Wie denkt met een nieuwe cybersecurity-tool van een fabrikant plots zero trust te zijn, moeten we teleurstellen: geen enkele partij biedt vandaag alles onder één dak aan.
In een interview met Protocol kaart Cloudflare CEO Matthew Prince de hype zero trust aan. Hij wijst alle fabrikanten met de vinger dat een alles-in-éénpakket vandaag niet bestaat. “Er zijn tal van tools die een organisatie kunnen helpen om het concept te omarmen, maar geen enkel product heeft alles in huis.” Binnen zero trust zit onder andere veiligheid van identiteit, toegangsbeheer en netwerksegmentatie.
Uit een recent onderzoek van de Cloud Security Alliance blijkt dat maar liefst 80 procent van de organisaties zero trust als een prioriteit ziet. 77 procent van de organisaties voorziet extra budget voor volgend jaar om er meer op in te zetten.
Zero trust is belangrijk als organisatorisch principe om moderne cyberaanvallen te stoppen. Die volgen vaak een bepaald traject. Eerst zoeken ze toegang tot de omgeving. Daarna bewegen ze over het netwerk en nemen ze extra accounts over tot ze genoeg privileges hebben om schadelijke acties te ondernemen.
lees ook
Beveiligingsbeleid en vendor lock-in topprioriteit voor Belgische bedrijven
Verschillende technologieën nodig
Heath Mullins, analist bij Forrester, legt de vinger op de wonde. “Neem nu zero trust netwerk access, wat vele fabrikanten aanbieden als VPN-vervanger. Op basis van locatie of de veiligheidsstatus van zijn of haar toestel kan je naast inloggegevens toegang krijgen tot het netwerk. Zo’n technologie zorgt er niet voor dat alles automatisch zero trust is.”
Hij wijst naar de verschillende technologieën die nodig zijn om zero trust te implementeren. “Omdat er zo veel zijn, maken fabrikanten daar misbruik van en wordt de term sneller gebruikt dan zou mogen.”
Onafhankelijke bronnen raadplegen
Wie echt wil weten of zijn of haar organisatie volgens het zero trust-model werkt, raden we aan om deze uitgebreide NIST-publicatie te onderzoeken. Het doel is altijd ongeautoriseerde toegang van data te voorkomen met diensten waarbij je de toegangscontrole zo granulair mogelijk kan instellen. Bij twijfel is het sowieso altijd beter om een onafhankelijke autoriteit zoals de National Institute of Standards en Technology (NIST) te volgen dan het gekleurde advies van een securityfabrikant.