Zero trust security: Vertrouw niks, controleer alles

Onder cybersecurityspecialisten is het begrip ‘zero trust’ al een tijdje een gigantisch buzzword. Wat is dat precies, waarom is dit belangrijk en wat heb je ervoor nodig? Simen Van der Perre van Orange Cyberdefense en Xavier Duyck van Netskope leggen uit. 

Wat eerst en vooral belangrijk is om te weten, is dat zero trust geen technologie of product is maar een concept, steekt Simen Van der Perre van wal. “Het idee is dat je voortdurend élke app en elke verbinding op je netwerk controleert en verifieert. Wie is dit? Van welk toestel komt dit? Is deze verbinding wel toegelaten? Dat is een groot verschil met vroeger: toen was je ofwel ‘binnen’ ofwel ‘buiten’. Was je eenmaal binnen, dan had je toegang tot quasi alles. Bij zero trust is dat níét zo.” 

Verschillende lagen

Er zijn twee hefbomen die zero trust groot maakten, aldus Xavier Duyck. De eerste is de cloud. “Vroeger stonden je data op een server, fysiek in je bedrijf. Die fysieke toegang was meteen de poort die je moest passeren om bij de data te kunnen. In de cloud is er geen fysieke plaats meer voor je data, die zijn nu overal beschikbaar. Daarnaast hebben ook corona en thuiswerk dit een enorme zet gegeven: niet alleen de data zitten vandaag decentraal, ook de verbindingen kunnen van overal komen. De traditionele beveiliging met firewalls en dergelijke schiet dus vaak tekort.” 

Zero trust daarentegen bestaat uit verschillende ‘lagen’, legt Van der Perre uit, lagen die elk specifieke verdedigingstechnologieën inzetten: een netwerklaag, een identificatielaag en een securitylaag. “Pas als je alle lagen door raakt, krijg je toegang tot de data. Die lagen praten ook met elkaar en houden elkaar op de hoogte. Dat je bijvoorbeeld toegang krijgt, wil niet zeggen dat die eeuwig is. De volgende dag of zelfs een uur later moet je alle controles opnieuw doorlopen.”

Eilandjes vermijden

Zero trust is dus een concept dat je op heel wat verschillende vormen kunt invullen, naargelang je behoeften. Duyck: “Voor een multinational met zeven internationale vestigingen zal het er heel anders uitzien dan voor een Vlaamse kmo met één productiesite. Het komt in heel wat verschillende smaken en met heel wat opties, maar het is voor beide soorten bedrijven interessant. Ook praktisch is er heel wat mogelijk: je kunt zero trust implementeren als een overkoepelend platform van één firma, of je kunt voor alles aparte software installeren. In dat geval kies je zelf het product dat exact aan je eisen voldoet. Je moet al die software dan natuurlijk ook apart beheren, wat weer net iets complexer zal zijn.” 

Volgens Duyck zal de traditionele aanpak van security binnenkort niet meer de standaard zijn. Die rol wordt door zero trust overgenomen. “Bedrijven mogen daarbij echter niet uit het oog verliezen dat dit intern gedragen moet worden. Het is dus belangrijk om aparte eilandjes of silo’s zoveel mogelijk te vermijden en iedereen op dezelfde lijn te krijgen: je IT-mensen, je security-mensen, je netwerk-mensen… In de praktijk zien we dat dat vaak een minstens even grote uitdaging is als het puur technische aspect.” 

Risico versus investering

Om af te sluiten: omschakelen op een zero trust-omgeving gaat uiteraard gepaard met investeringen. Hoe zit het met de ROI daarvan? “Veel zal afhangen van welke soorten risico’s je loopt en hoe ver je wilt gaan in je beveiliging”, aldus Simen Van der Perre. “Dat risico moet je dan afzetten tegenover je investering. Weet wel dat de kostprijs van een gelukte cyberaanval door heel veel bedrijfsleiders meestal enorm onderschat wordt. Er is niet alleen de directe kost door bijvoorbeeld de productie die stilvalt. Ook de ‘opkuis’ van zo’n aanval is vaak een enorme klus die maanden kan duren. En dan heb ik het nog niet eens over bijvoorbeeld de reputatieschade. Dat zijn allemaal factoren die je in een berekening moet meenemen.”

Bij zero trust ligt de nadruk – begrijpelijkerwijs – vooral op de securityvoordelen, zegt Xavier Duyck, maar er is meer. “De technologische transformatie heeft ook enorme voordelen rond connectiviteit en gebruikerservaring en helpt organisaties bovendien de hoge netwerkkosten te vermijden die ze vroeger moesten maken.”