Het internet zoals we dat kennen begon in 1960 als een communicatiesysteem. Het moest ervoor zorgen dat informatie gratis toegankelijk werd. 40 jaar verder werd het internet steeds meer gezien als commercieel product of commerciële marktplaats. Door deze ontwikkeling werd het echter ook vaker gezien als een manier om het vertrouwen van mensen te misbruiken voor eigen gewin. Als gevolg daarvan werden cyberbeveiligingsinitiatieven serieuzer. Al snel ontstond er een situatie waarin mensen en organisaties, door het toepassen van cyberbeveiligingstools, hun eigen netwerk wel konden vertrouwen, maar andere netwerken buiten de perimeter niet. De meeste beveiligingstools zijn dus gebaseerd op het idee dat een netwerk beveiligd kan worden, maar de realiteit is anders: het enige veilige netwerk is een netwerk dat nooit wordt gebruikt.
Ondanks de misvattingen hebben IT-leveranciers er alles aan gedaan om te bekijken hoe netwerken beveiligd kunnen worden zodat de consument die veilig kan gebruiken. Er werden controles ingevoerd – denk aan wachtwoorden en firewalls – en al snel besloten veel IT-teams dat segmentatie de beste aanpak was. Daarbij wordt het netwerk opgebroken in kleinere netwerken om het lastiger te maken het hele netwerk te compromitteren. Ondanks dat dit soort initiatieven zeker voor extra hindernissen zorgen, zijn het nog steeds fundamenteel gebrekkige ideeën omdat ze zijn gebaseerd op de aanname dat het netwerk beveiligd kan worden.
Het wack-a-mole-model
Traditioneel was de firewall de basiscontrole die consumenten en IT-teams hadden voor netwerkbeveiliging. In de kern was het de taak van de firewall om te zorgen dat alleen het verkeer met de juiste IP-adressen en poortnummers op het netwerk kwam. Dit leek een zeer effectieve controle, maar zodra de firewall toegang heeft tot internetpoorten, brengt dat toch een gevaar met zich mee. Het is vergelijkbaar met het boren van een gat in de romp van het schip om water van het dek af te voeren.
Naast firewalls was het de taak van beveiligingsteams om te analyseren waar het verkeer binnen het netwerk stroomde, naast het identificeren van gevoelige gegevens en applicaties en deze te beschermen. Ik beschouw dit proces als een spelletje whack-a-mole omdat het niet uitmaakt hoeveel blokkades en controles er op een netwerk worden geplaatst: beveiligingsteams zullen er nooit volledig op kunnen vertrouwen en er zullen altijd zwakke plekken zijn.
Haal het netwerk uit het beveiligingsmodel
Door de architectuur te veranderen en het netwerk niet langer te gebruiken als onderdeel van het beveiligingsmodel, kunnen IT-teams de oude mentaliteit van impliciet vertrouwen loslaten en zero trust toepassen voor hun cyberbeveiliging. Maar hoe verschilt een zero trust-model van andere oplossingen? Het draait allemaal om het bieden van inside-out connectiviteit: het kanaliseren van al het verkeer naar een netwerk via een verified trust broker die het potentiële risico van dat verkeer kan voorspellen door er een gemeenschappelijk, op risico’s gebaseerd beleid op toe te passen voordat verbindingen met het netwerk worden toegestaan.
Door dit privilege weg te nemen voor degenen die zich al op het netwerk bevinden, kunnen IT-teams cybercriminelen voorblijven. Ze kunnen automatisch en op een gecentraliseerde manier controleren zonder dat elk stukje verkeer handmatig hoeft te worden gecontroleerd als de firewall wordt doorbroken. Nu verschillen de bedieningselementen niet veel met de manier waarop we ons al bijna 35 jaar beschermen tegen aanvallers. Het gaat niet om het revolutioneren van de controles zelf, maar om het veranderen van de manier waarop ze worden toegepast. In plaats van te moeten uitzoeken waar alle gevoelige gegevens en applicaties zich op het netwerk bevinden en controles rond deze specifieke gebieden uit te voeren, draait zero trust het precies om.
Natuurlijk is het zero trust-model niet waterdicht. Kwaadwillenden zullen nieuwe en innovatieve manieren ontdekken om bestaande beveiliging te misbruiken. Met dit model kunnen beveiligingsteams wel beter anticiperen en hoeven zij niet voortdurend achter de feiten aan te lopen. Als het netwerk niet langer gebruikt wordt als onderdeel van het beveiligingsmodel, zullen organisaties in staat zijn hun verdediging op een veel intelligentere manier in kaart te brengen.
Conclusie
Door te accepteren dat het netwerk nooit veilig kan zijn en door het idee van impliciet vertrouwen binnen de firewall weg te nemen, kunnen IT-teams een veel effectiever beveiligingsmodel implementeren om bedrijfsmiddelen en gegevens te beschermen. Het zero trust-model heroverweegt hoe verkeer moet worden beheerd door de controles te centraliseren, waardoor beveiligingsteams cybercriminelen voor kunnen blijven.