Zero trust

We leven – naast onze fysieke, analoge, tastbare wereld – steeds vaker ook in onzichtbare digitale werelden waar we nauwelijks kunnen zien wie wel of niet te vertrouwen zijn. In onze fysieke wereld is veiligheid en zekerheid realiseren al een lastige zaak, maar in onze onzichtbare, op clouds gebaseerde digitale wereld, is het een steeds grotere uitdaging. Daarom is rond 2015 het idee van ‘zero trust’ ontstaan: vertrouw niets en niemand en controleer de hele communicatieketen continu. De Zwitserse ingenieur Gianclaudio Moresi ontwikkelde een architectuur op basis van ‘untrusted clients’ en ‘untrusted servers’. In de jaren daarna is men deze architectuur steeds meer gaan adviseren en toepassen.

Niets is te vertrouwen
Het principe van zero trust is dat netwerkapparaten standaard niet vertrouwd mogen worden. Ook niet als ze in een zogenaamd ‘beheerd netwerk’ zijn verbonden of als ze eerder zijn gecontroleerd op veiligheid. Het is immers niet meer doenlijk om een bedrijfsnetwerk altijd en op iedere plaats 100% veilig te houden. Er zijn zoveel niet meer te overziene knooppunten, verbindingen, uitwisselingen en communicaties dat de illusie alles 100% veilig te kunnen overzien en in stand te houden niet meer geldig is. Vertrouw dus geen enkel apparaat meer, ook niet een sensor, een IoT-device, een mobiel apparaat of een machine.

De traditionele benadering om apparaten te vertrouwen die in een VPN-netwerk zijn verbonden, is door de groeiende distributie van onze netwerken niet meer reëel. Je moet elke keer identiteit en integriteit van apparaten controleren, ongeacht locatie, ongeacht tot welke applicatie toegang wordt verleend en ongeacht gebruiker van het apparaat. Een combinatie van apparaat-controle en gebruikersauthenticatie. Een heel rijtje van gebruiker-identiteit, gebruiker authenticatie, machine authenticatie, compliance en gezondheid van het apparaat, autorisatie tot een applicatie en continue control testen tijdens de communicatie.

Enigma
Je zou het zero trust model kunnen vergelijken met een constant veranderende infrastructuur waar je een eveneens constant veranderende veiligheidsomgeving in tot stand brengt. Zo een constant veranderende infrastructuur en veiligheidsomgeving is voor een hacker niet te bestuderen en te voorspellen. Je kunt het vergelijken met het Enigma principe uit de Tweede Wereldoorlog (Enigma is raadsel in het Grieks). Een typemachine waar draaiende rollen elke letter die werd getypt, veranderde in een andere letter en waar je zonder te weten wat de beginstand van die ‘veranderrollen’ was, nooit achter het oorspronkelijke bericht kon komen.

De Enigma machine had een degelijk ontwerp waarvan de code onbreekbaar leek vanwege het hoge crypto-grafische veiligheidsniveau. Het waren vooral buitgemaakte code-boeken, fouten door operators en onveilige procedures die uiteindelijk het breken van de Enigmacode mogelijk maakten. Menselijke fouten dus eigenlijk. Bij zero trust geldt strikte multi factor authenticatie, zelfs om tot micro segmenten in het netwerk te komen. Het is een soort honingraat waarbij je raat-voor-raat naar de juiste plaats wordt geleid. Daarnaast wordt met analytics constant elke anomalie bekeken die in netwerk, dataverkeer en bij gebruiker-handelingen optreden. Je mag alleen zien wat je mag zien via een gereguleerde route.

Full en fool proof
Je zou kunnen zeggen dat de zero trust architectuur zowel ‘full als fool proof’ probeert te zijn. Hoewel cybercriminaliteit voor veel bestuurders een vergeefse strijd lijkt, is de zero trust aanpak zeker een haalbare. Natuurlijk kan het niet van vandaag op morgen worden ingericht en is zeker een meerjaren plan. Informatieplatformen die op lange termijn stabiel in stand gehouden moeten kunnen worden, dienen vanuit het ontwerp zowel data- als security centrisch te zijn. De enige stabiele factoren voor de toekomst; de nieuwe assets van elke digitale organisatie. Immers processen, applicaties, apparaten, netwerken en personen zijn uiteindelijk allemaal vergankelijk.

In een interview in IT-executive stelt Lieuwe Jan Koning dat je als uitgangspunt bij cybersecurity allereerst naar de waarde van je gegevens moet kijken. Voor welke data is het te rechtvaardigen om daar een passend budget voor vrij te maken? Wat heb je jaarlijks nodig om de beveiliging een acceptabel niveau te brengen? Want het vanuit (de kosten van) de risico’s een budget proberen te berekenen, is een onmogelijke zaak, omdat je de meeste risico’s niet kunt kwalificeren. Gewoon goed vaststellen welke risico’s men wel en niet wil lopen. Dat doen we in de fysieke wereld toch ook. Risicoloos leven is onmogelijk.

Stap voor stap
De meeste aanvallen van hackers gaan stap voor stap. En met zero trust kun dat voorkomen. Immers je past elke keer je infrastructuur en de dynamische veiligheid aan aan de actuele situatie. Wat communiceert nu met wie, waar worden nu datasets uitgewisseld en hoe gezond is een apparaat momenteel dat wil koppelen aan het netwerk. Die dynamiek maak het lastig voor hackers die kleine onderzoekende stapjes in je netwerk proberen te maken. Als ze denken iets te begrijpen, is het alweer veranderd.

Zero trust kan heel pragmatisch starten met dataclassificatie. Welke data verdient de hoogste veiligheid en bescherming. Net zoals een hacker stap voor stap wil werken, kun je zero trust ook stap voor stap verbeteren. Verbreek onnodige verbindingen, zorg dat er overal multi-authenticatie is. Iedere gebruiker moet telkens opnieuw bewijzen dat hij of zij recht heeft op toegang. In de VS is zero trust intussen heel populair geworden. De NIST (National Institute of Standards and Technology) heeft eind 2018 publicatie 800-207 Zero Trust Architecturesuitgegeven dat een collectie van concepten en ideeën definieert om heel concreet met het concept aan de gang te gaan.

Absolute minimum
Een zero trust architectuur behandelt alle gebruikers als potentiele bedreigingen en verhindert toegang tot gegevens en bronnen totdat de gebruikers correct kunnen worden geverifieerd en hun toegang is geautoriseerd. In wezen geeft een zero trust architectuur een gebruiker volledige toegang, maar alleen tot het absolute minimum dat ze nodig hebben om hun werk uit te voeren. Als een apparaat gecompromitteerd is, kan zero trust ervoor zorgen dat de schade beperkt blijft.

Informatieplatformen verbinden gebruikers met relevante data en stellen daarnaast applicaties of apps beschikbaar om als gebruiker iets met die data te (kunnen) doen. Datacentrisch ontwerpen en zero trust beveiligen, gaan hand in hand als ontwerp-uitgangspunten voor stabiele informatieplatformen die ook op de lange termijn (decennia) in stand kunnen worden gehouden. Immers als je in staat bent veilig de juiste gebruiker (authenticatie) met de juiste data (authenticatie) in contact te brengen en toestaan daar de juiste applicatie of app bij te mogen gebruiken (compliance), is het zero trust principe perfect toe te passen. Mits je je gebruikers (mens én machine) en je data (intern én extern) goed in kaart hebt en strikt hebt georganiseerd. En dat is voor sommigen nog steeds een uitdaging 🙂

Photo by Elena Mozhvilo on Unsplash