We leven – naast onze fysieke, analoge, tastbare wereld – steeds vaker ook in onzichtbare digitale werelden waar we nauwelijks kunnen zien wie wel of niet te vertrouwen zijn. In onze fysieke wereld is veiligheid en zekerheid realiseren al een lastige zaak, maar in onze onzichtbare, op clouds gebaseerde digitale wereld, is het een steeds grotere uitdaging. Daarom is rond 2015 het idee van ‘zero trust’ ontstaan: vertrouw niets en niemand en controleer de hele communicatieketen continu. De Zwitserse ingenieur Gianclaudio Moresi ontwikkelde een architectuur op basis van ‘untrusted clients’ en ‘untrusted servers’. In de jaren daarna is men deze architectuur steeds meer gaan adviseren en toepassen.

Niets is te vertrouwen
Het principe van zero trust is dat netwerkapparaten standaard niet vertrouwd mogen worden. Ook niet als ze in een zogenaamd ‘beheerd netwerk’ zijn verbonden of als ze eerder zijn gecontroleerd op veiligheid. Het is immers niet meer doenlijk om een bedrijfsnetwerk altijd en op iedere plaats 100% veilig te houden. Er zijn zoveel niet meer te overziene knooppunten, verbindingen, uitwisselingen en communicaties dat de illusie alles 100% veilig te kunnen overzien en in stand te houden niet meer geldig is. Vertrouw dus geen enkel apparaat meer, ook niet een sensor, een IoT-device, een mobiel apparaat of een machine.

De traditionele benadering om apparaten te vertrouwen die in een VPN-netwerk zijn verbonden, is door de groeiende distributie van onze netwerken niet meer reëel. Je moet elke keer identiteit en integriteit van apparaten controleren, ongeacht locatie, ongeacht tot welke applicatie toegang wordt verleend en ongeacht gebruiker van het apparaat. Een combinatie van apparaat-controle en gebruikersauthenticatie. Een heel rijtje van gebruiker-identiteit, gebruiker authenticatie, machine authenticatie, compliance en gezondheid van het apparaat, autorisatie tot een applicatie en continue control testen tijdens de communicatie.

Enigma
Je zou het zero trust model kunnen vergelijken met een constant veranderende infrastructuur waar je een eveneens constant veranderende veiligheidsomgeving in tot stand brengt. Zo een constant veranderende infrastructuur en veiligheidsomgeving is voor een hacker niet te bestuderen en te voorspellen. Je kunt het vergelijken met het Enigma principe uit de Tweede Wereldoorlog (Enigma is raadsel in het Grieks). Een typemachine waar draaiende rollen elke letter die werd getypt, veranderde in een andere letter en waar je zonder te weten wat de beginstand van die ‘veranderrollen’ was, nooit achter het oorspronkelijke bericht kon komen.

De Enigma machine had een degelijk ontwerp waarvan de code onbreekbaar leek vanwege het hoge crypto-grafische veiligheidsniveau. Het waren vooral buitgemaakte code-boeken, fouten door operators en onveilige procedures die uiteindelijk het breken van de Enigmacode mogelijk maakten. Menselijke fouten dus eigenlijk. Bij zero trust geldt strikte multi factor authenticatie, zelfs om tot micro segmenten in het netwerk te komen. Het is een soort honingraat waarbij je raat-voor-raat naar de juiste plaats wordt geleid. Daarnaast wordt met analytics constant elke anomalie bekeken die in netwerk, dataverkeer en bij gebruiker-handelingen optreden. Je mag alleen zien wat je mag zien via een gereguleerde route.

Full en fool proof
Je zou kunnen zeggen dat de zero trust architectuur zowel ‘full als fool proof’ probeert te zijn. Hoewel cybercriminaliteit voor veel bestuurders een vergeefse strijd lijkt, is de zero trust aanpak zeker een haalbare. Natuurlijk kan het niet van vandaag op morgen worden ingericht en is zeker een meerjaren plan. Informatieplatformen die op lange termijn stabiel in stand gehouden moeten kunnen worden, dienen vanuit het ontwerp zowel data- als security centrisch te zijn. De enige stabiele factoren voor de toekomst; de nieuwe assets van elke digitale organisatie. Immers processen, applicaties, apparaten, netwerken en personen zijn uiteindelijk allemaal vergankelijk.

In een interview in IT-executive stelt Lieuwe Jan Koning dat je als uitgangspunt bij cybersecurity allereerst naar de waarde van je gegevens moet kijken. Voor welke data is het te rechtvaardigen om daar een passend budget voor vrij te maken? Wat heb je jaarlijks nodig om de beveiliging een acceptabel niveau te brengen? Want het vanuit (de kosten van) de risico’s een budget proberen te berekenen, is een onmogelijke zaak, omdat je de meeste risico’s niet kunt kwalificeren. Gewoon goed vaststellen welke risico’s men wel en niet wil lopen. Dat doen we in de fysieke wereld toch ook. Risicoloos leven is onmogelijk.

Stap voor stap
De meeste aanvallen van hackers gaan stap voor stap. En met zero trust kun dat voorkomen. Immers je past elke keer je infrastructuur en de dynamische veiligheid aan aan de actuele situatie. Wat communiceert nu met wie, waar worden nu datasets uitgewisseld en hoe gezond is een apparaat momenteel dat wil koppelen aan het netwerk. Die dynamiek maak het lastig voor hackers die kleine onderzoekende stapjes in je netwerk proberen te maken. Als ze denken iets te begrijpen, is het alweer veranderd.

Zero trust kan heel pragmatisch starten met dataclassificatie. Welke data verdient de hoogste veiligheid en bescherming. Net zoals een hacker stap voor stap wil werken, kun je zero trust ook stap voor stap verbeteren. Verbreek onnodige verbindingen, zorg dat er overal multi-authenticatie is. Iedere gebruiker moet telkens opnieuw bewijzen dat hij of zij recht heeft op toegang. In de VS is zero trust intussen heel populair geworden. De NIST (National Institute of Standards and Technology) heeft eind 2018 publicatie 800-207 Zero Trust Architecturesuitgegeven dat een collectie van concepten en ideeën definieert om heel concreet met het concept aan de gang te gaan.

Absolute minimum
Een zero trust architectuur behandelt alle gebruikers als potentiele bedreigingen en verhindert toegang tot gegevens en bronnen totdat de gebruikers correct kunnen worden geverifieerd en hun toegang is geautoriseerd. In wezen geeft een zero trust architectuur een gebruiker volledige toegang, maar alleen tot het absolute minimum dat ze nodig hebben om hun werk uit te voeren. Als een apparaat gecompromitteerd is, kan zero trust ervoor zorgen dat de schade beperkt blijft.

Informatieplatformen verbinden gebruikers met relevante data en stellen daarnaast applicaties of apps beschikbaar om als gebruiker iets met die data te (kunnen) doen. Datacentrisch ontwerpen en zero trust beveiligen, gaan hand in hand als ontwerp-uitgangspunten voor stabiele informatieplatformen die ook op de lange termijn (decennia) in stand kunnen worden gehouden. Immers als je in staat bent veilig de juiste gebruiker (authenticatie) met de juiste data (authenticatie) in contact te brengen en toestaan daar de juiste applicatie of app bij te mogen gebruiken (compliance), is het zero trust principe perfect toe te passen. Mits je je gebruikers (mens én machine) en je data (intern én extern) goed in kaart hebt en strikt hebt georganiseerd. En dat is voor sommigen nog steeds een uitdaging 🙂

Photo by Elena Mozhvilo on Unsplash

————————  Translated by ChatGPT  ———————–

Zerotrust

We increasingly live not only in our physical, tangible world but also in invisible digital worlds where it’s hard to tell who can be trusted. In our physical world, ensuring security and certainty is already a challenge, but in our invisible, cloud-based digital world, it’s an even greater one. That’s why the concept of “zero trust” emerged around 2015: trust nothing and no one and continuously verify the entire communication chain. Swiss engineer Gianclaudio Moresi developed an architecture based on “untrusted clients” and “untrusted servers,” and in the years since, this architecture has become increasingly recommended and applied.

Nothing is Trustworthy

The core of zero trust is that network devices should not be trusted by default, even if they are connected to a so-called “managed network” or have previously been checked for security. It’s no longer feasible to keep a corporate network 100% secure everywhere and at all times. With countless connections, exchanges, and nodes, the illusion of maintaining complete security is no longer valid. Thus, no device should be trusted—not a sensor, an IoT device, a mobile device, or a machine.

The traditional approach of trusting devices connected within a VPN network is no longer realistic due to the growing distribution of networks. Identity and integrity of devices must be verified every time, regardless of location, application, or user. This requires a combination of device verification and user authentication. This includes a full checklist of user identity, user authentication, machine authentication, compliance and device health, application authorization, and ongoing control tests during communication.

Enigma

You could compare the zero trust model to a constantly shifting infrastructure, creating a constantly changing security environment. This dynamic infrastructure and security environment is challenging for hackers to study or predict. It’s like the Enigma principle from World War II (Enigma meaning “mystery” in Greek)—a typewriter where rotating wheels would change each typed letter into a different one, making it impossible to determine the original message without knowing the initial wheel settings.

The Enigma machine had a robust design, with a code that seemed unbreakable due to its high cryptographic security. Ultimately, it was intercepted codebooks, operator errors, and insecure procedures that allowed the Enigma code to be broken—essentially, human error. Zero trust involves strict multi-factor authentication, even to access micro-segments within the network. It’s a honeycomb-like structure where you are guided from cell to cell to the right location. Additionally, analytics continuously monitor every anomaly in network traffic and user actions, ensuring users only see what they are authorized to see via a regulated path.

Full and Foolproof

The zero trust architecture strives to be both “full” and “foolproof.” While cybercrime may seem like a losing battle to many leaders, the zero trust approach is achievable. Of course, it can’t be set up overnight and is more of a long-term plan. Information platforms that need to be stable over time must be both data-centric and security-centric by design—these are the only stable factors for the future, the new assets of any digital organization. After all, processes, applications, devices, networks, and people are ultimately impermanent.

In an interview with IT Executive, Lieuwe Jan Koning stated that in cybersecurity, you should start by assessing the value of your data. For which data is it justifiable to allocate an appropriate budget? What annual resources are needed to maintain an acceptable security level? Trying to calculate a budget based on the cost of risks is impractical because most risks can’t be quantified. Just clearly define which risks you are willing to take. That’s what we do in the physical world, too. Living risk-free is impossible.

Step by Step

Most hacker attacks progress step-by-step, which zero trust can help prevent. Zero trust constantly adjusts infrastructure and dynamic security to match the current situation—who is communicating with whom, where datasets are being exchanged, and the current health of a device trying to connect to the network. This dynamic environment complicates things for hackers who try to make incremental moves in your network. Just as they think they understand something, it changes again.

Zero trust can start pragmatically with data classification: which data deserves the highest level of security and protection. Like a hacker’s step-by-step approach, you can improve zero trust incrementally—disconnect unnecessary connections and ensure multi-factor authentication everywhere. Every user must continually prove their right to access. In the U.S., zero trust has become very popular; NIST (National Institute of Standards and Technology) published the 800-207 Zero Trust Architecture in late 2018, a collection of concepts and ideas for practically implementing the zero trust concept.

Absolute Minimum

A zero trust architecture treats all users as potential threats, denying access to data and resources until users are verified and their access is authorized. Essentially, a zero trust architecture gives users full access—but only to the absolute minimum they need to do their work. If a device is compromised, zero trust ensures that damage is limited.

Information platforms connect users with relevant data and provide applications or apps that allow users to work with that data. Data-centric design and zero trust security go hand in hand as design principles for stable information platforms that can last over the long term. If you can securely connect the right user (authenticated) with the right data (authenticated) and allow them to use the appropriate application or app (compliant), then the zero trust principle can be perfectly applied—provided users (human and machine) and data (internal and external) are well-organized and strictly managed. For some, that remains a challenge.