Selecteer een pagina
Waarom Zero Trust noodzakelijk is om je goed te beveiligen
Waarom Zero Trust noodzakelijk is om je goed te beveiligen

De noodzaak voor het gebruik van het Zero Trust principe wordt steeds groter. ‘Technologische ontwikkelingen hebben de traditionele kijk op security en het beveiligingsbeleid van veel organisaties ingehaald’, zo geeft het Nationaal Cyber Security Centrum (NCSC) aan. Met Zero Trust vergroot je de weerbaarheid van jouw organisatie tegen aanvallen en dreigingen van binnenuit en is de beveiliging van jouw IT infrastructuur meer toekomstbestendig.

Wat is Zero Trust

Het Zero Trust model kijkt verder dan de aanname dat alles achter de bedrijfsfirewall veilig is. Zero Trust gaat uit van inbreuk en verifieert elk verzoek, alsof het afkomstig is van een open netwerk. Zero Trust leert ons: nooit vertrouwen, altijd verifiëren. Ongeacht waar het verzoek vandaan komt of welke bron het benadert. Bij Zero Trust wordt elk verzoek om toegang volledig geverifieerd, geautoriseerd en versleuteld voordat toegang wordt verleend.

De traditionele beveiligingsmodellen werken vaak op basis van het principe dat alles aan de binnenzijde van een netwerk vertrouwd kan worden. Zero Trust wijkt hiervan af en zet in op verificatie in plaats van vertrouwen. Zero Trust is een beveiligingsmodel dat aanvallen en datalekken helpt te voorkomen en is ontworpen om moderne digitale omgevingen te beschermen.

Waarom Zero Trust

In het huidige IT landschap is het belangrijk dat apparaten en gegevens worden beschermd, ongeacht de locatie waar zij zich bevinden of het type apparaat dat wordt gebruikt. Zero Trust zorgt voor een beveiligingsmodel, dat zich effectief aanpast aan een complexe moderne omgeving. Zero Trust biedt organisaties de mogelijkheid hun risico’s te beperken.

Door verschillende technologische veranderingen en de toename van dreigingen neemt de noodzaak van Zero Trust toe. Het aantal malware aanvallen stijgt enorm, waarbij we vooral zien dat er een grote toename is van ransomware. Digitalisering binnen een organisatie en het nieuwe werken zorgen ervoor dat het aantal aanvallen toeneemt.

NCSC: ‘De beveiligingsbehoeften en verwachtingen van gebruikers en klanten van organisaties nemen toe. Zij willen dat hun persoonsgegevens en gevoelige informatie nu en in de toekomst effectief worden beveiligd. Dit kunnen organisaties realiseren met Zero Trust.’

Kansen met cloud

Veel organisaties kiezen voor een transitie naar de cloud. Dat brengt kansen met zich mee. Bij nieuwe investeringen in cloudadoptie kunnen organisaties Zero Trust omarmen. Cloud biedt namelijk de kans om de implementatie van Zero Trust gemakkelijker en goedkoper te realiseren. Wanneer je besluit om Zero Trust op een ander moment te implementeren, dan leidt dat tot hogere kosten. Het kost namelijk meer tijd en geld om Zero Trust achteraf in te bouwen, omdat jouw organisatie de infrastructuur die net is gebouwd dan moet aanpassen. Daarnaast kan het lang duren voordat zich een volgende mogelijkheid aandient. Tot die tijd is de beveiliging van jouw netwerk minder effectief en is de potentiële impact van een incident groter.

Zero Trust principes

Het Zero Trust model gaat uit van de onderstaande principes.

Verify explicitly
Verifieer en autoriseer altijd op basis van alle beschikbare datapunten, inclusief de gebruikersidentiteit, locatie, device health, service of workload, gegevensclassificatie en anomalieën.

Use least privileged access
Beperk gebruikerstoegang met Just-In-Time en Just-Enough Access (JIT/JEA), risico gebaseerde adaptieve policies en data protection om zowel gegevens als productiviteit te beschermen.

Assume breach
Minimaliseer de impactradius voor breaches en segmenteer de toegang. Controleer of alle sessies van begin tot eind zijn versleuteld. Gebruik analytics om overzicht te krijgen, bedreigingen op te sporen en verdedigingen te verbeteren.

Controleer op basis van identiteit

De vraag die een organisatie zichzelf ook moet stellen: wat gebeurt er met gebruikers, bedrijfsgegevens en apparaten, zowel binnen als buiten de firewall. Ga te werk alsof het netwerk van de organisatie al gecompromitteerd is. Focus op moderne authenticatie, Zero Trust, voorwaardelijke toegang en detectie van abnormaal gebruikers- en informatiegedrag.

Identiteiten zijn de gemeenschappelijke deler bij de vele netwerken, devices en applicaties van vandaag de dag. In het Zero Trust beveiligingsmodel fungeren ze als een krachtige, flexibele en granulaire manier om de toegang tot gegevens te controleren. Voordat een identiteit toegang probeert te krijgen tot een bron, moeten organisaties:

– De identiteit verifiëren met sterke authenticatie (MFA).
– Ervoor zorgen dat de toegang in overeenstemming is met en typerend is voor die identiteit
– Minst privilege toegangsprincipes volgen.

Controleer op basis van devices

De vraag die gesteld moet worden; wat gebeurt er met gebruikers, bedrijfsgegevens en apparaten, zowel binnen als buiten de firewall? De moderne onderneming heeft een ongelooflijke diversiteit aan apparaten, die toegang hebben tot gegevens. Niet alle apparaten worden beheerd of zijn zelfs eigendom van de organisatie, wat leidt tot verschillende apparaat configuraties en softwarepatchniveaus.

Dit creëert een enorm aanvalsoppervlak en als dit niet wordt opgelost, kan de toegang tot werkgegevens vanaf onvertrouwde apparaten gemakkelijk de zwakste schakel in de Zero Trust-beveiligingsstrategie worden.

Implementatie van Zero Trust

Het implementeren van een echt Zero Trust model vereist dat alle componenten; – de identiteit van de gebruiker, het apparaat, het netwerk en de toepassingen – worden gevalideerd en bewezen betrouwbaar zijn. Zero Trust verifieert de identiteit en gezondheid van het apparaat, voordat toegang wordt verleend tot bedrijfsmiddelen.

Wij hebben voor informatiebeveiliging de ITON Baseline voor Informatiebeveiliging (IBI) ontwikkeld. Hierbij gaan we uit van het Zero Trust framework. Op die manier helpen wij organisaties pragmatisch in kleine stappen naar een veiligere omgeving. De baseline is gebaseerd op twee breed geaccepteerde frameworks:

– ISO 27002: wereldwijde standaard voor maatregelen op het gebied van informatiebeveiliging
– Zero Trust model. Technisch model om moderne beveiliging in je omgeving te brengen.

Met IBI stellen we een richtlijn op, om onder andere Zero Trust in te passen in jouw organisatie. We kijken welke sloten je al op de deur hebt en wat de mogelijke verbeteracties zijn. Wij hebben momenteel 300+ verbeteracties in onze database. Deze hebben we onderverdeeld in essentieel, goed, beter, best. Via een dashboard is de actuele score van jouw organisatie te zien.

Nadat duidelijk is welke verbeteringen mogelijk zijn, worden deze uitgevoerd op basis van het informatieveiligheidsplan. Door verbeteringen planmatig door te voeren, wordt niet alleen zorgvuldig gewerkt aan verbetering, maar wordt vooral navolgbaar wat er op welk moment is gebeurd of gaat gebeuren.

Meer informatie over IBI

Meer weten?

Wil je met ons van gedachte wisselen over Zero Trust model of meer weten over de ITON Baseline voor Informatiebeveiliging? Neem dan via het formulier contact met ons op.

Jacco Wildeman

Jacco Wildeman

Technisch Consultant

Als eerste op de hoogte

Abonneer op onze nieuwsbrief

Logo-ITON-footer

Contact

> Neem contact op

Werken bij

> Kom bij ons werken

Gegevens

Landjuweel 20
3905 PG Veenendaal

Algemeen
088 070 06 00

Support
088 070 06 25
sd@iton.nl

Socials

     
IBI | ISO27001 | ISAE3402
Share This