Nul vertrouwen model wint stoom met beveiligingsexperts

"Vertrouw nooit; verifieer altijd." Klinkt als gezond verstand, toch? Dat is het motto achter een strategie genaamd Zero Trust, die aan kracht wint in de wereld van cybersecurity. Het gaat om een ​​IT-afdeling die alle gebruikers verifieert voordat toegangsrechten worden verleend. Volgens het Verizon Data Breach Investigation Report 2018 is 58 procent van de kleine tot middelgrote bedrijven (MKB) effectief datalekken melden in 2017, dan is het effectief beheren van toegang tot accounts belangrijker dan ooit.

Het Zero Trust-concept is opgericht door John Kindervag, een voormalig analist bij Forrester Research en nu een Field CTO bij Palo Alto Networks. "We moeten beginnen met het doen van een echte strategie, en dat is wat Zero Trust mogelijk maakt", vertelde Kindervag het publiek op 30 oktober tijdens de SecurIT Zero Trust Summit in New York City. Hij voegde eraan toe dat het idee van Zero Trust ontstond toen hij ging zitten en echt het concept van vertrouwen overwoog, en hoe het de kwaadwillende actoren zijn die over het algemeen profiteren van bedrijven die partijen vertrouwen die dat niet zouden moeten doen.

Dr. Chase Cunningham werd de opvolger van Kindervag als hoofdanalist bij Forrester voor het verdedigen van een Zero Trust Access-aanpak. "Zero Trust is wat deze twee woorden met zich meebrengen, wat betekent niets vertrouwen, vertrouw wachtwoordbeheer niet, vertrouw referenties niet, vertrouw gebruikers niet en vertrouw het netwerk niet, " vertelde Cunningham PCMag van de Zero Trust Top.

Kindervag gebruikte het voorbeeld van de Amerikaanse geheime dienst om te illustreren hoe een organisatie moet bijhouden wat ze moeten beschermen en wie toegang nodig heeft. "Ze bewaken en updaten die bedieningselementen voortdurend, zodat ze kunnen bepalen wat de micro-omtrek op elk willekeurig moment doorgeeft, " zei Kindervag. "Dit is een Zero Trust-methode voor executive protection. Het is het beste visuele voorbeeld van wat we proberen te doen in Zero Trust."

Geen vertrouwenslessen geleerd bij OPM

Een perfect voorbeeld van hoe Zero Trust kan werken voor organisaties, kwam van de voormalige CIO van de Amerikaanse federale overheid. Tijdens de Zero Trust Summit beschreef dr. Tony Scott, die het kantoor van US CIO van 2015 tot en met 2017 bekleedde, een grote datalek die plaatsvond bij het US Office of Personnel Management (OPM) in 2014. De inbreuk vond plaats door buitenlandse spionage waarin persoonlijke informatie en veiligheidsmachtiging achtergrondinformatie werd gestolen voor 22, 1 miljoen mensen, samen met vingerafdrukgegevens van 5, 6 miljoen personen. Scott beschreef hoe niet alleen een combinatie van digitale en fysieke beveiliging nodig zou zijn geweest om deze inbreuk te voorkomen, maar ook een effectieve toepassing van het Zero Trust-beleid.

Toen mensen naar een baan bij de OPM zouden solliciteren, vulden ze een uitgebreide vragenlijst van het Standard Form (SF) 86 in, en de gegevens zouden in een grot worden bewaakt door gewapende bewakers en tanks, zei hij. "Als je een buitenlandse entiteit was en je wilde die informatie stelen, zou je deze grot in Pennsylvania moeten doorbreken en voorbij de gewapende bewakers moeten komen. Dan zou je met vrachtwagens vol papier moeten vertrekken of een zeer snel Xerox-apparaat of zoiets hebben, "Zei Scott.

"Het zou monumentaal zijn geweest om te proberen te ontsnappen met 21 miljoen records, " ging hij verder. "Maar langzaam, toen automatisering in het OPM-proces kwam, begonnen we dit soort dingen in computerbestanden op magnetische media te zetten, enzovoort. Dat maakte het een stuk eenvoudiger om te stelen." Scott legde uit dat de OPM er niet in slaagde het equivalente type effectieve beveiliging te vinden als de gewapende bewakers toen het bureau digitaal ging. Na de aanval bracht het Congres een rapport uit waarin werd opgeroepen tot een Zero Trust-strategie om dit soort inbreuken in de toekomst te beschermen.

"Om de geavanceerde hardnekkige bedreigingen die de IT-netwerken van de federale overheid willen compromitteren of exploiteren, te bestrijden, moeten agentschappen evolueren naar een 'Zero Trust'-model van informatiebeveiliging en IT-architectuur, " verklaarde het congresrapport. De voormalige Amerikaanse vertegenwoordiger Jason Chaffetz (R-Utah), vervolgens de voorzitter van het toezichtcomité, schreef destijds ook een bericht over Zero Trust, oorspronkelijk gepubliceerd door Federal News Radio. "Het Office of Management and Budget (OMB) moet richtlijnen ontwikkelen voor uitvoerende afdelingen en bureauhoofden om Zero Trust effectief te implementeren, samen met maatregelen om al het netwerkverkeer te visualiseren en te loggen", schreef Chaffetz.

Geen vertrouwen in de echte wereld

In een realistisch voorbeeld van een Zero Trust-implementatie heeft Google intern een initiatief genaamd BeyondCorp geïmplementeerd dat bedoeld was om toegangscontroles van de netwerkperimeter naar individuele apparaten en gebruikers te verplaatsen. Beheerders kunnen BeyondCorp gebruiken als een manier om gedetailleerd toegangscontrolebeleid voor Google Cloud Platform en Google G Suite te maken op basis van het IP-adres, de beveiligingsstatus van het apparaat en de identiteit van een gebruiker. Het bedrijf Luminate biedt Zero Trust-beveiliging als een service op basis van BeyondCorp. Luminate Secure Access Cloud verifieert gebruikers, valideert apparaten en biedt een engine die een risicoscore biedt die applicatietoegang autoriseert.

"Ons doel is om elke gebruiker, vanaf elk apparaat, veilig toegang te bieden tot elke bedrijfsresource, ongeacht waar deze wordt gehost, in de cloud of op locatie, zonder agenten in het eindpunt of apparaten zoals virtuele privé-netwerken (VPN's) in te zetten, firewalls of proxy's op de doellocatie, "vertelde Michael Dubinsky, hoofd Productmanagement bij Luminate, aan PCMag tijdens de Hybrid Identity Protection (HIP) Conference 2018 (HIP2018) in NYC.

Een belangrijk IT-vakgebied waarin Zero Trust snel grip krijgt, is identiteitsbeheer. Dat is waarschijnlijk omdat 80 procent van de inbreuken wordt veroorzaakt door misbruik van bevoorrechte referenties, volgens het rapport "Forrester Wave: Privileged Identity Management, Q3 2016". Systemen die geautoriseerde toegang in meer of mindere mate beheren, kunnen deze incidenten helpen voorkomen.

De ruimte voor identiteitsbeheer is niet nieuw, en er is een lange lijst van bedrijven die dergelijke oplossingen bieden, met waarschijnlijk de meest doordringende Microsoft en het Active Directory (AD) -platform, dat is ingebed in het nog steeds populaire Windows Server-besturingssysteem (OS). Er is echter een hele reeks nieuwere spelers die niet alleen meer functionaliteit kunnen bieden dan AD, maar die ook identiteitsbeheer eenvoudiger kunnen implementeren en onderhouden. Dergelijke bedrijven omvatten spelers zoals Centrify, Idaptive, Okta en SailPoint Technologies.

En hoewel degenen die al in Windows Server hebben geïnvesteerd misschien meer willen betalen voor technologie waarin ze denken dat ze al hebben geïnvesteerd, kan een diepere en beter onderhouden architectuur voor identiteitsbeheer grote voordelen opleveren voor verijdelde inbreuken en nalevingsaudits. Bovendien zijn de kosten niet onbetaalbaar, hoewel ze aanzienlijk kunnen zijn. Centrify Infrastructure Services begint bijvoorbeeld bij $ 22 per maand per systeem.

Hoe Zero Trust werkt

"Een van de dingen die Zero Trust doet, is netwerksegmentatie definiëren, " zei Kindervag. Segmentatie is een sleutelbegrip zowel in netwerkbeheer als in cybersecurity. Het omvat het splitsen van een computernetwerk in subnetwerken, logisch of fysiek, om de prestaties en beveiliging te verbeteren.

Een Zero Trust-architectuur gaat verder dan een perimetermodel, dat de fysieke locatie van een netwerk omvat. Het gaat om "het duwen van de perimeter naar beneden naar de entiteit, " zei Cunningham.

"De entiteit kan een server, een gebruiker, een apparaat of een toegangspunt zijn, " zei hij. "Je duwt de bedieningselementen naar het microniveau in plaats van te denken dat je een hele hoge muur hebt gebouwd en dat je veilig bent." Cunningham beschreef een firewall als onderdeel van een typische perimeter. "Het is een probleem van aanpak en strategie en perimeter, " merkte hij op. "De hoge muren en het enige grote ding: ze werken gewoon niet."

Volgens Danny Kibel, de nieuwe CEO van Idaptive, een bedrijf voor identiteitsbeheer dat van Centrify begint, was een oud aspect van beveiliging een toegang tot een netwerk. Vóór Zero Trust zouden bedrijven dit verifiëren en vervolgens vertrouwen. Maar met Zero Trust, "verifieer je nooit, vertrouw je nooit", legt Kibel uit.

Idaptive biedt een Next-Gen Access-platform met Single Sign-On (SSO), adaptive multifactor authentication (MFA) en mobile device management (MDM). Services zoals Idaptive bieden een manier om de noodzakelijkerwijs gedetailleerde controles op toegang te creëren. U kunt inrichten of de-inrichten op basis van wie toegang nodig heeft tot verschillende toepassingen. "Het geeft die fijnmazige mogelijkheid voor de organisatie om haar toegang te beheren, " zei Kibel. "En dat is super belangrijk voor organisaties die we zien, omdat er veel wildgroei is op het gebied van ongeautoriseerde toegang."

Kibel definieerde de aanpak van Idaptive ten opzichte van Zero Trust in drie stappen: verifieer de gebruiker, verifieer zijn apparaat en geef dan alleen toegang tot applicaties en services voor alleen die gebruiker. "We hebben meerdere vectoren om het gedrag van de gebruiker te beoordelen: locatie, geo-snelheid, tijdstip van de dag, tijd van de week, wat voor soort applicatie je gebruikt, en zelfs in sommige gevallen hoe je die applicatie gebruikt, " zei Kibel. Idaptive controleert succesvolle en mislukte inlogpogingen om te zien wanneer het nodig is om de authenticatie opnieuw uit te dagen of een gebruiker helemaal te blokkeren.

Op 30 oktober introduceerde Centrify een cybersecurity-aanpak genaamd Zero Trust Privilege waarin bedrijven de minst bevoorrechte toegang verlenen die nodig is en verifiëren wie om toegang vraagt. De vier stappen van het Zero Trust Privilege-proces omvatten het verifiëren van de gebruiker, het onderzoeken van de context van het verzoek, het beveiligen van de beheeromgeving en het verlenen van de minste hoeveelheid benodigde rechten. De Zero Trust Privilege-aanpak van Centrify omvat een gefaseerde aanpak om het risico te verminderen. Het brengt ook een overgang van legacy Privileged Access Management (PAM), wat software is waarmee bedrijven de toegang tot nieuwere soorten omgevingen zoals cloudopslagplatforms, big data-projecten en zelfs geavanceerde aangepaste applicatieontwikkelingsprojecten die op het web van professionele kwaliteit worden uitgevoerd, kunnen beperken. hosting faciliteiten.

Een Zero Trust-model gaat ervan uit dat hackers al toegang hebben tot een netwerk, zei Tim Steinkopf, President van Centrify. Een strategie om deze dreiging te bestrijden zou zijn om zijwaartse beweging te beperken en MFA overal toe te passen, volgens Steinkopf. "Wanneer iemand toegang probeert te krijgen tot een bevoorrechte omgeving, moet u onmiddellijk over de juiste inloggegevens en de juiste toegang beschikken, " vertelde Steinkopf aan PCMag. "De manier om dat af te dwingen is door identiteiten te consolideren, en dan heb je de context van het verzoek nodig, dat wil zeggen het wie, wat, wanneer, waarom en waar." Daarna verleent u alleen de benodigde hoeveelheid toegang, zei Steinkopf.

"Je neemt de context van de gebruiker, in welk geval het een arts kan zijn, het kan een verpleegster zijn, of het kan een andere persoon zijn die toegang probeert te krijgen tot de gegevens, " zei Dubinsky. "Je neemt de context van het apparaat waarmee ze werken, je neemt de context van het bestand dat ze proberen te openen, en dan moet je een toegangsbeslissing nemen op basis daarvan."

MFA, Zero Trust en Best Practices

Een belangrijk aspect van een Zero Trust-model is sterke authenticatie, en het toestaan ​​van meerdere authenticatiefactoren is daar een onderdeel van, merkte Hed Kovetz op, CEO en mede-oprichter van Silverfort, die MFA-oplossingen biedt. Met het ontbreken van perimeters in het tijdperk van de cloud, is er een grotere behoefte aan authenticatie dan ooit. "De mogelijkheid om MFA van iets te doen is bijna een basisvereiste van Zero Trust, en het is vandaag onmogelijk om te doen omdat Zero Trust voortkomt uit het idee dat er geen perimeters meer zijn, " vertelde Kovetz PCMag op HIP2018. "Dus alles verbindt met alles, en in deze realiteit heb je geen gateway waarop je controle kunt toepassen."

Forrester's Cunningham heeft een strategie geschetst genaamd Zero Trust eXtended (XTX) om aankoopbeslissingen op het gebied van technologie te koppelen aan een Zero Trust-strategie. "We hebben echt gekeken naar de zeven stukken controle die je nodig hebt om een ​​omgeving veilig te beheren, " zei Cunningham. De zeven pijlers zijn automatisering en orkestratie, zichtbaarheid en analyse, workloads, mensen, gegevens, netwerken en apparaten. Om een ​​ZTX-platform te zijn, zou een systeem of technologie drie van deze pijlers hebben, samen met API-mogelijkheden (Application Programming Interface). Verschillende leveranciers die beveiligingsoplossingen aanbieden, passen in verschillende pijlers van het framework. Centrify biedt producten die gericht zijn op de beveiliging van mensen en apparaten, Palo Alto Networks en Cisco bieden netwerkoplossingen en IBM's Security Guardium-oplossingen richten zich op gegevensbescherming, merkte Cunningham op.

Een Zero Trust-model moet ook gecodeerde tunnels, een verkeerswolk en op certificaten gebaseerde codering omvatten, zei Steinkopf. Als u gegevens van een iPad via internet verzendt, wilt u controleren of de ontvanger toegang heeft, legde hij uit. Het implementeren van opkomende technologietrends zoals containers en DevOps kan volgens Steinkopf helpen bij het bestrijden van bevoorrecht misbruik. Hij beschreef cloud computing ook als een voorloper van een Zero Trust-strategie.

Luminate's Dubinsky is het daarmee eens. Voor MKB'ers worden bij een beroep op een cloudbedrijf dat identiteitsbeheer of MFA als een service biedt, deze beveiligingsverantwoordelijkheden overgeheveld naar bedrijven die gespecialiseerd zijn in dat gebied. "Je wilt zoveel mogelijk bedrijven en mensen die verantwoordelijk zijn voor hun dagelijkse werk, ontladen", zei Dubinsky.

Het potentieel van het Zero Trust Framework

Hoewel experts erkennen dat bedrijven zich richten op een Zero Trust-model, met name in identiteitsbeheer, zien sommigen geen noodzaak voor grote veranderingen in de beveiligingsinfrastructuur om Zero Trust te gebruiken. "Ik weet niet zeker of het een strategie is die ik vandaag op elk niveau zou willen volgen", zegt Sean Pike, Vice-President van IDC's Security Products Group. "Ik ben niet positief dat de ROI-calculus bestaat in een tijdsbestek dat logisch is. Er zijn een aantal architecturale veranderingen en personeelsproblemen die volgens mij de kosten als strategie onbetaalbaar maken."

Pike ziet echter potentieel voor Zero Trust in telecommunicatie en IDM. "Ik denk wel dat er vandaag componenten zijn die gemakkelijk kunnen worden overgenomen en waarvoor geen grootschalige architectuurwijzigingen nodig zijn, bijvoorbeeld identiteit, " zei Pike. "Hoewel ze geassocieerd zijn, is mijn sterke gevoel dat acceptatie niet noodzakelijkerwijs een strategische stap in de richting van Zero Trust is, maar eerder een stap om nieuwe manieren aan te pakken waarop gebruikers verbinding maken en de noodzaak om af te stappen van op wachtwoord gebaseerde systemen en toegangsbeheer te verbeteren, " Pike toegelicht.

Hoewel Zero Trust kan worden geïnterpreteerd als een beetje een marketingconcept dat enkele van de standaardprincipes van cybersecurity herhaalt, zoals het niet vertrouwen op nieuwkomers in uw netwerk en het nodig hebben om gebruikers te verifiëren, dient het volgens experts wel als een doel. "Ik ben een groot voorstander van Zero Trust, om naar dat unieke, strategische soort mantra te gaan en dat te verdedigen binnen de organisatie, " zei Forrester's Cunningham.

De Zero Trust-ideeën die Forrester in 2010 heeft geïntroduceerd, zijn niet nieuw voor de cybersecurity-industrie, merkt John Pescatore op, directeur van Emerging Security Trends bij het SANS Institute, een organisatie die beveiligingstrainingen en -certificering biedt. "Dat is zo ongeveer de standaarddefinitie van cybersecurity - probeer alles veilig te maken, uw netwerk te segmenteren en gebruikersrechten te beheren, " zei hij.

Pescatore merkte op dat rond 2004 een inmiddels ter ziele gegane beveiligingsorganisatie, het Jericho Forum genaamd, vergelijkbare ideeën introduceerde als Forrester met betrekking tot "perimeterloze beveiliging" en adviseerde alleen vertrouwde verbindingen toe te staan. "Dit is zoiets als zeggen: 'Verplaats je naar een plek zonder criminelen en perfect weer, en je hebt geen dak of deuren voor je huis nodig, '" zei Pescatore. "Nul Trust wordt in elk geval teruggebracht in de zin van segmenteren - u segmenteert altijd vanaf internet met een perimeter."

• Voorbij de perimeter: hoe om te gaan met gelaagde beveiliging Voorbij de perimeter: hoe om te gaan met gelaagde beveiliging
• NYC Venture wil banen stimuleren, innovatie in cybersecurity NYC Venture wil banen stimuleren, innovatie in cybersecurity
• Voorbereiding op uw volgende inbreuk op de beveiliging Voorbereiding op uw volgende inbreuk op de beveiliging

Als alternatief voor het Zero Trust-model raadde Pescatore aan de kritische beveiligingscontroles van het Center for Internet Security te volgen. Uiteindelijk kan Zero Trust zeker voordelen bieden, ondanks de hype. Maar, zoals Pescatore opmerkte, of het nu Zero Trust wordt genoemd of iets anders, dit type strategie vereist nog steeds basiscontroles.

"Dat verandert niets aan het feit dat om de onderneming te beschermen, basisprocessen en -controles voor veiligheidshygiëne moeten worden ontwikkeld en dat het vakkundige personeel moet worden ingeschakeld om ze effectief en efficiënt te houden, " zei Pescatore. Dat is meer dan een financiële investering voor de meeste organisaties, en het is een bedrijf waarop ze zich moeten concentreren om te slagen.