NCSC geeft bedrijven informatie en tips voor overstappen naar zerotrustmodel

Het Nationaal Cyber Security Centrum raadt Nederlandse ondernemingen aan zich voor te bereiden op een zerotrustmodel voor hun beveiliging. Volgens de instantie is dat een veiligere manier van systeembeveiliging en een die in de toekomst populairder gaat worden.

Het NCSC heeft een document opgesteld met tips voor ciso's en andere securitymanagers. In het document staat ook achtergrondinformatie en praktische tips voor hoe bedrijven alsnog authenticaties kunnen uitvoeren onder een zerotrustmodel. Het document is opgesteld door de Dienst ICT Uitvoering van de Rijksoverheid en het Nationaal Bureau voor Verbindingsbeveiliging, maar ook door Schuberg Philis en KPN.

Volgens het Nationaal Cyber Security Centrum wordt het zerotrustprincipe 'steeds populairder' en stijgt de noodzaak ervan. "Technologische ontwikkelingen hebben de traditionele kijk op security en het beveiligingsbeleid van veel organisaties ingehaald. Organisaties die Zero Trust omarmen zijn minder vatbaar voor externe aanvallen en dreigingen van binnenuit", schrijft de instantie.

Concrete tips die het NCSC geeft zijn om bij het verplaatsen naar een cloudomgeving direct een zerotrustmodel in te bouwen, eindgebruikers te betrekken en samen te werken met ict-leveranciers. Ook raadt het NCSC bedrijven aan het model eerst toe te passen op kleine omgevingen en van daaruit uit te bouwen, en dat people-centered security moet worden gevolgd om te voorkomen dat gebruikers beveiligingen proberen te omzeilen. Het document geeft daarnaast tips voor netwerksegmentatie, authenticatieprotocollen, monitoring en logging, en automatiseringen.

Zero trust is een bestaand beveiligingsmodel dat ook internationaal steeds meer gevolgd wordt. Een zerotrustmodel is een manier voor een organisatie om bijvoorbeeld te bepalen welke apparaten of personen met een netwerk of elkaar kunnen verbinden. In tegenstelling tot een 'trust, but verify'-model wordt onder zerotrust niets toegelaten tenzij het aan bepaalde eisen voldoet. Met de opkomst van cloudomgevingen en werken op afstand levert dat bestaande 'trust, but verify'-model vaak beveiligingsrisico's op. Het maakt het bijvoorbeeld makkelijker voor aanvallers om horizontaal door een systeem te bewegen.

Zerotrust

Door Tijs Hofmans

Nieuwscoördinator

19-08-2021 • 14:24

37

Reacties (37)

37
37
27
4
0
6
Wijzig sortering

Sorteer op:

Weergave:

Aangezien je nooit niet iemand kan vertrouwen. Waarom word dit dan nu pas de default?
Als consultant gespecialiseerd in VMware NSX Distributed Firewalling kan ik je vertellen dat zero-trust een gigantische opgave is voor een heleboel bedrijven. Het is vaak een langdurig traject om alles in kannen en kruiken te krijgen. Dan heb ik het nog niet eens over alle randzaken, puur het microsegmenteren op netwerkniveau.

De overstap naar microsegmentatie en zero-trust zorgt er voor dat helemaal niets meer vrij met elkaar kan communiceren op het netwerk, voor elke VM of container zijn er specifieke regels met toegang tot op de poort en (OSI) Layer-7 nauwkeurig en voor VDI/Remote werken kunnen we zelfs op user niveau filteren wie waar naartoe mag. Nu denk je, logisch toch? Ik zie het probleem niet?

In de afgelopen 3 jaar ben ik nog geen enkel bedrijf tegengekomen die exact wist welke poorten er in gebruik waren door hun applicaties. Vele draaien in een VLAN met vrije (OSI) Layer-2 communicatie daarbinnen, dus alles werkt. Met zero-trust moet dus per applicatie (en zelfs applicatieversie) in het landschap van het bedrijf uitgezocht worden hoe het communiceert en met wat.
Je gooit dus niet alleen het netwerk op de schop maar ook je hele development en beheer afdeling.
Uiteraard hebben we tooling om daarmee te helpen, het blijft echter een hele ingrijpende procedure waar een heleboel "shortcuts" van de beheerpartijen niet meer gaan werken en het kost ontzettend veel tijd om het allemaal goed op te zetten. En ja, tijd is nog steeds geld.

[Reactie gewijzigd door drocona op 26 juli 2024 13:49]

Omdat zerotrust een hoeveelheid hype achter zich heeft, en het NCSC ook graag meepraat. Als je het document van NCSC leest zijn het veelal wollige, algemene tips die onafhankelijk van Zero-Trust ook al belangrijk waren.

Ook bij Zero-Trust is er uiteindelijk vaak een single-source-of-trust waar je alsnog één of meerdere systemen hebt die de trust nu in de hele organizatie controleren (bijv een authenticatie provider, je policy engine of je CI/CD systeem dat alle policies uitrolt).
AuteurTijsZonderH Nieuwscoördinator @MMaI19 augustus 2021 14:41
Omdat zerotrust een hoeveelheid hype achter zich heeft
Waarom is het hype? Is het overbodig denk je?
Ik denk dat het plaatsen van de verschillende security concepten in een catchy naam (Zero Trust) er voor zorgt dat verschillende marketing departementen er mee aan de haal gaan want het klinkt lekker, en de inhoud vaak vergeten wordt. Zodra ik bij verschillende personen die Zero Trust noemen / diensten verkopen vraag naar wat ze bedoelen met Zero Trust of wat hun interpretatie van Zero Trust as concept is zijn het vaak dezelfde antwoorden als voorheen (segmentatie) of het blijft stil, en vandaar de classificatie als hype.

Dat beveiliging van je diensten en systemen belangrijk is betwist ik niet, maar concepten als Zero Standing Privileges of Least-Privilege zijn veel belangrijker als keuze dan "Zero Trust" gezien Zero Trust nooit mogelijk is (er zijn altijd systemen/diensten die je moet vertrouwen, al is het je infra provider of leverancier van verschillende diensten/apparaten). Alleen bekken die twee concepten niet zo lekker als marketing termen ;)
Maar wat is er volgens jou nu hype aan? Je noemt hooguit op dat je zelf een mening hebt. Dat toont geen hype aan. Het zero trust model bestaat daarbij al jaren.
Er is geen algemeen aanvaarde technische definitie van zero trust. Het wordt enkel op hoog niveau als hippe marketing term danwel inhoudsloze management speak gebruikt.

Als security expert kan ik me diverse zaken voorstellen die eronder zouden kunnen vallen, maar dan gebruik ik die termen wel zodat we weten waar we het conceptueel en technisch over hebben en welke security eigenschappen dat biedt.

Ik ben het dus geheel met de security collega hierboven eens dat het een hype term is. Al jarenlang en in die tijd is het niets beter geworden.
Dat argument klinkt niet redelijk, omdat je niet duidelijk maakt hoe relevant dat is bij termen of onderwerpen die je wel acceptabel kan vinden.

Daarbij is beveiliging meer dan techniek. Dat mensen leren om niet overal hetzelfde wachtwoord te gebruiken of eisen stellen aan software is ook beveiliging maar daar zijn ook niet zomaar technische definities voor. Toch is dat geen hype te noemen.
De hype is dat bijvoorbeeld netwerk segmentatie vaak ook al als zero trust wordt verkocht, terwijl het daar niks mee van doen heeft.

Zero Trust gaat over het verstrekken van toegang aan (virtuele) apparaten en identiteiten op basis van toegangspolicies die o.a. (maar niet beperkt tot) kijken naar identificatie, authenticatie, geo locatie, betrouwbaarheid indicatoren van het gebruikte apparaat, idem voor de verbinding, etc.

Dus zonder invloed/aanpassingen uit te oefenen op de omgeving wordt aan de hand van de (samenhang van de) omgeving de mate van toegang bepaald (van geen, tot heel veel zeg maar).

Idealiter wordt bovenstaand principe continu en op elk end/datapoint toegepast. Daarbij is netwerksegmenatie een handig middel om scheiding in toegang te creëren, het heeft echter niks te maken met de logica of een bepaald individu, met een bepaald account, met een bepaald apparaat, op een bepaalde locatie, via een bepaald netwerk, wel of geen toegang zou mogen hebben.

Elke oplossing die niet iets doet met wat hier boven staat, is ansicht geen zero trust oplossing. Mogelijk is het er een onderdeel van, maar de eerste one-size-fits all oplossing moet ik nog tegenkomen :).
De hype is dat bijvoorbeeld netwerk segmentatie vaak ook al als zero trust wordt verkocht, terwijl het daar niks mee van doen heeft.
Je geeft een voorbeeld van een toepassing van principes die je onder een security model kan verstaan. Maar daaruit blijkt niet dat het een hype is.
Elke oplossing die niet iets doet met wat hier boven staat, is ansicht geen zero trust oplossing. Mogelijk is het er een onderdeel van, maar de eerste one-size-fits all oplossing moet ik nog tegenkomen :).
Het hangt er dus vanaf hoe je Zero Trust als security model wil zien. De principes van het security model zijn niet van steen, zoals wel meer modellen door de tijd anders gezien kunnen worden. Maar dat wil niet zeggen dat de een dus gelijk heeft en de ander niet. Het zal dus ook betekenen dat als je het niet eens bent met de invulling de ander perse ongelijk heeft.
Ik heb de indruk dat jij juist stelt dat de ander ongelijk heeft omdat jij het er niet mee eens bent. Maar denk dat het principe is van niet (geheel) met elkaar eens zijn ;).

Is Zero Trust Model een verstandig model om na te streven? Absoluut. Maar dat betekent niet dat elke Security oplossing gelijk een ZTM oplossing is. En genoeg oplossingen die wel vaak zo gemarket worden.

Dat is in ieder geval mijn observatie van de markt en ervaring als eigenaar van een Cybersecurity bedrijf.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 13:49]

De hype is dat het (onder anderen in dit geval door NCSC) rond wordt gestrooit zonder concrete invulling en dat in de praktijk Zero Trust vrijwel volledig tot een marketing term verworden is. Al in 2019 hebben een aantal Microsoft lui dit al meer in diepte besproken in meer dan ik in de t.net comments kan verwoorden: https://techcommunity.mic...ty/zero-hype/ba-p/1061413
En tegelijkertijd omarmen ze bij Microsoft het ook.
https://www.microsoft.com...hitecture-with-zero-trust

Dat bepaalde mensen het liever een hype noemen omdat ze een bepaalde mening over beveiliging hebben is dus niet zomaar redelijker dan de mensen die het concept wel willen accepteren. En nee, het feit dat Microsoft een bedrijf is en het accepteren dus zou betekenen dat het een hype is is niet redelijk. Je kan hooguit zeggen dat er verschil in mening en inzicht is.
AuteurTijsZonderH Nieuwscoördinator @MMaI19 augustus 2021 14:56
Is het niet zo dat Zero Trust inmiddels wel wat meer is dan een catchy naam? NIST heeft er een hele advisory over, en nu geeft het NCSC er ook kaders aan. Dat maakt het toch vrij concreet en met inhoud? Ik ga me wel wat verder verdiepen in zero standing en least-privilege die je noemt, dat zei me nog niks.
NCSC en NIST hebben beiden een whitepaper dat bestaande concepten opsomt en weinig concreet bied over welke manieren het idee achter Zero Trust bijdraagt aan een veiligere organisatie of waar nu precies Zero Trust zelf uit bestaat. Vergelijk dit met (bvb) het CyberSecurity Framework van NIST.
Zo waar...

Zero-trust klink mooi en verkoopt vast ook fijn maar wat is het dan precies? Nou ehm, ja, u weet wel, en dan een lading onzin die niet direct of geheel niets met zero trust te maken hebben. Dat soort verhalen hoor je bijna nooit :+

Ik denk dat voor een club als NCSC weinig anders kan dan een high level wollige onduidelijke omschrijving te geven van concepten. Het probleem is dat je niet weet wat je doelgroep wel en niet aan kennis heeft, en welke concepten ze wel en niet echt berijpen. Dus ik snap het document wel een beetje, te technisch en een groot deel haakt af, te specifiek en een flinke groep vraagt welke producten te gebruiken. Op deze manier blijf je weg van te specifieke of te technische verhalen en kan de meerderheid toch in ieder geval op het juiste spoor gezet worden om meer te leren over de dingen die zijn (nog) niet begrijpen.
Zero Trust is inderdaad hot op dit moment, maar het slaat naar mijn idee wel aan. Ter aanvulling benoem ik de principes zoals Microsoft ze benoemd, want die zijn wél haalbaar.
  • Never trust, always verify (denk aan MFA, conditional access etc)
  • Use least privileged access (deze benoemde je zelf al JiT/JeA)
  • Assume breach (ga uit van het ergste, hanteer secure by design / secure by default)
Ik ben zelf te spreken over CIS als informatiebeveilingframework, want naar mijn mening begint het eerst met beleid. Hoe je het beleid invult is aan de klant of organisatie zelf.

[Reactie gewijzigd door FREAKJAM op 26 juli 2024 13:49]

Niet elke hype is overbodig; hype zegt iets over populariteit, niet over nut of noodzaak.
Het is niet overbodig, alleen net als Big Data, of AI (terwijl ze machine learning bedoelen) is de term Zero Trust overhyped.

Het principe van je netwerk segmenteren en zo klein mogelijke segmenten en niet vertrouwen op de schil om je netwerk bestaat al veel langer. En dat hebben ze gelabeld als zero trust omdat marketing een goede term nodig heeft. Het stuk van het NCSC gaat wat mij betreft niet veel verder.

Echte zero trust waarbij je elk systeem waarmee gecommuniceerd wordt per definitie niet vertrouwd wordt is extreem complex, tenzij je een applicatie ontwikkeld en daar standaard rekening mee houd. En in mijn uitleg zie je direct ook al dat iedereen het anders interpreteert.

Overbodig zeker niet, als je dit goed doorvoert ben je vrij goed bestand tegen de meeste hackers, zeker ransomware-achtige partijen

[Reactie gewijzigd door BytePhantomX op 26 juli 2024 13:49]

Ik vind het ook veel wollig taalgebruik om vooral richting “cloud” te gaan.
De behoefte om hardware zelf in beheer te hebben is steeds vaker economisch niet meer rendabel. Hierdoor wordt de on-premise- gedachte langzaam uitgefaseerd. Deze maakt plaats voor de transitie naar de cloud. Dit brengt kansen met zich mee: bij nieuwe investeringen in cloudadoptie kunnen organisaties meteen Zero Trust omarmen. Cloud biedt namelijk de kans om de implementatie van Zero Trust gemakkelijker te realiseren.
“Cloud” wordt juist met rap tempo goedkoper en oa in nederland wordt glasvezel steeds meer de standaard waardoor connecties minder last geeft.


Waarom voor een dienst per werknemer €10 of meer per maand betalen als je voor een relatief klein bedrag een server kunt inrichten. De harde schijven kosten praktisch niks anno 2021 en je moet het toch echt bont maken als je als normale werknemer extreem veel opslag gaat gebruiken.


Je zult toch altijd iemand moeten hebben die verstand van zaken of je nu in een cloud zit of niet en daar zul je uiteindelijk het meest geld voor kwijt zijn.
is een hele andere discussie imo, ZeroTrust is vaak juist belangrijker bij on-premises omdat er meer identiteiten bestaan die toegang kunnen hebben tot grote delen van je data.

Over goedkoper/duurder van Cloud versus On-Premises kun je uren discussieren, dat hangt namelijk volledig af hoe je beide systemen gebruikt en wat je allemaal mee rekent. Die goedkope on-premises server met harde schijven heeft ook een besturingssysteem, patches, stroom, koeling, rackspace, switches, internet koppeling, licenties, anti-virus, en nog een hele rimram erbij nodig en dat heeft ook allemaal zelf weer afhankelijkheden of personeel met verstand van zaken.
Dat is gewoon een hele langzame progressie. Oorspronkelijk, in de tijd van mainframes en unix, waren computersystemen ingericht op samenwerken en delen. Geleidelijk aan is dat meer richitng afschermen en beperkte permissies verschoven. Inmiddels hebben we een punt bereikt dat we er inderdaad van uit moeten gaan dat echt niemand meer te vertrouwen is.
Omdat IT-beveiliging een spanningsveld heeft m.b.t. maatregelen versus gebruikersongemak. Elke beveiligingsmaatregel introduceert meestal in meer of mindere mate een stukje overhead voordat je je werk echt kan doen. Wachtwoordbeleid is daar een bekende van, of het moeten aanvragen van rechten op het netwerk, of de mate van precisie in aangeleverde informatie waarmee nieuwe IT-projecten opgestart kunnen worden. Dat, gecombineerd met een managementperceptie dat beveiligingsrisico's laag zijn zorgen ervoor dat goede en bruikbare implementaties van beveiligingsmaatregelen vaak op een lager pitje gezet worden.

Rechten afnemen is ook moeilijker dan het van oorsprong direct strak inrichten. Dus om een project te introduceren waarmee je naar een zerotrust gaat in een omgeving waar dit nog (lang) niet het geval is gaat is ook niet meteen de meest populaire zet zijn en veel tijd, geld, en frustratie kosten bij al het personeel.

[Reactie gewijzigd door DUX op 26 juli 2024 13:49]

Naar mijn mening grotendeels door Unix, het duwt mensen in een foute gedachtengang.

Als capability based security van het begin de standaard was geweest had dat een hoop schade voorkomen.
Omdat vroeger er een firewall geplaatst werd en alles erachter 'veilig' geacht was.
Was je binnen, was je overal. Dat dogma is de afgelopen 10 jaar veranderd.
In the olden days...
Vroeger had je bijvoorbeeld Novell Netware voor pc netwerken. Dat was de De Facto standaard in dat segment. Maar bij de opkomst van Windows Server had je altijd de discussie wat 'beter' was.
Nu was Netware een vrij beperkt systeem (file- en printsharing) terwijl de Microsoft variant een opgetuigde kerstboom van opties en mogelijkheden was, net als de Windows client zelf die de meerderheid op deze planeet gebruikt.
Eén essentieel verschil viel mij toen al op: bij Windows moest je dichtspijkeren wat je niet wilde, bij Novell Netware moest je openzetten wat je wél wilde toestaan.
Dus geheel nieuw is dit verhaal allemaal niet.
Laat ik eens als een ouwe lul klinken dan. "In mijn tijd" noemden we dat het principe van "least privilege": als ergens geen toegang voor nodig is, moet die ook niet mogelijk zijn. Ook bekend onder de naam "default deny" en er zijn vast nog meer namen te bedenken.

Een paranoïde kijk op het leven is goed als je in de beveiliging zit 8-)
Laat ik dan als ouwe lul (die gelukkig al 5 jaar pensionado is), zeggen: "de meeste mensen deugen".
Toen ik nog verantwoordelijk was voor m'n werk qua beveiliging mocht iedereen eigenlijk overal bij, tenzij er redenen waren waarom niet. Dus Personeels/boekhouding systemen niet. Maar de rest wel. Oja en onze website was read-only. De data die verwerkt werd was ook niet interessant voor buitenstaanders.En in die tijd waren hackers op zoek naar interessante informatie
Heeft al die jaren geen problemen gegeven.

Helaas is het nu anders. Dat de meeste mensen deugen betekent dat er een groep is die niet deugt.
Maar in die tijd hadden we geen Ransomware aanvallen, nu zou ik niet meer wegkomen met de maatregelen die tot 2015 voldoende waren. Ransom is niet op zoek naar interessante info, maar wat kost het verstoren van een bedrijf, en wat kunnen we incasseren.

Ik ben bang dat jouw paranoïde kijk nu beter is, dan mijn insteek toen. Maar ik vind het wel jammer dat we, omdat er een kleine groep criminelen zijn we iedereen met scheve ogen gaan aankijken.
Ik ben het helemaal met je eens: het is ontzettend jammer dat het moet, maar het is niet anders.

Toen in de jaren '70 van de vorige eeuw e-mail op het toneel verscheen, kon iedereen zonder enige controle mail naar iedereen sturen. Super eenvoudig, het protocol heette zelfs het "Simple Mail Transfer Protocol".

We zijn nu een paar decennia verder en kijk wat er van de "Simple" is overgebleven... TLS, SPF, DKIM, DMARC, PTR-record scans, DNS-blacklists, Spam- en virusfiltering... En dat allemaal omdat een kleine minderheid er dusdanig misbruik van wist te maken dat het hele concept nutteloos dreigde te worden.
het idee is dat in een Zero Trust model meer geadresseert wordt dan alleen gebruikers en ook concepten als zero standing privileges, microsegmentering en andere "vectoren" in betrokken worden. Allemaal oude wijn in nieuwe zakken ;)
Het nadeel van ZeroTrust is het gebrek aan gebruikersgemak.

En als je het te moeilijk maakt voor jouw gebruikers,
gaan ze wel even een bestandje delen via hun hotmail account want dat is makkelijker.
Al dat encryptie spul met die lastige codes en MFA apps op de telefoon.
Als de enige manier waar ze bij hotmail kunnen een geisoleerde browser is die niks op het interne netwerk kan opslaan, wat dan? Zetten ze het op een USB stick? De enige intranet apparaten met werkende USB poorten moeten onder beheer zijn van hoger betaald personeel die wel op de regels let.

Als je het normale personeel makkelijker dan dat mogelijk maakt om de beveiliging te omzeilen heb je nog teveel trust.
ZeroTrust zorgt m.i. vooral voor complexer beheer, de gebruikers hoeven hier niet veel van te merken.

Voorbeelden:
- 802.1x client certificate check
- system health check (AV enabled, Software updated, etc.)
- firewall SSO access rules
Encrypted Email en attachments.
Wat is technisch/conceptueel gezien het verschil met BeyondCorp?
BeyondCorp is de naam / merk / spinoff van de Google implementatie van Zero Trust
Oftewel compartmentalisatie.

Dan nog even het idee dumpen dat je op de werk computer tweakers moet kunnen browsen met dezelfde browser waar je mee werkt (intranet only mobiel/PCs/VMs, met op zijn meest cloudflare isolated browser, BYOD moet bij het grof vuil). Plain text email, met het standaard filteren van alle executables inclusief macros. Veiligheidsdiensten die VPN software niet zo lek als een mandje laten omdat dat ze wel mooi uitkomt.

Dan word het misschien nog wat met IT veiligheid.

[Reactie gewijzigd door Pinkys Brain op 26 juli 2024 13:49]

Op dit item kan niet meer gereageerd worden.