Het leidende nulvertrouwensprincipe – “nooit vertrouwen, altijd verifiëren” – is een essentiële praktijk geworden om de complexe en diverse cloudnetwerken van nu veilig te stellen. Nog niet zo lang geleden kon je de voordeur van je bedrijf vergrendelen, vol vertrouwen dat al je waardevolle informatie binnen die muren veilig was. Daarna kwamen laptops en schijven en geheugenstokken - en zo vaak hoorde je een verhaal over iemand die ergens staatsgeheimen achterlaat in een trein. Tegenwoordig zijn de gegevens van uw bedrijf mogelijk overal beschikbaar. En met de ongekende toename van externe en gedistribueerde werknemers, kan “overal” letterlijk “overal ter wereld” zijn.

Tegenwoordig draaien de beste softwareoplossingen allemaal in de cloud – om niets te zeggen van de miljoenen verbonden apparaten en assets in 's werelds industriële IoT-netwerken. En terwijl cloudapplicaties doorgaans niet minder veilig zijn dan on-premise applicaties - integendeel, in feite - zijn er nieuwe risico's in de huidige verbonden wereld. Digitale en cloudtechnologieën hebben verbreed wat beveiligingsexperts het aanvalsoppervlak van elke organisatie noemen.

Traditionele cybersecurity-protocollen werden gemodelleerd op het idee van gebruikers die door de beveiliging aan de virtuele voordeur van het bedrijf gingen en vervolgens de loop van de plaats kregen zodra ze binnen kwamen. Met andere woorden, ze zijn ontwikkeld in een pre-cloud wereld. Maar nu zijn er meer toegangspunten - de persoonlijke telefoon van een werknemer of een IoT-printer zou een potentieel portaal kunnen zijn - en bedrijven hebben hun beveiligingsstrategieën moeten onderbreken. Met cyberaanvallen op een recordhoogte moet netwerkbeveiliging bovenaan uw takenlijst staan. Nulvertrouwensimplementatie vereist betrokkenheid en samenwerking in uw hele bedrijf.

Zero trust: definitie en strategie

John Kindervag werkte als analist bij Forrester Research in 2010, in een tijd waarin cloudapplicaties en IoT-apparaten begonnen te stijgen. Kindervag erkende terecht de enorme gevoeligheid en waarde van de data en intellectuele eigendom binnen de systemen van Forrester. Als reactie op dit groeiende risico bedacht hij de term zero trust en leidde hij de ontwikkeling van veel van zijn kernprincipes.

Zero Trust kan worden gedefinieerd als een IT-beveiligingsmodel dat vereist dat elke gebruiker en mogelijk verbonden apparaat strikt verifieert of ze zich binnen of buiten de perimeters van het bedrijf bevinden. Zero Trust Architecture (ZTA) maakt gebruik van een reeks processen en protocollen, evenals speciale digitale oplossingen en tools om succes te behalen.

Zero Trust Network Access (ZTNA) is de toepassing van zero trust architectuur die Gartner definieert als de creatie van “een identiteit- en contextgebaseerde, logische toegangsgrens rond een applicatie of set applicaties.” Hiermee worden deze applicaties uit de openbare weergave verwijderd en zijn alleen gebruikers toegestaan die zijn geverifieerd en die zich houden aan vooraf opgegeven toegangsbeleid.

Maar in werkelijkheid begint nul vertrouwen als een culturele transformatie binnen uw organisatie. We hebben de neiging om te denken aan cybersecurity in termen van slechte actoren die er bewust naar streven om schade te veroorzaken, maar helaas, is het vaak onwetendheid in plaats van kwaadaardigheid die leidt tot risico en verlies. In feite blijkt uit een recent rapport dat het aantal e-mailaanvallen in de eerste helft van 2022 met 48% is toegenomen, waarbij werknemers als gevolg van phishing in oplichting werden gelokt of details werden bekendgemaakt. Dit illustreert waarom onderwijs en culturele inbreng zo'n essentieel onderdeel is van de uitvoering van zero-trust.

Waarom zijn nulvertrouwensprincipes nu zo noodzakelijk?

Er bestaat weinig twijfel over dat cyberaanvallen in opkomst zijn. In 2022 werd een groot onderzoek gehouden onder 1.200 grote organisaties in 14 verschillende sectoren en 16 landen. Ondanks de prioriteit van cybersecurity gaven veel respondenten toe dat ze onvoldoende beveiliging hadden. In feite toonden de bevindingen een alarmerende stijging van 20,5 % in het aantal materiële inbreuken in de maanden 2020 tot 2021.

Hieronder volgen enkele van de andere uitdagingen op het gebied van beveiliging waarmee bedrijven vandaag de dag worden geconfronteerd:

• Oude firewalls. Veel bedrijven zijn te veel afhankelijk van firewalls die dateren van voor de proliferatie van cloudconnectiviteit. VPN's zijn een levensvatbaar hulpmiddel om firewalls uit te breiden, maar ze zijn geen effectieve langetermijnoplossing vanwege hun beperkte omvang en de neiging om de prestaties van zakelijke apps te vertragen, wat op zijn beurt invloed heeft op de productiviteit van werknemers.
• Complexiteit van de verificatie. Apparaat-agnostische software is ideaal voor gebruikers, maar voegt een complexe laag toe aan beveiligingsprotocollen. Zelfs als gebruikers bedrijfstelefoons en laptops hebben, zijn ze slechts zo veilig als de verificatie- en beveiligingsprotocollen die beschikbaar zijn om ze te beschermen.
• Apparaten van derden. Met de pandemie werden hele arbeidskrachten vanuit huis naar het werk gestuurd, bijna van de ene op de andere dag. Veel bedrijven hadden geen andere keuze dan werknemers hun eigen computers en apparaten te laten gebruiken. In veel gevallen werden beveiligingsoplossingen gecreëerd om het bedrijf draaiende te houden en de lichten aan te laten. Maar voor veel bedrijven moeten ze deze tijdelijke maatregelen nog ontrafelen en meer kogelvrije nulvertrouwensmaatregelen implementeren voor hun afgelegen werknemers.
• Niet-geautoriseerde applicaties. Het gebruik van zakelijke SaaS-apps verloopt op een gestaag opwaarts traject. Helaas zijn veel IT-teams dun uitgerekt, waardoor gebruikers vaak hun eigen apps kopen en gebruiken binnen het bedrijfsnetwerk, zonder hun IT-teams te informeren. Niet alleen zijn deze apps niet onderworpen aan strikte nulvertrouwenspraktijken, maar ze kunnen ook de veiligheidsmaatregelen volledig hebben omzeild.

• IoT-connectiviteit. Een industrieel IoT-apparaat kan net zo eenvoudig zijn als een ventilator of een lasmachine. Omdat deze apparaten niet worden beschouwd als een "computer" van welke aard dan ook, kunnen gebruikers gemakkelijk vergeten dat ze een potentieel toegangspunt in het bedrijfsnetwerk zijn. Nulvertrouwensarchitectuur zet automatiseringen en processen op hun plaats die beveiliging garanderen voor alle eindpunten, machines en IoT-assets.
• Omnichannel portals. Werknemers zijn niet de enige werknemers in uw zakelijke cloud. We zien steeds meer verbonden apparaten zoals slimme schappen in winkels en mobiele apps "overal betalen". Elk van deze omnichannel portals is een risico. Nulvertrouwen helpt om deze risico's veilig te stellen zonder onnodig ongemak of vertraging voor uw klanten.
• ERP-beveiligingsuitdagingen. In de afgelopen jaren waren ERP-systemen beperkt tot bepaalde plannings- en financiële taken en hadden ze een beperkt aantal gebruikers binnen het bedrijf. De beste Cloud ERP-systemen van vandaag worden echter aangedreven door AI, geavanceerde analytics en krachtige, schaalbare databases. Ze kunnen integreren met verschillende applicaties en systemen in het hele bedrijf en worden steeds vaker ingezet om elk operationeel gebied te optimaliseren en te stroomlijnen. Moderne ERP-systemen hebben geavanceerde beveiligingssystemen ingebouwd, maar net als elk ander systeem hebben ze kwetsbaarheden die alleen met een breder bereik en toegankelijkheid samenkomen. Nulvertrouwensprincipes helpen uw bedrijf in elke fase te beschermen als ze worden toegepast op een sterke beveiliging van cloud ERP.

Hoe werkt nulvertrouwen?

Zero Trust combineert een reeks technologieën en protocollen zoals multifactorauthenticatie, endpoint-beveiligingsoplossingen en cloudgebaseerde tools om een verscheidenheid aan attributen en identiteiten te bewaken en te verifiëren, van gebruikers tot eindpunten. Nul vertrouwen vereist ook de codering van gegevens, e-mails en workloads om hun beveiliging te waarborgen. In wezen, zero trust protocollen:

• Beheer en beperk netwerktoegang van iedereen, overal, via elk apparaat of asset
• Verifieer elke gebruiker of asset die toegang heeft of zou kunnen krijgen tot elk niveau van het netwerk
• Registreer en inspecteer alle netwerkverkeer in realtime

Een zero-trust beveiligingsmodel maakt gebruik van een need-to-know beleid. In wezen betekent dit dat gebruikers alleen toegang hebben tot de gegevens en applicaties die ze nodig hebben om hun werk te doen. En nogmaals, technologie is het dubbelzijdige zwaard in de race voor betere cybersecurity. Naarmate digitale oplossingen en connectiviteit verbeteren, creëren ze een groter aanvalsoppervlak, dus er zijn betere en snellere beveiligingstechnologieën nodig om bij te blijven. En niet alleen bijhouden, maar ook zorgen voor minimaal ongemak en verstoring voor de gebruiker. Dit vereist een flexibel en dynamisch beveiligingsbeleid, ondersteund door contextuele informatie en de maximale hoeveelheid beschikbare gegevenspunten, en in realtime. Wie is deze persoon? Waar zijn ze? Waar proberen ze toegang tot te krijgen? Waarom hebben ze die toegang nodig? Op welk apparaat of eindpunt komen ze binnen?

Voordelen van zero trust-oplossingen

De meest ernstige datalekken kunnen catastrofaal zijn. De privégegevens van uw klanten staan op het spel, net als uw financiën, uw intellectuele eigendom en natuurlijk uw goede reputatie. Net als bij verzekeringen kunnen beveiligingsbeleggingen een grote kostenpost lijken... totdat u ze nodig hebt. En dan zien ze eruit als een kleine prijs om te betalen om uw bedrijf te beschermen.

Enkele van de vele voordelen van zero trust oplossingen zijn:

• Bescherming van hybride en externe arbeidskrachten. We hebben besproken hoe externe werknemers en persoonlijke apparaten het cybersecurityspel hebben verbeterd. Maar niet alleen uw bedrijf loopt gevaar. Cybercriminelen kunnen uw werknemers persoonlijk benaderen, dus het is belangrijk om ervoor te zorgen dat er strenge maatregelen worden getroffen om hun risico's en die van u te verminderen.
• Flexibiliteit en nieuwe bedrijfsmodellen ondersteunen. Om te kunnen concurreren en verstoringen het hoofd te kunnen bieden, moeten bedrijven nieuwe bedrijfsmodellen kunnen ontwikkelen en verkennen. Dit betekent het onboarden van nieuwe applicaties, software en verbonden assets. Het waarborgen van de veiligheid onder deze omstandigheden is een ontmoedigende taak als het handmatig wordt afgehandeld. Gelukkig kunnen de beste zero-trust software tools dingen versnellen met slimme automatisering en aanpasbare oplossingen die ervoor zorgen dat alle cruciale stappen worden genomen.
• Minder kosten voor IT-resources. Vraag een IT-professional hoeveel tijd ze besteden aan handmatige beveiligingstaken – het antwoord is waarschijnlijk "te veel". Wanneer bedrijven hun kernbedrijfssystemen naar de cloud verplaatsen, kunnen beveiligingspatches en -updates op de achtergrond worden geautomatiseerd en uitgevoerd. Dit geldt ook voor zero-trust beveiligingsprotocollen. Van gebruikers tot eindpunten, veel van de kernversleutelings- en verificatietaken die zijn gekoppeld aan nul trust kunnen worden geautomatiseerd en gepland.
• Het leveren van een nauwkeurige inventaris. Nulvertrouwensprincipes vereisen dat het bedrijf een nauwkeurige inventaris bijhoudt van alle assets, gebruikers, apparaten, applicaties en verbonden resources. Met de juiste oplossingen kunnen voorraadupdates worden ingesteld op automatisch bijwerken, zodat de gegevens in realtime nauwkeurig zijn. In het geval van een poging tot overtreding is dit een waardevol onderzoeksinstrument. Bovendien hebben bedrijven vaak miljoenen aan eigenhandige activa verbonden, dus een nauwkeurige inventaris is ook een financieel voordeel.
• Een betere gebruikerservaring bieden. Traditionele verificatieprocessen kunnen traag en moeilijk te beheren zijn. Dit leidde ertoe dat gebruikers ofwel probeerden beveiligingsprotocollen te omzeilen, ofwel zelfs het gebruik van essentiële tools en toepassingen probeerden te vermijden omdat ze moeilijk te gebruiken waren. De beste nul-vertrouwensoplossingen zijn gebouwd om onopdringerig en responsief te zijn, waardoor werknemers worden ontlast van het uitvinden (en vervolgens vergeten) van wachtwoorden en het traag reageren op verificatieprocessen.

Zero Trust Best Practices: Aan de slag

Er zijn verschillende taken die u moet uitvoeren zodra uw nulvertrouwenstransformatie is begonnen. Dit omvat het catalogiseren van uw assets, het definiëren van segmenten binnen uw organisatie en het classificeren van uw gegevens voor een soepelere overgang.

Zero trust begint met een toezegging en de volgende stappen kunnen je helpen om te rollen:

• Delegeren. Uw IT-team heeft het al te druk. Overweeg om een toegewijde professional op het gebied van cybersecurity change management in te schakelen of aan te stellen die u kan helpen risico's te beperken, verbeteringsmogelijkheden te ontdekken en een werkbare roadmap op te stellen.
• Communiceren. Laten we eerlijk zijn, uw medewerkers zullen niet meteen blij zijn met nieuws over strengere beveiligingsmaatregelen. Als u investeert in betere beveiliging, moet u ook investeren in meer boeiende berichtgeving en communicatie rond deze transformatie. Er zijn tal van praktijkvoorbeelden van de gevaren van cybercriminaliteit. Help uw teams te begrijpen dat niet alleen de C-suite wordt getroffen door een datalek, het kost banen, beïnvloedt individuen en bedreigt het voortbestaan van het bedrijf.
• Controle. Samenwerken met een beveiligingsspecialist, een checklist van veiligheidsrisico's opstellen en elk gebied van het bedrijf controleren. Breek silo's af en kom in contact met vakspecialisten in uw hele team. Ze weten als geen ander waar de zwakheden en kwetsbaarheden zich op hun gebied bevinden, met name in complexe, wereldwijde processen zoals supply chains en logistiek.
• Prioriteit toekennen. Bepaal het relatieve belang en de urgentie van al uw bedrijfsactiviteiten en taken en wijs een waardering toe. Bepaal een roles-based assessment van wie kritisch toegang nodig heeft tot dingen en wie minder. Deze initiële prioritering zal u ook helpen om u voor te bereiden op microsegmentatie, een fundamenteel onderdeel van nulvertrouwen - het voorkomen van zijwaartse beweging en de bijbehorende blootstelling aan datalekken.

In de huidige wereld van eufemismen en zorgvuldige taal lijkt nulvertrouwen voor uw medewerkers misschien een ietwat cynische term. Dus, ga daar voor uit als je nul vertrouwen introduceert bij je teams. Zeg ze aan het begin dat dit op geen enkele manier betekent dat je ze niet vertrouwt. Het zijn de cybercriminelen die niemand mag vertrouwen, omdat ze dingen kunnen doen lijken alsof ze dat niet zijn. Ze kunnen door de kleinste gaten sluipen en als ze eenmaal binnen zijn, maken ze het niet uit wie ze beschadigen.