Door Jerry Hof
Gezien de voortdurende veranderingen in het beveiligingslandschap van ondernemingen sinds begin 2020, zoals de enorme toename van het aantal externe werknemers en de voortdurende druk op cloudgebaseerde services en infrastructuur, heroverwegen en herontwerpen veel bedrijfsleiders hun ondernemingen om deze uitdagingen aan te gaan. Werken op afstand wordt nu algemeen aanvaard als een vast onderdeel, daarom zal 2022 zeer verschillende cyberbeveiligingsmechanismen vereisen om te kunnen voldoen aan de aard van nieuwe dreigingen en wat moet worden beschermd. Dat gezegd hebbende, vragen veel ondernemingen zich af hoe ze naar het volgende beveiligingsniveau kunnen gaan en hoe ze hun omgeving voorbereiden op zoveel grote veranderingen? Een belangrijk deel van het antwoord voor veel organisaties is Zero Trust.
Het implementeren van Zero Trust is geen eenvoudige taak. De beste manier om met de voorbereiding te beginnen, is door te beslissen welke mogelijkheden u wilt/moet toevoegen, welke mogelijkheden u alleen maar hoeft te verbeteren en hoe u ervoor kunt zorgen dat deze gegevens zo gemakkelijk en veilig als praktisch mogelijk is voor iedereen met privileges toegankelijk is.
Hier zijn vijf dingen om te overwegen als voorbereidende stappen in deze reis.
1—Standaard op nul vertrouwen, definieer nul vertrouwen, selecteer nul vertrouwen
Zero Trust omarmen is tegenwoordig behoorlijk populair, maar Zero Trust staat meer dan wat dan ook dichter bij een filosofie of een mentaliteit. Verschillende ondernemingen zullen een Zero Trust-aanpak op een andere manier implementeren, gezien hun specifieke bedreigingslandschappen, de aard van hun bedrijf, geografische gebieden, verticale markten, waar ze over 18 maanden verwachten te zijn, nalevingsverplichtingen, klanten en tientallen andere variabelen.
Maar alle Enterprise Zero Trust-implementaties zullen een zeer sterke authenticatie hebben als de belangrijkste beveiligingscontrole. Sterke authenticatie gaat veel verder dan eerdere beveiligingsadviezen zoals lange wachtwoorden, maar zou een continu proces moeten zijn met gedragsanalyse, biometrie, locatie, veiliger MFA en uiteindelijk evolueren naar een wereld zonder wachtwoord en pincode. Het betekent dat je alle gebruikers voortdurend in de gaten moet houden tijdens alle sessies, dus hallo continue authenticatie en uiteindelijk Machine Learning om erachter te komen wanneer nieuw gedrag waarschijnlijk kwaadaardig is.
Zodra die enterprise CISO’s de beste Zero Trust-definitie op hoog niveau voor hun onderneming hebben gevonden, moeten senior management, LOB-beheer en IT aan boord zijn, samen met een groepsverplichting tot implementatie. Idealiter moeten alle deelnemers zich de implicaties van deze nieuwe veiligheidsrealiteit eigen maken. Zero Trust zal de manier veranderen waarop systemen worden gebudgetteerd, ontworpen en geïmplementeerd, en alle niveaus van het bedrijf moeten coördineren om de gewenste resultaten te bereiken.
Zero Trust is echt een fundamenteel onderdeel met betrekking tot secure by design, de sleutel tot het verminderen van risico’s op het gebied van authenticatie en toegangscontrole. Uiteindelijk zal het waarschijnlijk de complexiteit van handmatige beveiligingsoperaties verminderen, veel automatiseren op het gebied van authenticatie en toegangscontrole, en een veel betere beveiliging. En dat zal op zijn beurt naleving gemakkelijker maken, vooral als dezelfde benadering van Zero Trust consequent wordt toegepast in de wereldwijde bedrijfsomgeving.
Laten we realistisch gezien echter niet minimaliseren dat Zero Trust grote veranderingen zal vereisen in de manier waarop applicaties en systemen worden ontworpen, gebouwd, beheerd en onderhouden. Dit omvat on-prem, legacy-apps en apps van eigen bodem (inclusief apps die zijn geërfd van een groot aantal acquisities gedurende de levensduur van de onderneming). Voor sommige ondernemingen levert het een mooie bonus op in de vorm van lagere licentiekosten, omdat overtollige apps worden ontdekt en geëlimineerd.
Zero Trust zal waarschijnlijk ook nieuwe strategieën afdwingen voor de manier waarop gegevens worden verwerkt door mobiele apparaten, IoT en IIoT, evenals gegevens die worden uitgewisseld met partners en klanten wereldwijd.
2—Identificeer en benut bestaande Zero Trust-mogelijkheden
Overweeg goed nieuws. Er zijn vrijwel zeker enkele Zero Trust-mogelijkheden die al zijn ingebouwd in de beveiliging en IT-infrastructuur van de meeste ondernemingen. De truc is om deze bestaande Zero Trust-beveiligingscapaciteiten te identificeren en te bepalen of dat verantwoord is en wordt toegevoegd aan uw geplande Zero Trust-implementatie.
Zero Trust vereist doorgaans geen volledige wijziging van de beveiligingscontroles, aangezien u mogelijk al over enkele van de belangrijkste elementen beschikt. Veel moderne cloudomgevingen, zoals Microsoft Azure, zijn bijvoorbeeld gebouwd met Zero Trust in gedachten. Maar het zal vrijwel zeker een herbalancering van de beveiligingscontroles nodig hebben. Identiteit/IAM wordt bijvoorbeeld doorgaans veel belangrijker met een Zero Trust-aanpak. Taken/verantwoordelijkheden moeten mogelijk opnieuw in evenwicht worden gebracht tussen Security en IT.
Hoewel een gap-beoordeling in deze situaties gebruikelijk is, is het misschien een betere benadering om een reverse gap-beoordeling uit te voeren, wat betekent dat het team van de CISO alle bestaande Zero Trust-functionaliteiten zal identificeren.
3—Stop “lift and shift” van legacy-applicaties en servers naar de cloud
Ondernemingen verschuiven al tientallen jaren elk jaar meer naar de cloud, een patroon dat sterk versnelde met het begin van COVID rond maart 2020. Voor veel bedrijven zou een serieuze overstap naar Zero Trust die verschuiving nog meer kunnen versnellen.
Feit: cloudomgevingen zijn bijna altijd heel anders dan de on-prem-omgeving van een onderneming, wat de grootschalige verplaatsing van apps van het traditionele datacenter naar een cloudomgeving betekent – zonder een beoordeling om te zien of deze opnieuw kan of moet worden ontworpen om meer te zijn ” cloud native” – kan de implementatie van Zero Trust vertragen of belemmeren. Het nemen van afbeeldingen van datacenterservers en deze eenvoudigweg naar de cloud verplaatsen, ook wel ‘lift-and-shift’ genoemd, laat een kans voorbij gaan om te profiteren van de inherente beveiligingscontroles die zijn geïntegreerd in de belangrijkste cloudplatforms. Dit is met name problematisch voor oudere apps en apps van eigen bodem, omdat ze nooit zijn ontworpen om in een andere omgeving te bestaan.
Neem indien mogelijk de tijd om systemen te beoordelen en te bepalen of ze opnieuw kunnen worden geconfigureerd om te profiteren van cloud-native beveiligingsarchitectuur en beveiligingscontroles. Daarom vereist Zero Trust mogelijk een herontwerp van het authenticatiemechanisme voor bestaande applicaties. Door simpelweg traditionele servers naar de cloud te verplaatsen op zoek naar kostenbesparingen, loopt u mogelijk een kans mis om opnieuw te ontwerpen, opnieuw te evalueren en misschien opnieuw te ontwerpen voor een Zero Trust-omgeving.
4—Evalueer interconnectiviteit van tools, in plaats van individuele functionaliteit
Dit is een belangrijk gebied en het is een uitstekend voorbeeld van hoe het bestaande ontwerp van beveiligingscontrole moet worden onderzocht in een Zero Trust-omgeving. Individuele puntoplossingen die onafhankelijk van elkaar werken, zijn meestal niet meer voldoende. Verificatiecontroles en -processen moeten bijvoorbeeld profiteren van apparaatinformatie, antimalware-informatie, enzovoort. Authenticatie is mogelijk alleen toegestaan in combinatie met deze gegevens, en kan dienovereenkomstig worden ingetrokken of beperkt op basis van gegevens van deze beveiligingscontroles nadat authenticatie oorspronkelijk is verleend.
Wanneer het nieuwe doel is om veilig en moeiteloos te zijn – we moeten de nadruk leggen op moeiteloos, zoals bij een gebrek aan wrijving – moeten alle gegevens door alle apparaten, gegevensactiva en tussen alle gebruikers, partners, consultants en klanten stromen. Kortom, de strategie moet elke gegevensstroom van en naar iedereen met toegangsprivileges beschermen, volgen, analyseren, opslaan en bekijken.
De mogelijkheid voor alle beveiligingstools om met elkaar te communiceren wordt essentieel, in tegenstelling tot tegenwoordig, wanneer het vaak als een leuk extraatje wordt beschouwd. Identiteits- en toegangsbeheer (IdAM) moet mogelijk communiceren met SASE, enz. De interconnectiviteit van tools moet nu een koopcriterium op het hoogste niveau worden.
Als u niet wilt dat beveiligingshulpmiddelen worden herkend en niet bekend zijn met andere hulpmiddelen, moet communicatie tussen al deze hulpmiddelen een prioriteit zijn. Als u niet wilt dat er een golf van valse negatieven en valse positieven komt als gevolg van dit gebrek aan communicatie, moet dit een factor zijn.
5—Probeer niet uw weg naar Zero Trust te kopen
Er zijn tal van leveranciers die meer dan bereid zijn om allerlei producten te verkopen met de impliciete of (soms) expliciete belofte dat deze aankopen automatisch een Zero Trust-omgeving zullen opleveren. Helaas, zoals we allemaal weten, is het gewoon niet zo eenvoudig.
Het kopen van tools als een eerste actie zonder een herziening van de bestaande controles, infrastructuur, behoeften en een samenhangend plan zal bijna gegarandeerd mislukken, en resulteert meestal in plankware en tijdverlies. Focus en begrijp volledig hoe IdAM momenteel wordt gebruikt, begrijp hoe IdAM wordt gebruikt in een Zero Trust-omgeving en gebruik dat als uitgangspunt.
Begin met te begrijpen wat je nu al hebben en bewegen om die middelen te benutten. Zoek ten slotte uit wat je niet hebt en wat echt nodig is. Evalueer verschillende cloudleveranciers en ontdek wat zij hebben. Voer een omgekeerde gap-beoordeling uit en zoek uit wat er nog ontbreekt. Dan, en alleen dan, bent u klaar om met die leveranciers te praten.
Het omarmen van een echte Zero Trust-aanpak zal een veel veiliger en efficiënter ondernemingslandschap opleveren. Maar het zal pas gebeuren als de juiste voorbereidingen zijn getroffen. De voordelen die voor ons liggen zijn de moeite meer dan waard.
Bezoek ons hier voor meer informatie over de beveiligingsmogelijkheden van NTT Ltd.
