Iemand zei eens in een NIS2 podcast over ‘Zero Trust’: “Het is alles wat de cybersecurity sales je wilt aansmeren… Laat je hier als verantwoordelijke voor het ICT budget niet door in de luren leggen.” Een praktisch voorbeeld van NIS2 Zero Trust, is het naar de regels van de kunst toepassen van multifactor-authenticatie (MFA). Je begint met het onderzoeken welk soort MFA de hele digitale lading en gebruikerstoegang in je bedrijfsnetwerk dekt. Microsoft zal zeggen dat dat hun MFA is.
Deze stelling is in de mindset van Zero Trust niet juist. Mits aankoop van het juiste abonnement en het afdwingen van MFA-login op Microsoft 365 of Office 365 (M365 of O365), zou je 365-omgeving beschermd zijn. Maar als een hacker kan meegaan in een SSO-login op de endpoint zelf, waar bijvoorbeeld de gebruiker local admin is, dan kan deze zelfs meegaan naar een O365 . O365 moet dus perfect afgesteld zijn. Maar wie controleert jouw IT-leverancier ? In onze laatste 25 screenings stond 50% verkeerd ingesteld. Maak zelf de gevolgtrekking over of we hier kunnen spreken van Zero Trust MFA.
Niet overtuigd? Lees dan deze link door:
Als we als auditor de beleidsregel ‘ISO 27001 Annex A.9 Access Control’ nakijken, worden de navolgende risico analyses uitgevoerd:
Zijn alle gebruikerstoegangen afgeschermd? Indien niet, wat is het risico ten opzichte van verlies van gegevens, de betrouwbaarheid van gegevens en het beschermen van vertrouwelijke gegevens? Wat zijn de gevolgen als de digitale onmisbare dataprocessen aangetast worden?
Wie beheert de opzet van de MFA? Is er hier scheiding van rechten (Admin)?
Gaat er een digitale mijn af als de regels van MFA omzeild worden?
Als er FIDO-tokens gebruikt worden voor MFA-login, zijn deze dan voorzien van biometrie voor het benaderen van kritische serverinstallaties? Op die manier is de login geijkt.
Enz…
De kwestie die we willen aantonen, is dat we alle scenario’s moeten doorlopen en zelfs laten testen door een pentester.
Wat is de beveiligingsmindset als er geen zero trust in het beleid is toegepast?
Traditionele IT-netwerkbeveiliging is gebaseerd op het kasteel-en-slotgrachtconcept. Bij kasteel-en-slotgrachtbeveiliging, door bijvoorbeeld een firewall, is het moeilijk om toegang te krijgen van buiten het netwerk, maar iedereen binnen het netwerk wordt standaard vertrouwd. Het probleem met deze aanpak is dat zodra een aanvaller toegang krijgt tot het netwerk, hij vrij spel heeft over alles binnen het netwerk.
Via VPN is het als een luchtballon met de juiste kleur die niet neergeschoten wordt. Maar wie reist er mee? Dat kan de kanonnier moeilijk zien.
De basis voor Zero Trust login
Een belangrijk principe van Zero Trust beveiliging is ‘toegang met de laagste rechten voor de gebruiker’ (least-privilege access). Dit betekent dat gebruikers na controle via de MFA alleen toegang krijgen tot digitale bronnen die ze voor hun dagtaak nodig hebben. Je kan dit vergelijken met een legergeneraal die soldaten informatie geeft over bepaalde fases van de aanval. Zo kan bij gevangenneming geen informatie gelost worden, zelfs niet onder druk. Dit toepassen op het benaderen van de digitale kroonjuwelen van het bedrijf minimaliseert de blootstelling van elke gebruiker aan gevoelige delen van het netwerk.
We gaan met onze Zero Trust-mindset nog een stap verder door zowel de applicaties als gebruikers in hun benadering van bestanden te loggen en via monitoring met de rechten te vergelijken.
Stel dat de IT-directeur cv’s aan het doorlezen is, dan wordt het management daarvan op de hoogte gesteld. Nieuwsgierige aagjes zijn in een Zero Trust-opzet ongewenst.
Het implementeren van “least privilege” impliceert het zorgvuldig beheren van gebruikersrechten. VPN’s zijn niet geschikt voor een least privilege-benadering van autorisatie, omdat inloggen op een VPN een gebruiker toegang geeft tot het hele verbonden netwerk.
Naast controles op gebruikerstoegang vereist Zero Trust ook strikte controles op apparaattoegang . Zero Trust-systemen moeten controleren hoeveel verschillende apparaten toegang proberen te krijgen tot hun netwerk, ervoor zorgen dat elk apparaat geautoriseerd is en alle apparaten beoordelen om er zeker van te zijn dat ze niet gecompromitteerd zijn. Dit minimaliseert het aanvalsoppervlak van het netwerk nog verder.
MaaS360 bijvoorbeeld hanteert een strenge vorm van inventarisatie van toegelaten applicaties en is bitlocker actief. Als een lachende derde (de hacker) ergens inplugt op het netwerk, is er onmiddellijk alarm code rood.
De historische achtergrond:
Reykjavik, IJsland 1986. President Reagan en Gorbatsjov, secretaris-generaal van de USSR, houden hun eerste ontmoeting over nucleaire ontwapening. Reagan komt naar de tafel “gewapend” met een populair Slavisch gezegde dat hem werd geleerd door de Russische geleerde Suzanne Massie: “Doveryai, no proveryai” – Vertrouw, maar verifieer. Deze woorden worden de basis van het Intermediate-Range Nuclear Forces Treaty (INF) uit 1987, misschien wel een van de belangrijkste ontwapeningsovereenkomsten in de moderne geschiedenis.
In het huidige vluchtige gebied van cyberconflicten heeft NIS2 “Vertrouwen maar verifiëren” naar het volgende niveau getild: Zero Trust, een cruciale basis voor het beveiligen van data, IT en kritieke infrastructuur. Dit is van vitaal belang voor de nationale en binnenlandse veiligheid van Europese naties tegen vijandige hacking aanvallen, met welke insteek dan ook. Vergeet niet dat er geen Verdrag van Genève of andere overeenkomst bestaat die het gedrag van cyberoorlogsvoering reguleert , waarin vijanden net zo goed in een naburig kantoor kunnen worden gevonden als aan de andere kant van oceanen en continenten. Marktonderzoeksbureau Forrester merkte recent nog op dat bedreigingen van binnenuit de oorzaak zouden kunnen zijn van zo’n 33 procent van alle datalekken in 2021, waardoor de invoer van de Zero Trust-mindset alsmaar logischer wordt.
Lang voordat de term zelf werd bedacht door cyberprofessionals, waaronder Forrester-analist John Kindervag, die het vakgebied in 2009 oprichtte, stond Zero Trust al beter bekend als “Perimeterloze” beveiliging.
Het basisidee is dat beveiliging het belangrijkste fundament moet zijn van alle IT-systemen en netwerken. Elke vorm van “vertrouwen” zal altijd een kwetsbaarheid zijn.
