De defensie-industrie is een van de meest in het oog springende en vaakst aangevallen sectoren ter wereld. Of het nu de schuld is van vijandige naties, terroristen of zelfs financieel gemotiveerde cybercriminelen, de inzet kan niet hoger zijn – voor de nationale veiligheid en het succes op het slagveld. Het zal dan ook geen verwondering wekken dat het Amerikaanse ministerie van defensie een van de grote voorvechters is van Zero Trust. Hun aanpak is ook voor onze Nederlandse overheidsdiensten interessant. Geavanceerde aanvallen zijn immers steeds vaker gericht op andere aanbieders van kritieke infrastructuur in de publieke sector.
In de Verenigde Staten is Zero Trust een staatszaak – vorig jaar vaardigde het Witte Huis een richtlijn uit die Zero Trust centraal stelde. Als concept bestaat Zero Trust al meer dan tien jaar en veel bedrijven beschouwen het als de best mogelijke aanpak tegen cyberaanvallen. Toch duurt het lang eer Zero Trust ook doordringt in de best practices rond cybersecurity in de overheid.
Maar wat is Zero Trust eigenlijk?
Zero Trust is een security-aanpak die is ontworpen om beveiliging af te dwingen voor elke gebruiker, op elk apparaat en in elke fase van een digitaal traject. Het traditionele beveiligingsmodel is gebaseerd op perimeterverdediging: gebruikers presenteren hun referenties aan de poorten en worden na validatie toegelaten tot het netwerk. Zero Trust richt zich op de onzekerheden en gebreken die inherent zijn aan dit model. Dat wordt in de praktijk gerealiseerd door te stellen dat verkeer binnen het netwerk niet automatisch vertrouwd mag worden, zelfs als het verkeer afkomstig is (of lijkt) van een ogenschijnlijk geauthenticeerde gebruiker met geldige referenties. Met andere woorden: alle verkeer wordt – zeg maar – gewantrouwd en wordt gezien als potentieel gevaarlijk.
Het belangrijkste principe van Zero Trust is dus: ’Vertrouw nooit, controleer altijd’. Dit raamwerk omvat een aantal belangrijke principes:
- Authenticeer op meerdere toegangspunten. Er mag nooit eenzijdige toegang worden verleend als een gebruiker via de ‘voordeur’ binnenkomt. Controleer de identiteit in alle stadia van toegang tot en gebruik van het netwerk, met behulp van meerdere authenticatiefactoren.
- Gebruik altijd toegang met zo min mogelijk privileges. Geen enkele gebruiker mag zomaar alles doen. Toegang moet worden beperkt tot het minimum aan middelen dat de gebruiker nodig heeft om zijn of haar werk te doen.
- Deel het netwerk op. Koppel diverse delen van het netwerk van elkaar los. Het heeft geen zin dat bijvoorbeeld financiële activiteiten en het ontwikkelen van apps op één en eenzelfde segment van het netwerk plaatsvinden.
- Bescherm elk endpoint. Een Zero Trust-architectuur moet in staat zijn om gedrag te analyseren en gevaarlijke activiteiten overal in het netwerk tegen te houden, inclusief op endpoints die zich aan de rand van het netwerk bevinden.
- Ga uit van het ergste. Door altijd te doen alsof het netwerk al wordt aangevallen, opereert een bedrijf in een defensieve staat van maximale paraatheid. Dit helpt de schade te beperken in het geval er wél een aanval plaatsvindt.
- Automatiseer waar mogelijk. Zero Trust kan een aanzienlijke investering in tijd en middelen vergen en is onmogelijk te bereiken zonder automatisering.
De zeven pijlers van het Amerikaanse DoD
Geen twee organisaties zijn gelijk, dus volgt iedere organisatie een eigen pad naar Zero Trust. Hoe die route er uit ziet, zal vaak afhankelijk zijn van hun volwassenheidsniveau en de bestaande technologieën en processen waar zij al over beschikken. Het raamwerk voor Zero Trust van het Amerikaanse Ministerie van Defensie is gebaseerd op zeven pijlers, die ook handig zijn in de aanpak van Zero Trust door Nederlandse overheidsinstanties:
- Gebruikers: authenticeer, evalueer en bewaak de activiteiten en de patronen die zich daarin voordoen van iedere individuele gebruiker om toegang en privileges te beheren en tegelijkertijd alle interacties te beschermen en te beveiligen.
- Apparaten: krijg inzicht in de gezondheid en status van apparaten om risk-based beslissingen te nemen. Realtime inspectie en patching spelen een belangrijke rol bij elk toegangsverzoek. Willen we bijvoorbeeld een laptop die niet van alle relevante patches is voorzien wel toegang tot het netwerk verlenen?
- Apps en workloads: beveilig apps, hypervisors, containers, virtual machines en alles daartussenin.
- Data: zorg voor transparantie en zichtbaarheid op zowel de bedrijfsinfrastructuur als op de applicaties.
- Zichtbaarheid en analyse: leidt de context af uit de analyse van gebeurtenissen, gedragingen en activiteiten en pas AI/ML toe om de detectie van bedreigingen en realtime toegangsbeslissingen te verbeteren.
- Automatisering en orkestratie: automatiseer toegang op basis van vooraf vastgelegde processen en beleidsregels. Artificiële intelligentie kan helpen om deze regels te bepalen.
- Netwerk & omgeving: Segmenteer, isoleer en beheer netwerken met granulaire beleids- en toegangscontroles.
Hoe Tanium en Microsoft het verschil maken
Veel overheidsinstanties gebruiken tegenwoordig Azure Active Directory voor het beheer van hun gebruikers en gebruikersprofielen. Dankzij de hechte samenwerking tussen Tanium en Microsoft en de integratie tussen het Tanium platform en Azure Active Directory kunnen klanten real-time apparaatgegevens gebruiken om ervoor te zorgen dat beslissingen over toegang altijd worden genomen op basis van de meest recente informatie. En dankzij Tanium is er een snelle en eenvoudige manier om niet-conforme apparaten te herstellen. Daardoor kan Zero Trust worden gehandhaaft, terwijl de gevolgen voor de productiviteit van gebruikers worden geminimaliseerd.
Onze samenwerking zorgt ook voor de integratie van Tanium met Microsoft Sentinel. Hierdoor kunnen klanten profiteren van in realtime door Tanium gegenereerde endpoint-gegevens, terwijl ze hun Sentinel-product gebruiken – om de triage, prioritering en het onderzoek van waarschuwingen te verbeteren en threat hunting te ondersteunen.
De reis naar Zero Trust is een hele onderneming. Maar overheidsinstellingen staan er niet alleen voor: Tanium helpt op diverse manieren om dit doel te bereiken. De nauwe samenwerking tussen Tanium en Microsoft zorgt voor een aanpak op alle vlakken van cyberbeveiliging.