De zeven basisprincipes van zero trust cybersecurity

28 februari 2024 Consultancy.nl

Zero trust cybersecurity is de afgelopen jaren sterk in opkomst. Waar zero trust een aantal jaren geleden mondjesmaat genoemd werd, staat inmiddels het hele internet er vol van. Experts van FP Security leggen aan de hand van zeven basisprincipes uit wat zero trust is en waarom het zo belangrijk en waardevol is voor organisaties.

Zero trust is een securitystrategie die zich baseert op het idee dat organisaties niet blindelings vertrouwen moeten geven aan interne en externe gebruikers. Men moet blijven verifiëren dat alles klopt. Dus voortdurende controle en validatie. Het is een soort van ‘vertrouw nooit te veel, controleer altijd’-benadering om het IT-landschap, de continuïteit van processen en de organisatie te borgen.

De manier waarop zero trust wordt geïmplementeerd binnen bedrijven kan verschillen. Bij FP Security gaan we uit van zeven basisprincipes.

De 7 basisprincipes van Zero Trust cybersecurity

Basisprincipe 1: Controleer en vertrouw niet blind
Controleer en verifieer de identiteit van gebruikers en apparaten, ongeacht hun locatie of netwerkbron. Met andere woorden: Ben jij wie je zegt te zijn? Zie het als een soort paspoortcontrole. Wees dus bewust en begrijp wie de gebruikers zijn, waar ze zich bevinden en wat ze precies doen.

Gebruik hierbij logging, zodat gedrag wordt vastgelegd en je afwijkingen sneller kunt herkennen. Op deze manier handel je proactief op eventuele bedreigingen.

Basisprincipe 2: Gebruikers- en autorisatiebeheer
Geef alleen de benodigde toegangsrechten aan gebruikers en apparaten en beperk de duur van deze toegangsrechten wanneer bepaalde taken en/of werkzaamheden niet structureel nodig zijn.

Als je de vergelijking trekt met het paspoort, of in dit geval een identificatiebewijs, dan zitten er ook regels aan de verschillende identificatiebewijzen. Met een rijbewijs kun je je wel identificeren, maar mag je niet reizen. Een paspoort kun je wereldwijd gebruiken en een ID-kaart alleen binnen Europa.

Daarnaast adviseren we om de users en autorisaties die niet gebruikt worden actief en regelmatig te verwijderen. Hierdoor beperk je aandachtsgebieden en risico’s doordat je overmatige autorisaties minimaliseert.

Basisprincipe 3: Ontwerp met security in gedachte
Een ander belangrijk basisprincipe van zero trust is het opsplitsen van het netwerk in segmenten. Maak daarbij onderscheid tussen core-processen, gegevens en overige ondersteunende processen. Zet je IT-landschap zo op dat zaken makkelijk van elkaar gescheiden kunnen worden in geval van nood. Dit helpt bij het beperken van bewegingen van bedreigingen.

Een mooie tastbare vergelijking zijn de Nederlandse Deltawerken. Onze Deltawerken zijn zo ontworpen dat we in geval van nood gecontroleerd delen van het land kunnen laten onderlopen. Delen waar de schade en impact het kleinst is.

Basisprincipe 4: Monitor continu het IT-landschap
Houd voortdurend toezicht op alle activiteiten, zowel binnen als buiten het netwerk. Gebruik logging zodat je zaken ook kunt terugzien om zo te voorkomen dat je zaken mist. Hierdoor kun je verdachte of ongebruikelijke patronen identificeren.

Doordat zero trust organisch is, kan het zich ook gemakkelijk aanpassen aan interne en externe omstandigheden. Maar daarvoor is monitoring en aanpassingen om effectief te blijven wel belangrijk. Ook moet je weten wat je doet als je zaken vindt die niet kloppen. Dus stel een proces op waarin je duidelijk de stappen beschrijft die je neemt als het verdacht of zelfs fout is.

Daarbij kunnen we weer de vergelijking maken met de Deltawerken. Als er een storm wordt voorspeld, is daar een heel duidelijk plan met maatregelen voor opgesteld. Eerst worden de stormkeringen en bepaalde sluizen dichtgezet. Mocht er een dijk dreigen door te breken, worden bepaalde sluizen weer opengezet, om bepaald gebied gecontroleerd onder water te laten lopen, waardoor schade en impact worden beperkt.

Basisprincipe 5: Gebruik end-to-end encryptie
Versleutel data en netwerkverkeer over de gehele keten om de vertrouwelijkheid te waarborgen. Hiermee voorkom je dat als er ooit iemand op je systeem komt of data worden geëxporteerd, alles zichtbaar is voor iedereen.

Denk bijvoorbeeld aan een Wordfile dat je versleuteld verstuurt. Wanneer deze wordt onderschept, heb je de encryptiesleutel nodig om het bestand te kunnen lezen. Zie het als een voordeur die je wel kunt openen, maar dat in het pand alle kamers en spullen achter slot en grendel zitten.

Basisprincipe 6: Update risico’s en maak ze specifiek
De wereld staat niet stil en risico’s veranderen dus houdt hier rekening mee. Tegenwoordig zie je dat het aantal aanvallen met ransomware bijvoorbeeld erg toeneemt.

Waar je ook rekening mee dient te houden, is dat je in een bepaalde sector te maken hebt met andere risico’s. Cybercriminelen zijn gespecialiseerd binnen een bepaalde sector en/of methodiek en zullen andere doelen en beweegreden hebben.

Denk aan defensie, bank of ziekenhuis. Allemaal hebben ze hun eigen branche-specifieke gegevens en dus risico’s. Zorg als organisatie dus dat je weet wat de trends zijn op het gebied van risico’s en aanvallen en blijf ze een stap voor door de juiste maatregelen te nemen.

Basisprincipe 7: Security doen we samen
Security en risk is niet alleen van securitybeheerders, riskmanagers en auditeurs. Het is van ons allemaal en alleen als iedereen dit begrijpt en toepast, kun je zero trust echt goed toepassen. Biedt hiervoor awarenesstrainingen en testen aan zodat iedereen scherp en alert blijft.

Continu evoluerend in een veranderende wereld

Het concept van zero trust gaat dus verder dan alleen het beveiligen van gegevens. Het is een dynamische benadering die zich aanpast aan interne en externe omstandigheden.

Een zero trust-framework draagt bij aan een robuuste beveiligingsaanpak die niet uitgaat van impliciet vertrouwen, maar eerder van vertrouwen op basis van strikte validatie en controle.