deze fase uitgebreid met een afweging op de context.

In een Zero Trust-netwerk krijgt een gebruiker niet zomaar toegang tot resources op basis van een eerdere authenticatie. Elke aanvraag wordt afzonderlijk beoordeeld door de authenticatielaag. Ook gedurende een actieve sessie kan er worden gekeken of u nog steeds met een oorspronkelijke of in ieder geval juiste aanvrager te maken heeft. Als u de afweging voor toegang niet enkel afhankelijk maakt van een aanvrager die de juiste inloggegevens aanlevert, maar daarbij breder kijkt naar de context waarin de aanvraag plaatsvindt en wat er aan wordt gevraagd, zorgt u voor een veel sterkere beveiliging. Hierbij kijkt u onder meer naar de context waarin de aanvraag plaatsvindt, de geolocatie van de aanvrager, vanaf welk device de aanvraag plaatsvindt, of dit nog steeds hetzelfde apparaat is en welke software (bijvoorbeeld browser) er wordt gebruikt. Afhankelijk van deze context worden mogelijk meer eisen gesteld aan de vaststelling van de identiteit (want: meer factoren gevraagd) of wordt de toegang zelfs helemaal niet verleend. 

Beveiligen tegen cyberaanvallen

Zero Trust helpt uw organisatie om de toegang tot data en applicaties te beveiligen, ongeacht waar iemand zich bevindt. Het zorgt voor een sterke beveiliging tegen de hedendaagse cyberaanvallen. Hierbij stelt Zero Trust identity centraal en is het cruciaal deze adequaat te beveiligen. Door grip te krijgen op uw digitale identiteiten, hun rechten en de wijze van toegang, zorgt u voor een sterk fundament voor de invoering van verdere maatregelen.