Wat is zero-trust security?

Klassieke IT-beveiliging ging er altijd vanuit dat alles in principe oké is. De beveiliging was erop gericht het malafide verkeer tegen te houden. Zero-trust security draait die logica om. Alles is per definitie verdacht: alle netwerkverkeer, alle datastromen, alle communicatie, enzovoort. Het gaat daarbij niet alleen om wat van buiten de netwerkperimeter komt, maar ook om alle interne verkeer. Bij zero-trust security is daarom alles verboden, behalve wat expliciet is toegelaten.

“Bovendien start de opbouw van de beveiliging vanuit de gebruiker”, zegt Christophe Crous, hoofd Security, Service Intelligence & Smart Networking bij Proximus. “Dat kan een interne medewerker zijn, maar ook een klant, leverancier of partner.”

Bij zero-trust security ligt segmentering aan de basis. Dat is het opsplitsen van het IT-netwerk in virtuele delen. Het verkeer tussen deze delen of segmenten wordt gecontroleerd met behulp van een firewall. “De gebruiker kan zich enkel bewegen binnen zo’n microsegment van de IT-omgeving van een bedrijf. Van daaruit heeft hij alleen toegang tot de applicaties waar hij gebruiksrechten voor krijgt.”

Bij zero-trust security is alles verboden, behalve het dataverkeer dat expliciet is toegelaten.

Christophe Crous, Head of Security, Service Intelligence & Smart Networking bij Proximus

Software-defined

Echt nieuw is de logica achter zero-trust security niet. Het principe is vergelijkbaar met dat van de blacklists en whitelists die bedrijven soms hanteren om het surfgedrag van medewerkers te stroomlijnen. Een blacklist somt daarbij op welke domeinen verboden terrein zijn, een whitelist bepaalt wat toegelaten is. “Vroeger was de toepassing van zero-trust security niet realistisch”, legt Christophe Crous uit. “Microsegmentering was niet haalbaar.”

Een IT-omgeving was toen een statisch gegeven. Eenmaal opgezet, was het niet de bedoeling daar voortdurend veranderingen in aan te brengen. Nu IT-beheer meer en meer software-defined gebeurt, is er veel meer mogelijk. “Anders gezegd: de technologie laat het vandaag toe om heel de IT-omgeving heel snel, kostenefficiënt en geautomatiseerd te configureren. Dat maakt die microsegmentering in functie van iedere gebruiker wel haalbaar.”

Insider threats

En gelukkig maar. De nood aan beveiliging is de voorbije tijd sterk veranderd, omdat ook de aard van de gevaren voortdurend evolueert. “Zeven op tien incidenten komen niet van buitenaf, maar ontstaan binnen het bedrijf: de zogenaamde insider threats”, zegt Christophe Crous. “Vaak gebeurt dat trouwens onbewust, doordat iemand te goeder trouw op een foute link klikt.” Trouwens, vaak blijft een besmetting – bijvoorbeeld met ransomware – een hele tijd onder de radar.

De malware houdt zich vaak eerst een tijdlang gedeisd, brengt de omgeving van zijn slachtoffer grondig in kaart en legt daarna pas de activiteiten van het getroffen bedrijf plat. “En dat kan iedereen overkomen”, stelt Christophe Crous. “Iedere organisatie is een mogelijk doelwit. We hebben de voorbije jaren incidenten gezien bij ziekenhuizen, fabrieken, hotels, enzovoort. Geen enkele sector blijft buiten schot.”

Iedereen is een doelwit

Kleine ondernemingen gaan er nog te vaak vanuit dat ze voor cybercriminelen geen interessant doelwit vormen. “Ze vergissen zich”, zegt Christophe Crous. “Ook bij een kmo of een lokale overheid valt losgeld te halen.” Dat blijkt uit de Proximus Cybersecurity Survey. De eenvoudige toepassing van enkele principes van zero-trust security kan bij die kleine organisaties al snel een levensgroot verschil maken.

Denken we aan two-step authentication of tweefactorauthenticatie, bijvoorbeeld, waarbij de gebruiker een extra bevestiging moet geven die hij via een tweede toestel ontvangt, bijvoorbeeld via sms. “Heel wat applicaties voorzien standaard in die extra beveiliging. Het volstaat die optie aan te zetten om het beveiligingsniveau op te krikken, zonder dat het geld kost.”

Doordacht beveiligingsbeleid

De doorgedreven toepassing van zero-trust security vraagt uiteraard meer dan dat. “Belangrijk is om eerst een stand van zaken op te maken”, zegt Christophe Crous. “Daaruit kun je de grootste en dringendste noden afleiden – en er concrete acties aan verbinden, zoals regelmatig het beveiligingsbeleid evalueren en bijsturen, ervoor zorgen dat software en hardware tijdig de juiste updates krijgen, enzovoort.”

Van de IT-afdeling vraagt dat de nodige discipline. De gebruiker zelf mag in principe geen hinder ondervinden van zero-trust security. “Hij merkt het maar wanneer hij iets wil doen dat niet mag, zoals snuisteren in een SharePoint-folder waar hij eigenlijk geen zaken mee heeft”, besluit Christophe Crous. “Het voorbeeld geeft meteen aan wat bij zero-trust security de grote uitdaging is. Je moet heel goed nadenken over wie wat wel of niet mag.”