Bij het beveiligen van bedrijfsnetwerken en –apparatuur komt steeds vaker de term “zero trust” voorbij. Wat houdt dit precies in?

Zero trust is een andere manier van denken in vergelijking met de traditionele manier van het beveiligen van netwerken.

Bij een klassieke opzet is de beveiliging van een bedrijfsnetwerk opgebouwd met het idee dat de wereld in twee delen bestaat: een intern, vertrouwd deel en alles daarbuiten. Een bedrijfsnetwerk dat volgens deze filosofie is opgezet, heeft een sterke beveiliging aan de buitenkant in de vorm van een goede firewall en eventueel een VPN-oplossing voor toegang van buitenaf. Alle apparaten binnen het bedrijfsnetwerk kunnen vrij met elkaar communiceren, maar de toegang wordt geweigerd aan alle apparaten buiten het bedrijfsnetwerk.

In een zero trust-model wordt alles in beginsel als onvertrouwd gezien. Er zal nog steeds sprake zijn van een firewall, maar ook apparaten en gebruikers die zich op het interne netwerk bevinden moeten zich bij elke toegang tot een nieuw systeem verifiëren. In beginsel wordt ervan uitgegaan dat elk gebruikersaccount en elk apparaat mogelijk is overgenomen door een hacker.

Het idee achter zero trust is dat cyberdreigingen overal vandaan kunnen komen. Cyberaanvallen worden in toenemende mate in stappen uitgevoerd, waarbij er eerst toegang wordt verkregen tot een deel van een systeem waarvandaan verder wordt gewerkt om steeds meer toegang te krijgen. Dit soort aanvallen van binnenuit zijn vaak moeilijk te detecteren. Door altijd de identiteit van gebruikers en apparaten te verifiëren, is het mogelijk om ongeoorloofde toegang tot gevoelige gegevens en systemen te voorkomen, zelfs als een aanvaller de inloggegevens heeft van een legitieme gebruiker.

Afwegingen

In de praktijk moet er altijd een afweging gemaakt worden tussen gemak, complexiteit en beveiliging. Het zou voor een normale mkb-organisatie niet redelijk zijn om medewerkers bij het openen van elk bestand opnieuw dubbele authenticatie te laten gebruiken. De barrières die daarmee worden opgeworpen, zijn dan niet in verhouding tot de beveiligingswinst.

Wat eerder voor de hand ligt, is om toegang tot een redelijk niveau terug te brengen. Een goede eerste stap is bijvoorbeeld ervoor te zorgen dat een goede rechtenstructuur wordt opgezet en toegepast, waarbij medewerkers alleen toegang krijgen tot de bestanden die zij echt nodig hebben. Voor de bedrijfsaccounts kan daarna multi-factor authenticatie worden ingeschakeld, waardoor wordt voorkomen dat een hacker via een bemachtigd wachtwoord kan inloggen.

Wij hebben een aantal artikelen geschreven over dit onderwerp, bij voorbeeld met adviezen over cybersecurity voor het mkb.