Aan het begin van 2022 stond “Zero Trust” voor een bizarre dichotomie. Zero Trust staat op het punt om de standaard aanpak van cybersecurity te worden, maar veel security-experts noemen het tegelijkertijd ‘gewoon een marketingstunt’. Hoe zijn wij, de security community, in zo’n hachelijke situatie terechtgekomen?
Volgens John Kindervag, voormalig analist van Forrester en auteur van het oorspronkelijke Zero Trust-onderzoek, is dat deels te wijten aan het feit dat de trilogie van Zero Trust-documenten grotendeels achter de paywall van Forrester bleef. Meer dan tien jaar lang hadden alleen klanten van Forrester en alle security-leveranciers daar toegang toe. De hype-trein reed het station uit en deze leveranciers gebruikten het verhaal over Zero Tust voor hun eigen belang en vertelden het vanuit hun eigen, zeer subjectieve invalshoek. Andere mensen en de bredere cybersecurity community zagen daarom Zero Trust alleen door de bril van marketing.
Het Forrester-onderzoek verschoof de focus van het Zero Trust-concept met de introductie van Zero Trust Extended (ZTX), van netwerkgericht naar een geïntegreerd, dynamisch ecosysteem van beveiligingsfuncties en -technologieën. Maar analisten zijn niet noodzakelijk marketeers (ondanks onze uitgesproken meningen daarover) en het onderzoek leverde geen duidelijke, beknopte, finale definitie op die onze klanten en de bredere community als een mijlpaal zouden kunnen gebruiken.
Vandaag corrigeren we beide problemen met de publicatie van een rapport getiteld: The Definition Of Modern Zero Trust. Ook dat rapport is achter de paywall, maar we geven hier de definitie, zodat iedereen die kan lezen.
De definitie van Zero Trust
Zero trust is een informatiebeveiligingsmodel dat standaard toegang tot applicaties en data verbiedt. Bedreigingen worden voorkomen door netwerken en workloads alleen toegang te bieden, met gebruik van beleidslijnen/policies op basis van continue, contextuele, op risico gebaseerde verificatie van gebruikers en hun apparaten. Zero Trust steunt op de volgende drie kernbeginselen: standaard wordt geen enkele entiteit vertrouwd; toegang met de laagste privileges wordt afgedwongen; er wordt uitgebreide beveiligingsbewaking ingezet.
U ziet dat de laatste zin de drie oorspronkelijke beginselen van Zero Trust samenvat. Hieronder staan de belangrijkste punten:
- Toegang standaard geweigerd
- Toegang alleen volgens beleid/policiy
- Voor data, workloads, gebruikers, apparaten
- Toegang met de laagste privileges
- Beveiligingsmonitoring
- Op risico gebaseerde verificatie
Het goede nieuws voor iedereen is, dat deze definitie niet afwijkt van de definitie van NIST in SP 800-207. De twee definities leggen hetzelfde concept uit, met gebruik van dezelfde beginselen en vaak dezelfde woorden.
Hoe zit het met Zero Trust-architectuur en Zero Trust-strategie?
Het brede thema van zero trust is de reductie van stilzwijgend vertrouwen. Als een model voor informatiebeveiliging, vertaalt Zero Trust zich in netwerk- en beveiligingsarchitectuur. Zie NIST SP 800-207, Zero Trust-architecturen, als het meest relevante voorbeeld.
Sommige voorstanders van Zero Trust zeggen dat dit ook een goed werkende strategie zou moeten zijn. De zin “Zero Trust-strategie” zou kunnen worden vervangen door “een strategie om stilzwijgend vertrouwen binnen uw organisatie te beperken”.
Wat is Zero Trust niet?
Om security-managers en -deskundigen te helpen de voordelen van een Zero Trust-aanpak beter te communiceren, geeft ons rapport meer duidelijkheid over wat het niet is. Eén belangrijk punt is, dat het geen strategie is om de aandacht op security te richten en mensen daarin op te leiden. Sterker nog, het overgrote deel van de eindgebruikers in een organisatie hoeft niet eens vertrouwd te zijn met dit concept. Eindgebruikers lastigvallen met Zero Trust-concepten zal waarschijnlijk een averechtse uitwerking hebben wat betreft bewustzijn en opleiding, omdat ‘Zero Trust’ een gebrek aan vertrouwen in medewerkers suggereert. Organisaties die het Zero Trust-model hebben geïmplementeerd, zien vertrouwen als een grondbeginsel voor een positieve, soepele werkcultuur. Ze investeren in initiatieven om het bedrijf op elk niveau de mogelijkheid te bieden zich te onderscheiden met vertrouwen.
Ga heen en bekeer de ongelovigen
Nog een keer voor de mensen achter in de zaal: Zero Trust is een informatiebeveiligingsmodel. Een model waar naartoe kan worden gewerkt, maar zonder een definitieve eindtoestand. De meeste klanten van Forrester, gebruiken al veel technologieën die kunnen worden ingezet om een volledig Zero Trust-model te implementeren. Deze klanten maakten A Practical Guide To A Zero Trust Implementation, het operationele rapport van Forrester, het meest gelezen Security & Risk rapport van 2021. Deze klanten weten dat er een traject bestaat van slechte informatiebeveiliging naar betere informatiebeveiliging. En ze weten dat vooruitgang langs dat spectrum waardevoller is dan de persoonlijke bevrediging die sommigen krijgen door Zero Trust gewoon als marketing af te schrijven.