NCSC wijst bedrijven op de valkuilen van zero trust-security

Rond zero trust is heel wat te doen geweest na de SolarWinds-aanvallen. Het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk maakt daarom bedrijven attent op enkele valkuilen van een zero trust-principe.

Microsoft benadrukte na de SolarWinds-aanvallen dat bedrijven er niet van uit mogen gaan dat alles binnen het IT-netwerk veilig is. Organisaties moeten erop rekenen dat er mogelijk een inbraak is. Vroeger vertrouwde men op de firewall van het bedrijf, maar volgens het zero trust-model moet de veiligheid van accounts, endpoint apparaten en het netwerk nadrukkelijk worden geverifieerd.

Vernieuwing en verbetering

Het NCSC helpt bedrijven op weg in het zero-trust principe met vijf goede redenen waarom de investering de moeite waard is:

• Speel in op de gevaren van vandaag: iedere actie die een gebruiker of apparaat uitvoert in een zero trust-model volgt een bepaalde beveiligingsregel. Organisaties krijgen hierdoor steeds een melding als iemand datagegevens probeert te bekijken.
• Verbeter de gebruikservaring: het wordt bijvoorbeeld mogelijk slechts éénmalig in te loggen op een apparaat en toegang te krijgen tot alle applicaties. Opnieuw inloggen bij iedere applicatie die je wil gebruiken, is niet nodig.
• Verbeter de samenwerking tussen organisaties: een externe organisatie kan toegang krijgen tot een beperkt deeltje van de data, dat nodig is voor de samenwerking.
• Maak data overzichtelijk: zero trust maakt het mogelijk een beter beeld te krijgen van wat er in de omgeving gebeurt, door in logboekcapaciteit gebeurtenissen van gebruikersapparaten en -services op te nemen.
• Laat modern werken toe: sterke authenticatie en autorisatie worden mogelijk, terwijl het netwerk wordt uitgebreid naar de huizen van werknemers.

De keerzijde

Tegelijk ziet het NCSC dat niet alle bedrijven kunnen overstappen. Daarom kijkt het centrum ook eens naar de keerzijde van de zero trust-medaille. “De overstap naar een zero trust-architectuur kan een zeer moeilijke oefening zijn voor een organisatie”, waarschuwt NCSC. “Het kan enkele jaren duren om te migreren, doordat de aanpak mogelijk wijzigingen vereist in de hele onderneming.”

Hierbij kan een zero trust-aanpak directe en indirecte kosten met zich meebrengen. Directe kosten komen dan voort uit de aanschaf van nieuwe producten, toestellen en services. Gepaste opleiding voor engineers, de aankoop van nieuwe licenties en abonnementen, zorgen voor indirecte kosten.

Dat wil volgens NCSC niet zeggen dat de investering niet de moeite waard is. Een zero trust-principe kan op termijn namelijk minder kosten teweegbrengen dan het onderhouden en vernieuwen van bestaande netwerken.

Bedrijven moeten hierbij wel rekening houden dat een zero trust-principe geen kant-en-klare oplossing is: “De eindstatus van een migratie kan steeds veranderen, doordat het model dat een bedrijf nastreeft kan evolueren tijdens de uitrol.”

Daarbij zijn er nog beperkingen te wijten aan de nieuwigheid van het model. Niet alle producten en services zijn namelijk geschikt voor zero trust, volgens het NCSC. Tot slot vereisen veel zero trust-principes een vendor lock-in, waardoor bedrijven afhankelijk worden van de producten en diensten van een bepaalde leverancier. Dit kan beperkend werken voor de wendbaarheid van een bedrijf, bij het overzetten van onderdelen van de cyberarchitectuur naar andere services.

Zero trust-markt

Ondernemingen in de cyberbeveiliging bieden zero trust massaal aan. SentinelOne verbetert bijvoorbeeld de zero trust-mogelijkheden door nieuwe integraties met Cloudflare en Zscaler. Fortinet heeft dan weer FortiTrust in het leven geroepen om gebruikersgebaseerde beveiligingsdiensten te bieden voor alle endpoints, netwerken en cloudomgevingen van organisaties.

McAfee beloofde de zero trust-markt op zijn kop te zetten met MVISION Private Access, wat data binnen private toepassingen op hybride IT-omgevingen nog beter beschermd. Tot slot rolde IBM zero trust-mogelijkheden uit naar Cloud Pak for Security.