Zero Trust factsheet
News 10 september 2021

NCSC Factsheet Zero Trust: wat is het en wat kun je ermee

Source: NCSC

Zero trust is een veel gebruikte term binnen cybersecurity, maar wat wordt ermee bedoeld? En is het noodzakelijk om zero trust te adopteren? Het NCSC heeft een inzichtelijk factsheet gepubliceerd over het hoe en waarom van een zero trust-beleid. Op deze pagina vertellen we je wat je moet weten over een zero trust-beleid en hoe je daarmee aan de slag kunt.

Zero trust

Zero trust is een principe dat is ontwikkeld door John Kindervag in 2010, met als basisgedachte; never trust, always verify. Volgens het zero trust principe wordt niet vertrouwd op het bestaan van een 'veilig intern netwerk'.

Steeds meer organisaties kiezen ervoor om gebruik te maken van Zero trust-principes bij het beveiligen van hun IT-infrastructuur. Zij zoeken een beveiligingsmodel dat zich effectief weet aan te passen aan de complexe moderne omgeving. In deze omgeving moeten apparaten en gegevens worden beschermd ongeacht de locatie waar zij zich bevinden of het type apparaat dat binnen organisaties wordt gebruikt.

Het NCSC-NL heeft al eerder geschreven over zero trust in verschillende naslagwerken, waaronder het ook door ons gedeelde factsheet over ransomware. Daarin staan concepten van zero trust beschreven, zoals netwerksegmentatie en autorisatie, die we hieronder nog eens zullen overnemen.

Traditionele beveiligingsmaatregelen en ransomware

Veel organisaties baseren nog steeds hun beveiligingsarchitectuur op het kokosnoot- of kasteelmodel, waarbij de beveiliging primair gericht is op het plaatsen van beveiligingsmaatregelen op de “buitenste” laag van de infrastructuur. Dat traditionele beveiligingsmodel heeft structurele zwakheden en is onhoudbaar geworden door moderne malware- en ransomware-aanvallen. Het model schiet tekort wanneer het aankomt op de veranderde technologie en dreigingen van binnenuit.

Het zero trust principe gaat daarentegen uit van segmentering. Er ontstaat dus een opdeling van bijvoorbeeld meerdere kleine beveiligde netwerkjes (implied trust zones).

Implied trust zones helpen bij het structureren van een of meerdere functionaliteiten door het implementeren van een set aan beveiligingseisen. Eenmaal voldaan aan deze eisen, kan er toegang worden verkregen. Toegang tot deze implied trust zones gaat gepaard met sterke authenticatie en autorisatie en het monitoren hierop. De belangrijkste driepoot van zero trust is dan ook netwerksegmentatie, autorisatie en monitoring.

1. Netwerksegmentatie

Segmentering is het opdelen van zones. Zero trust beschrijft segmentering als implied trust zones. Een beheerder is verantwoordelijk voor een zone en dus ook voor beveiligingseisen en functionaliteiten.

Het hebben van kleinere zones (e.g. microservices in containers) is meer in lijn met de zero trust gedachte in plaats van grotere zones (e.g. netwerksegmenten). In grotere netwerksegmenten is er namelijk minder controle mogelijk. Praktisch is dit een balans vinden van zo klein mogelijke functionele netwerksegmenten en een werkbare controle op de toegang van die segmenten.

2. Authenticatie en autorisatie

Zero trust gaat dus uit van; never trust, always verify. Dat betekent een sterke controle van identiteit. Wanneer een gebruiker voldoet aan bepaalde vooraf gestelde bedrijfs-policies, dan pas krijgt deze gebruiker toegang tot de functionaliteit.

Wanneer een gebruiker toegang wil tot functionaliteiten, dient een verificatie van diens geclaimde identiteit plaats te vinden.

Het is essentieel om minimaal tweefactorauthenticatie toe te passen. Hierdoor voorkomt u veelgebruikte aanvallen als dictionairy attacks. Het NCSC adviseert in eerder verschenen factsheets en blogs over tweefactorauthenticatie en o.a. passwordless authenticatie (FIDO2).

Voor detectie van onbekende apparaten die toegang willen tot het netwerk is het monitoren van apparaten van belang. Om controle te houden op het netwerk is een beperking van het aantal systemen dat kan communiceren in een netwerk het overwegen waard. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dat betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet. Zo segmenteer je ook de toegang. Gebruikers koppelen aan vooropgestelde rollen en groepen kan dat inzichtelijk maken.

3. Monitoring

Het derde concept van zero trust is het monitoren van apparaten, gebruikers en services. Een monitorproces inrichten kan op basis van vooraf bepaalde rollen en policies. Het doel is om mogelijk misbruik te detecteren en zo dreigingen het hoofd te bieden.

Het monitorproces gebruikt logging om inzicht te krijgen. Zo kan bijvoorbeeld geverifieerd worden of gebruikers geen rollen/policies overschrijden. Een mogelijk respons hierop kan toegang ontzegging tot een zone zijn.

NCSC factsheet: 'Bereid u voor op Zero Trust'

Het gebruik van Zero trust-principes wordt steeds populairder en de noodzaak van het gebruik ervan wordt alsmaar groter. Technologische ontwikkelingen hebben de traditionele kijk op security en het beveiligingsbeleid van veel organisaties ingehaald. Organisaties die Zero trust omarmen zijn minder vatbaar voor externe aanvallen en dreigingen van binnenuit.

In de factsheet ‘Bereid u voor op Zero Trust’ adviseert het NCSC om een actieplan op te stellen zodat je effectief kan inspringen op Zero trust wanneer de mogelijkheid zich voordoet. Organisaties die Zero trust omarmen zijn minder vatbaar voor externe aanvallen en dreigingen van binnenuit. Het NCSC adviseert om een actieplan op te stellen om te zorgen dat je Zero trust kunt toepassen bij toekomstige investeringen. Hoe je hiermee aan de slag gaat, lees je in deze factsheet.

Klik hier voor de factsheet.

 

Wil je weten wat jij kunt doen om de cyberweerbaarheid van jouw organisatie én van de gehele keten te verhogen? Bekijk dan de infographic over de FERM dienstverlening. En meld je aan op ferm-rotterdam.nl/participant-worden

VIND FERM OOK OP LINKEDIN  | TWITTER 

SCHRIJF JE IN VOOR DE NIEUWSBRIEF

Infographic dienstverlening (91.78 KB)