Er worden steeds vaker oplossingen aangeboden door leveranciers waarin verwerkt is, zoals 'zero trust network access' oplossingen. Ook vanuit de compliancy hoek wordt zero trust belangrijker; in de nieuwe NEN 7510 wordt het genoemd in de context van netwerkarchitectuur. Is het het waard om als zorgorganisatie aan de slag te gaan met 'zero trust'? Of is het alleen voor grote organisaties met veel budget en lopen we in een dure marketingfuik?
Zero trust: hype of nuttige strategie?
Zero trust. Je hoort het zo vaak dat het de schijn heeft van een hype. In deze blogserie maken we een reis door de wereld van zero trust en gaan we zien dat het principe te gebruiken is door zowel grote vermogende organisaties als kleine organisaties met een beperkt budget.
Waar komen we vandaan?
In de begindagen van het internet was het voor iedereen duidelijk. Het 'kwade' kwam van buiten het eigen netwerk. Organisaties hadden aan de buitenkant van hun netwerk een firewall en die hield al het 'kwade' tegen. Je had nodig: een antivirus en een firewall. Het interne netwerk zelf werd als redelijk veilig beschouwd. De denkwijze 'trust but verify' werd als een redelijke strategie beschouwd, omdat de opkomst en het niveau van cybercrime nog beperkt was. Er was enige controle nodig, maar voor de rest zijn de systemen en de mensen te vertrouwen.
Van 'trust but verify' naar 'zero trust'
Echter, met de explosieve opkomst van cybercrime en andere digitale dreigingen, veranderde dat beeld. Dagelijks vinden er incidenten plaats met phishingmails, infostealers, ransomware en afpersing met datadiefstal. De mindset 'trust but verify' bleek daarom in deze nieuwe context te naïef. In het licht van deze aanhoudende stroom van aanvallen is het niet zo gek dat je op het idee komt dat de kans om een keer geraakt te worden door een hack, reëel is. Dit is exact waar we bij het 'zero trust' gedachtegoed vanuit gaan: 'assume compromise'. Als we daarvan uitgaan, kijken we anders naar security. Het voormalige 'veilige' netwerk is ineens een bron van malafide activiteiten. Onze mindset verschuift van 'trust but verify' naar het zero trust-principe 'never trust, always verify'.
Geen verificatie zonder context
Maar wat is de basis van deze verificatie? Als 'verify' de basis is van ons vertrouwen, hoe ziet deze stap er dan uit? Is een sterk wachtwoord, gebruikersnaam met een authenticatiecode genoeg? Nee, want ook deze zaken kunnen gestolen worden. Er is een hele markt op het darkweb waar dit soort gestolen credentials verhandeld worden. Ook zijn er sommige veelgebruikte MFA-methoden die inmiddels geen barrière meer vormen voor hackers. Steeds meer zijn we gaan leren dat het autorisatie- en authenticatieproces ook context moet meenemen en vinger aan de pols moet houden voor het geval het onderweg misgaat.
Wordt er ingelogd vanuit een door de organisatie geregistreerde machine? Is het patchlevel in orde? Is er een antivirus geïnstalleerd? Wordt er ingelogd vanuit een logische plek van het internet? Is het gedrag normaal of zijn er verdachte of ongebruikelijke activiteiten? Allemaal zaken die je wil meenemen in je overweging voor toegang tot gevoelige data. En als die toegang er eenmaal is, willen we een voortdurende evaluatie of het vertrouwen nog steeds gegrond is. Binnen zero trust noemen we dat 'verify explicitly'.
Zero trust: niet alleen voor organisaties met groot budget
Zero trust is een mindset, een verzameling concepten en ideeën hoe je security zou kunnen vormgeven. Je kan 'oplossingen' verzinnen waarbinnen deze principes bewust van de grond af aan zijn ingebouwd. Zoals bijvoorbeeld de 'zero trust network access'-oplossingen die sommige leveranciers aanbieden. Echter, je kan ook bestaande architectuur, hardware, netwerkapparatuur en software zo configureren dat ze ingericht zijn en gebruikmaken van zero trust-principes. Je hoeft dus niet per se te investeren in nieuwe oplossingen of apparatuur om met zero trust aan de slag te gaan. Elke organisatie, ongeacht het budget, kan hier in principe mee aan de slag. Zelfs een consumentenrouter kan je configureren volgens zero trust-principes.
Wanneer is zero trust af?
Wanneer is zero trust 'af'? Het simpele antwoord is 'nooit'. Zero trust wordt omschreven als een 'reis' waarbij je nooit een eindbestemming bereikt. We blijven continu systematisch nadenken of het vertrouwen terecht is en hoe we deze kunnen verifiëren.
Toch willen we met deze blogserie deze oneindige reis gaan maken, en gaan we wel zien dat we steeds volwassener kunnen worden in het inzetten van zero trust. Alhoewel we een aantal belangrijke principes al gedefinieerd hebben: 'never trust, always verify', 'assume compromise' en 'verify explicitly', kunnen we dit voor ons IT-landschap verder uitwerken. Hiervoor zullen we gebruik maken van het document van CISA die de 5 domeinen definieert waarbinnen zero trust toegepast kan worden (indentiteit, devices, netwerk, applicaties en workloads, en data).
De reis mag dan oneindig zijn, deze blogreeks is dat niet: nadat we de 5 domeinen in aparte blogs hebben uitgewerkt, zul je zelf in staat zijn verder te reizen naar een veiliger IT-omgeving!
In de volgende blogpost gaan we beginnen met het eerste domein: identity.