Auteur: Tim Fitters (IT Risk & Compliance Consultant)

Zero Trust: Wat is het en waarom zou ik het gebruiken?

Vandaag de dag hoor je steeds vaker de term Zero Trust. Steeds meer bedrijven gaan ermee aan de slag, en zo wint Zero Trust snel terrein als dé norm in IT-beveiliging. Deze trend wordt ook gezien door Yeoh et al. (2023) zij stellen in hun onderzoek het volgende over Zero Trust: "een cyberbeveiligingsstrategie die verschuift van een locatiegerichte naar een meer gegevensgerichte aanpak voor betere beveiligingscontroles tussen gebruikers, systemen, gegevens en bedrijfsmiddelen die in de loop der tijd kunnen veranderen."

Maar wat is Zero Trust nu precies? Waar eerder de focus lag op het beschermen van een netwerk door een 'sterke buitenmuur' (perimeter) op te trekken, verschuift de aandacht nu naar het beveiligen van data, ongeacht waar die zich bevindt. Niemand, zelfs niet degenen binnen het netwerk, krijgt zomaar toegang zonder verificatie. Het basisprincipe is dan ook: "never trust, always verify."

Dit is een logische gedachte, want voorheen draaide beveiliging om het afschermen van een netwerk met een duidelijke grens, waarbij alles binnen deze grens als 'veilig' werd beschouwd. Maar met de opkomst van mobiele apparaten, cloud computing, bring your own device (BYOD) en het Internet of Things (IoT), is die grens vervaagd of in sommige gevallen zelfs compleet verdwenen. Door (deze) ontwikkelingen in het IT-landschap en werkculturen, zoals remote working, groeien de interne en externe bedreigingen. Daarom is een nieuwe aanpak nodig. Door geen enkele gebruiker of apparaat te vertrouwen zonder eerst te verifiëren, verkleint Zero Trust verschillende risico's. Bedreigingen kunnen immers overal, zowel intern als extern, opduiken, en daarom moet elke toegangspoging, ongeacht de afkomst, goed worden gecontroleerd.

Dat het niet uitmaakt waar een gebruiker of apparaat zich bevindt, is het sterke punt van Zero Trust. De toegang tot een systeem of netwerk wordt namelijk altijd opnieuw gecontroleerd. Er zijn geen zogenaamde 'veilig automatisch vertrouwde zones' meer. Door netwerken op te delen in 'kleine zones', waarbij niet alles automatisch wordt vertrouwd. Hierdoor blijft de schade beperkt wanneer een attack vector een systeem binnendringt. Automatisering speelt ook binnen Zero Trust een belangrijke rol, want dit maakt het mogelijk om bedreigingen snel en constant te identificeren en erop te reageren.

Waarom zou je voor Zero Trust kiezen?

Volgens Yeoh et al. (2023) biedt Zero Trust tal van voordelen, zoals een beter gestroomlijnde beveiliging, minder operationele overhead en een efficiëntere en flexibelere onboarding van werknemers en leveranciers. Uit hetzelfde onderzoek van Yeoh et al. blijkt ook dat bijna alle beveiligingsprofessionals van mening zijn dat Zero Trust onmisbaar is voor het succes van hun organisatie, dankzij de positieve invloed op de beveiliging in het algemeen en op de awareness omtrent cybersecurity. Zero Trust is vooral belangrijk in deze tijd, waarin remote werken steeds vaker de norm is, omdat het gegevens beschermt, zelfs wanneer werknemers ze offsite/remote openen op hun persoonlijke apparaten. Daarnaast, met het oog op de verwachte groei van 5G, cloud computing, AI en IoT, wat resulteert in meer gegevens, verbonden apparaten en grotere aanvalsoppervlaktes, is Zero Trust-cyberbeveiliging zelfs nog belangrijker voor de organisaties van vandaag. De oude cybersecuritystrategieën, die steunen op firewallbescherming en VPN's, voldoen gewoon niet meer in ‘het nieuwe normaal’ waarin bedreigingen van binnen en buiten komen.

Uitdagingen

Hoewel Zero Trust vele voordelen biedt, is de implementatie ervan ook niet zonder uitdagingen, maar ja dit is eigenlijk wel met alles… Zonder wrijving een glans zou men zeggen. Volgens Golden et al. (2021) is Zero Trust een grote uitdaging, omdat het een  filosofische verschuiving veroorzaakt in de manier waarop beveiliging wordt beheerd. De implementatie van Zero Trust is vooral daarom een complexe onderneming, waarbij meerdere dimensies een rol spelen. Het is belangrijk om goed te plannen en te balanceren, want Zero Trust kan problemen veroorzaken in de balans tussen beveiliging en werkbaarheid. Als je bij elk ‘wittewasje’ verschillende beveiligingsstappen moet doorlopen, kan dit ten koste gaan van de productiviteit. Het is dus van belang dat het access management goed wordt ingericht, met maatregelen zoals multi-factor authenticatie (MFA) en single sign-on (SSO). Ook endpoints moeten worden beschermd met technologieën als Endpoint Detection and Response (EDR). Daarnaast moeten (bedrijfs)risico’s ook worden meegenomen en gevoelige data goed worden afgeschermd met Data Loss Prevention (DLP). Dit is ook nodig om aan de NIS2-richtlijn te voldoen, dus zo sla je meteen twee vliegen in één klap.

In grote organisaties met veel IT-systemen kan het lastig zijn om Zero Trust toe te passen, vooral als de (legacy) systemen niet met een 'security-by-design'-gedachte zijn gemaakt. Die oudere systemen zijn vaak niet echt gebouwd voor de moderne(re) beveiligingsmaatregelen, waardoor het een hele uitdaging kan worden om alles goed en veilig te laten samenwerken.

De continue verificatie van Zero Trust kan ook het netwerk en de systemen extra belasten, dus hier moet rekening mee worden gehouden. Bovendien kunnen de kosten voor de implementatie hoog zijn, wat voor (kleinere) organisaties met een beperkt IT-budget een uitdaging kan vormen. Zoals Golden et al. al in hun onderzoek stelde en wat we vaak zien, is dat bijna elke cultuurverandering vaak op weerstand stuit. De Zero Trust-mentaliteit van "nooit vertrouwen, altijd verifiëren" zal hierop geen uitzondering zijn.

Zero Trust effectief implementeren

Een lang verhaal kort: Zero Trust is niet eenvoudig, maar het is wel een goede manier om je cybersecurity te verbeteren. Het is daarom de moeite waard om het te implementeren, want de voordelen wegen zwaarder dan de uitdagingen. Maar hoe doe je dit? Als je Zero Trust effectief wilt toepassen, zijn er een aantal belangrijke stappen die je moet nemen.

1. Houd voortdurend het netwerkverkeer en de aangesloten apparaten in de gaten om ervoor te zorgen dat alle gebruikers en systemen goed worden gecontroleerd en geverifieerd.
2. Zorg ervoor dat systemen en apparaten up-to-date blijven en beveiligingslekken snel worden gedicht. In een Zero Trust-netwerk moeten kwetsbare apparaten en systemen geen toegang krijgen totdat ze veilig zijn, wat monitoring extra belangrijk maakt.
3. Pas het "least privilege"-beleid toe, waarbij iedereen binnen de organisatie, van managers tot IT-teams, alleen toegang krijgt tot wat ze echt nodig hebben. Dit beperkt de impact als een account wordt gehackt. De vermindering van de impact komt ook terug in het onderzoek van Tam et al. (2021), die daarom juist voor kleine bedrijven Zero Trust aanbevelen voor toegang tot individuele systemen en accounts.
4. Segmenteer het netwerk in kleinere delen (microsegmentatie), zodat een inbreuk snel kan worden beperkt en aangepakt voordat het zich verspreidt.
5. Doe alsof de 'netwerkperimeter' niet bestaat, want veel netwerken zijn tegenwoordig verbonden met internet of de cloud, dus moet je handelen alsof er geen 'veilige' grens is.
6. Gebruik fysieke beveiligingssleutels voor multi-factor authenticatie (MFA), omdat deze veel veiliger zijn dan codes die via sms of e-mail worden verstuurd. Offline gegevens kunnen namelijk veel ‘moeilijker’ gehackt worden, al brengt dit wel uitdagingen met zich mee voor werkbaarheid en opslag.
7. Integreer 'threat intelligence' in je strategie om op de hoogte te blijven van de nieuwste bedreigingen, want de ‘bad guys’ veranderen vaak hun methoden, dus je moet altijd voorbereid zijn op nieuwe dreigingen.
8. Zorg ervoor dat de beveiligingsmaatregelen niet zo streng zijn, zoals te vaak moeten inloggen of continue een MFA request,  dat gebruikers ze gaan omzeilen. Als dat gebeurt, mis je compleet het doel van Zero Trust. Houd daarom altijd rekening met de behoeften van de gebruikers en de business om de beveiliging echt effectief te maken.

Gebruikte bronnen:

CrowdStrike. (2024, 22 januari). What is Zero Trust Security? Principles of the Zero Trust Model. crowdstrike.com. https://www.crowdstrike.com/cybersecurity-101/zero-trust-security/

Cybersecurity and Infrastructure Security Agency. (2023). Zero Trust maturity model. https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf

Golden, D., Perinkolam, A., Nicholson, M., Rafla, A., & Norton, K. (2021). Zero trust: never trust, always verify. Deloitte. https://www2.deloitte.

Yeoh, W., Liu, M., Shore, M., & Jiang, F. (2023). Zero trust cybersecurity: Critical

success factors and A maturity assessment framework. Computers & Security,

133, Article 103412 https://doi.org/10.1016/j.cose.2023.103412

Tam, T., Rao, A., & Hall, J. (2021). The good, the bad and the missing: A Narrative

review of cyber-security implications for australian small businesses. Computers

& Security, Article 102385. https://doiorg.

tilburguniversity.idm.oclc.org/10.1016/j.cose.2021.102385

Wikipedia contributors. (2024, 30 juli). Zero trust security model. Wikipedia. https://en.wikipedia.org/wiki/Zero_trust_security_model

Zero Trust Maturity Model | CISA. (z.d.). Cybersecurity And Infrastructure Security Agency CISA. https://www.cisa.gov/zero-trust-maturity-model

Zero Trust Model - Modern Security Architecture | Microsoft Security. (z.d.). https://www.microsoft.com/en-us/security/business/zero-trust