Ontkracht: 6 mythes over beveiliging zonder vertrouwen

Het Zero Trust-beveiligingsmodel is niet nieuw. Het bestaat al sinds John Kindervag van Forrester Research in 2010 zijn paper "No More Chewy Centers: Introducing the Zero Trust Model of Information Security" schreef.

De Zero Trust-benadering is gebaseerd op de overtuiging dat geen enkele gebruiker of applicatie inherent vertrouwd moet worden, zelfs niet degenen die zich al binnen de netwerkperimeter bevinden.

Dit idee wordt al omarmd door grote bedrijven en organisaties zoals Google, Coca-Cola en de NSA om de groeiende dreiging van cyberaanvallen te bestrijden. Er zijn echter nog steeds wegversperringen die de reguliere acceptatie ervan belemmeren.

Mythen over Zero Trust-beveiliging

Naarmate de belangstelling van organisaties voor de Zero-Trust-modelbenadering toeneemt, hebben enkele misvattingen over de basisprincipes van het raamwerk de acceptatie in de weg gestaan. Hier zijn een paar mythes die je niet moet geloven.

Mythe één: nul vertrouwen creëert een cultuur van wantrouwen

Een veel voorkomende misvatting over Zero Trust is dat het het idee bevordert dat u uw werknemers niet vertrouwt. Hoewel het Zero Trust-framework van bedrijven vereist dat ze gebruikers die toegang hebben tot hun netwerkbronnen nauwkeurig onderzoeken, mag dit niet verkeerd worden geïnterpreteerd als iets persoonlijks.

Feit is dat vertrouwen een kwetsbaarheid is die uw organisatie het risico kan geven van een aanval. Cybercriminelen maken specifiek misbruik van vertrouwen om bedrijven te targeten, en Zero Trust biedt een manier om dit te verminderen. Het staat gelijk aan het invoeren van een sleutelkaart in plaats van iedereen toe te staan ​​een gebouw binnen te gaan.

Door met behulp van het principe van de minste privileges (POLP), kunnen organisaties hun drempelbeleid personaliseren, zodat gebruikers alleen toegang krijgen tot de bronnen die ze nodig hebben op basis van het vertrouwen dat ze hebben verdiend.

Mythe twee: nul vertrouwen is een product

Zero Trust is een strategie of raamwerk, geen product. Het is gebouwd rond het idee om nooit te vertrouwen en altijd te verifiëren.

De verschillende producten die door leveranciers worden aangeboden, kunnen helpen om Zero Trust te bereiken; het zijn echter geen Zero Trust-producten. Het zijn slechts producten die goed werken in de Zero Trust-omgeving. Dus als een leverancier u vraagt ​​om hun Zero Trust-product te kopen, is dat een indicatie dat ze het onderliggende concept niet begrijpen.

Verwant: Wat is een Zero Trust Network en hoe beschermt het uw gegevens?

Wanneer ze op de juiste manier zijn geïntegreerd met de Zero Trust-architectuur, kunnen verschillende producten het aanvalsoppervlak effectief minimaliseren en de explosieradius in het geval van een doorbraak beperken. Eenmaal volledig geïmplementeerd, kan een Zero Trust-oplossing met continue verificatie het aanvalsoppervlak volledig elimineren.

Mythe drie: er is maar één manier om Zero Trust te implementeren

Zero Trust is een verzameling beveiligingsprincipes die constante verificatie, het principe van de minste privilege-toegang en het verminderen van het aanvalsoppervlak omvatten.

In de loop der jaren zijn er twee benaderingen ontstaan ​​om met een Zero Trust-model aan de slag te gaan. De eerste benadering begint met identiteit en omvat multi-factor authenticatie, wat snelle resultaten oplevert.

Verwant: Wat is twee-factorenauthenticatie? Dit is waarom je het zou moeten gebruiken

De tweede benadering is netwerkgericht en begint met netwerksegmentatie. Het concept omvat het creëren van netwerksegmenten om het verkeer binnen en tussen die segmenten te regelen. Netwerkbeheerders kunnen dan afzonderlijke autorisatie voor elk segment behouden, waardoor de verspreiding van laterale bedreigingen in een systeem wordt beperkt.

Mythe vier: Zero Trust bedient alleen grote ondernemingen

Google was een van de eerste bedrijven die de Zero Trust-architectuur implementeerde als reactie op Operatie Aurora in 2009. Dit was een reeks aanvallen gericht op grote ondernemingen zoals Google, Yahoo, Morgan Stanley en Adobe Systems.

Toen Google direct na de aanvallen het Zero Trust-model overnam, dachten veel bedrijven (en denken nog steeds) dat dit alleen van toepassing is op grote organisaties. Dit idee zou alleen waar zijn als cyberaanvallen beperkt zouden blijven tot grote ondernemingen, wat niet het geval is. In werkelijkheid ongeveer 46 procent van de datalekken in 2021 waren gericht op kleine bedrijven.

Hoewel de media de neiging hebben om datalekken te dekken die grote ondernemingen treffen, lijdt het geen twijfel dat kleine bedrijven ook bescherming nodig hebben tegen cyberaanvallen.

Het goede nieuws is dat kleine organisaties de bank niet hoeven te breken om het Zero Trust-model te implementeren. Aangezien het geen product is, kunnen bedrijven het geleidelijk introduceren door een bescheiden jaarlijkse investering in de Zero Trust-architectuur toe te wijzen.

Mythe vijf: nul vertrouwen belemmert gebruikerservaring

Een van de belemmeringen voor de acceptatie van Zero Trust is de waargenomen impact op de gebruikerservaring. Het is begrijpelijk om aan te nemen dat de productiviteit en wendbaarheid van gebruikers eronder zouden lijden bij het continu verifiëren van de identiteit van gebruikers. Indien correct geïmplementeerd, kan Zero Trust echter een gebruiksvriendelijke ervaring bieden.

Organisaties kunnen gebruikersprofielen beoordelen en op risico gebaseerde authenticatie combineren met machine learning om risico's te identificeren en snelle toegangsbeslissingen te nemen. Als het risico hoog is, kan het systeem een ​​extra authenticatiestap vereisen of de toegang volledig blokkeren om zijn bronnen te beschermen. Integendeel, het kan authenticatieproblemen elimineren als het risico laag is.

Een Zero Trust-aanpak vermindert ook de complexiteit aan de administratieve kant. Aannemers en werknemers zijn niet langer zekerheidsverplichtingen als ze geen zaken meer met u doen. Volgens een efficiënt Zero Trust-model beëindigt het systeem onmiddellijk hun toegang tot belangrijke activa, waardoor achterdeuren worden geëlimineerd.

Mythe Six: Zero Trust is beperkt tot on-Prem-omgevingen

Veel bedrijven zien Zero Trust nog steeds als een model dat alleen on-premises kan worden beheerd. Dit wordt een groot probleem, aangezien gevoelige gegevens zich nu in hybride en cloudomgevingen bevinden. Nu cyberaanvallen en hacks die de on-prem architectuur beïnvloeden toenemen, stappen steeds meer bedrijven over naar de cloud.

Het goede nieuws is dat Zero Trust er snel mee aan de slag gaat.

Verwant: Meest voorkomende datalekken in cloudbeveiliging in de afgelopen jaren

Door een Zero Trust-architectuur in de cloud op te zetten, kunnen bedrijven gevoelige gegevens beschermen en de blootstelling van kwetsbare activa in hun netwerk verminderen.

Bovendien, naarmate de cultuur van werken op afstand toeneemt en cybercriminelen nieuwe manieren ontwikkelen om kwetsbaarheden te misbruiken, lopen bedrijven die afhankelijk zijn van on-premises infrastructuur het risico op verstoring.

Vertrouw nooit; Altijd verifiëren

Op basis van het aantal datalekken dat gericht is op organisaties, is het duidelijk dat de ouderwetse benadering van beveiliging niet voldoende is. Hoewel velen geloven dat Zero Trust duur en tijdrovend is, is het een fantastisch tegengif voor de beveiligingsproblemen van nu.

Het Zero Trust-model probeert op vertrouwen gebaseerde systemen te verwijderen, simpelweg omdat het te vaak wordt uitgebuit bij cyberaanvallen. Het werkt volgens het principe dat alles en iedereen moet worden geverifieerd voordat toegang wordt verkregen tot de netwerkbronnen. Dit is een waardig streven voor bedrijven die risico's willen verminderen en hun beveiligingshouding willen verbeteren.

Hoe kan Zero-Trust-beveiliging ransomware-aanvallen voorkomen?

Het traditionele beveiligingsmodel is niet effectief gebleken tegen ransomware. Ontdek waarom zero-trust de beste manier is om cyberaanvallen te verslaan.

Lees volgende

Over de auteur