De migratie naar Zero Trust krijgt voet steeds meer voet aan de grond binnen de (inter)nationale cybersecuritygemeenschap. Bijna 90% van organisaties wereldwijd is al begonnen met het implementeren van de basis van een Zero Trust-beveiligingsmodel. In het Forrester 2024-rapport voorspellen analisten dat functies met ‘Zero Trust’ in de titel naar verwachting in het komende jaar verdubbelen.

Een bijdrage van Ryan Chapman, certified instructor, SANS Institute

De behoefte aan Zero Trust Authentication (ZTA) is nog nooit zo groot geweest. Traditionele netwerkbeveiliging wordt steeds kwetsbaarder in huidige bedrijfsomgevingen; de post-COVID digitale transformatie, software supply-chains, op afstand werken en bring your own device-afspraken hebben het aanvalsoppervlak vergroot: cyberaanvallen in de cloud zijn in 2022 met bijna 50% toegenomen. Ondertussen werden datzelfde jaar meer dan tien miljoen mensen getroffen door aanvallen in de supply-chain.

ZTA: Zero Trust Authentication

Bij ZTA wordt afscheid genomen van op netwerkperimeter gebaseerde securitycontroles. In plaats daarvan wordt de verdediging van binnenuit opgebouwd om de beveiliging rond bedrijfskritische data te versterken. Het geeft de voorkeur aan voortdurende verificatie en levert verbeterde bescherming door middel van gebruikersverificatie, het principe van de minste privileges, datasegmentatie en voortdurende monitoring. Door Zero Trust-principes te volgen, kunnen organisaties een dynamische vorm van security creëren om gevoelige data te beveiligen – ongeacht de locatie van de gebruiker of het toegangspunt tot het netwerk.

Het is echter belangrijk te onthouden dat de implementatie van een Zero Trust-raamwerk een grotere complexiteit met zich meebrengt – vanwege de behoefte aan extra beleidsregels, workflows en onderhoudstaken. Organisaties moeten hun IT-medewerkers (van wie velen hun carrière zijn begonnen in het traditionele netwerkbeveiligingstijdperk) zo positioneren dat ze de Zero Trust-implementatie kunnen faciliteren. Dat begint met ervoor te zorgen dat ze worden getraind op de fundamentele pijlers van CISA’s Zero Trust Maturity Model: identiteit, apparaten, netwerk, gegevens en toepassingen/werklasten.

Daarnaast moeten de ‘silo’s’ tussen beveiligingsteams worden doorbroken om zo de effectiviteit van Zero Trust te bevorderen.

“Om van Zero Trust een succes te maken, dient het een culturele prioriteit te worden op elk niveau van de onderneming. Het vereist een security first-mentaliteit die verder gaat dan alleen IT-medewerkers. Iedereen speelt een rol in de verdediging van de gevoelige data van multi-cloud omgevingen.”

Ryan Chapman – SANS Certified Instructor

Nieuw securitymodel

Het omarmen van een nieuw securitymodel zonder overgangsmaatregelen kan de security attitude negatief beïnvloeden. Bij- en herscholingstrainingen over het Zero Trust-beleid zijn cruciaal voor het succesvol uitvoeren van de implementatie. Deze trainingen helpen eventuele onderliggende vaardigheidstekorten binnen beveiligingsteams op te vullen en zorgen ervoor dat ze een goed begrip hebben van de processen en technologieën. Denk aan oplossingen voor Identity Access Management (IAM), MFA, endpointbeveiliging, cloudbeveiliging, et cetera. De bruikbare richtlijnen stemmen hun expertise af op de unieke behoeften van de beveiligingsomgeving van de organisatie.

Vanuit financieel oogpunt kan training op basis van vaardigheden helpen de kosten te verlagen die gepaard gaan met de implementatie van Zero Trust. Uit recent onderzoek blijkt dat de gemiddelde kosten voor organisaties om over te stappen op Zero Trust hoger lagen dan zo’n 600.000 euro. Op vaardigheden gebaseerde trainingsprogramma’s kunnen op maat worden gemaakt om te focussen op het gebruik van de huidige infrastructuur ten behoeve van het herconfigureren (en valideren) van security-architecturen voor Zero Trust-implementatie. Deze kennis stelt securityteams ook in staat om tekortkomingen in bestaande oplossingen te identificeren, analyseren en begrijpen die Zero Trust-workflows zouden kunnen verstoren.

Gedeelde verantwoordelijkheid

Om van Zero Trust een succes te maken, dient het een culturele prioriteit te worden op elk niveau van de onderneming. Het vereist een security first-mentaliteit die verder gaat dan alleen IT-medewerkers. Iedereen speelt een rol in de verdediging van de gevoelige data van multi-cloud omgevingen.

Bewustzijnstrainingen (security awareness) voor gebruikers die cloud security en Zero Trust-principes combineren, zijn van cruciaal belang. Ze wapenen niet-technische medewerkers met de kennis en middelen die ze nodig hebben om zich niet alleen aan te passen aan een Zero Trust-omgeving. Vereenvoudigde instructies helpen de technische aspecten van beveiliging te versimpelen en biedt een basis om actief deelnemer aan het Zero Trust-model te worden.

‘Awareness’ is ook het onderwerp van het FERM Port Cyber Café op donderdag 18 april

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht