Hoe helpt zero trust om je IT-landschap technisch cyberweerbaar te maken?

De sector onderwijs en onderzoek staat voor belangrijke uitdagingen op het gebied van cyberweerbaarheid. Een daarvan is: hoe maak je de IT-omgeving van je instelling technisch cyberweerbaar. Een handvat hiervoor is het zero trust-principe: “nooit vertrouwen, altijd verifiëren”. Wat houdt zero trust precies in, en hoe pas je het in de praktijk toe?

Zero trust

Nieuwe beveiligingsmaatregelen nodig

Onderwijs- en onderzoeksinstellingen zijn een aantrekkelijk doelwit voor cybercriminelen vanwege hun open karakter: vele studenten lopen dagelijks met hun eigen devices in en uit, en onderzoekers willen data en kennis uitwisselen. We zien een toename in cyberdreigingen, er zijn meer succesvolle aanvallen en cybercriminelen vinden steeds slimmere aanvalsmethoden. We hebben beveiligingsmaatregelen nodig die passen bij deze snelle en complexe ontwikkelingen. Het zero trust-principe kijkt op een nieuwe manier naar beveiliging. En hoewel geen enkele beveiligingsstrategie perfect is, en datalekken nooit volledig te voorkomen zijn, behoort het zero trust-principe tot de meest effectieve strategieën van dit moment.

Het zero trust-principe: nooit vertrouwen, altijd verifiëren

Het zero trust-principe gaat er niet vanuit dat het IT-landschap vertrouwd kan worden en veilig is, maar neemt als uitgangspunt dat het niet veilig is. Het gaat uit van het principe 'nooit vertrouwen, altijd verifiëren': ieder toegangsverzoek wordt volledig geverifieerd, gemachtigd en versleuteld voordat toegang wordt verleend.

Strategie als basis voor de praktijk

Wil je een architectuur gebaseerd op zero trust succesvol implementeren, dan moet je meer doen dan geïntegreerde tools en technologieën uitrollen die worden ondersteund door operationele afspraken en authenticatie-eisen. Aan de basis van een succesvolle implementatie ligt een strategisch beleid. Dit beleid gaat uit van de volgende pijlers:

Authenticatie en autorisatie

Het is belangrijk om identiteiten bij elke inlogpoging opnieuw te authenticeren en autoriseren. Hebben zij volgens het rechtensysteem toegang tot het apparaat, de applicatie of de informatie waar zij bij proberen te komen? Komt het verzoek tot toegang vanaf een logische locatie? Het gebruik van multi-factorauthenticatie (MFA) is essentieel om de identiteit van gebruikers te verifiëren.

Netwerksegmentatie

Als instelling wil je het kwaadwillenden zo moeilijk mogelijk maken om een netwerk binnen te dringen. Om de impact van een aanval te verkleinen kun je het netwerk opdelen in logische segmenten (zones).

Monitoring en logging

Het is belangrijk dat je precies weet wat er binnen het IT-landschap gebeurt. Door vroegtijdig verdacht verkeer of handelingen te signaleren, kun je een smeulend vuurtje eenvoudig blussen en voorkom je een uitslaande brand. Hiervoor is het essentieel dat apparaten, gebruikers en services continu gemonitord worden. Je kunt een monitorproces inrichten op basis van vooraf bepaalde rollen en policy’s.

Het monitorproces gebruikt logging om inzicht te krijgen. Zo kan bijvoorbeeld geverifieerd worden of gebruikers geen rollen/policy’s overschrijden. Een respons hierop kan zijn dat een gebruiker toegang ontzegd wordt tot een zone in het netwerk.

Voorbeelden uit de praktijk tijdens seminar van het Security Expertise Centrum

Tijdens een seminar van het Security Expertise Centrum op 28 november 2022 vertelden een aantal organisaties uit de publieke sector en het bedrijfsleven hoe zij het zero trust-principe toepassen. Zo gaf MBO Digitaal een presentatie over awareness en governance van informatiebeveiliging en het belang van technische maatregelen binnen in de context van het NBA-volwassenheidsmodel. Secura en Fox-IT lieten met voorbeelden uit de praktijk zien hoe belangrijk en nuttig het is om de zero trust-principes toe te passen. Microsoft en Cisco vertelden hoe je je IT-landschap weerbaar maakt tegen cybercrime, ook aan de hand van concrete praktijkcases. Ook het NCSC deelde zijn visie op zero trust, evenals ervaringen met de implementatie hiervan (zie ook de factsheet van het NCSC over zero trust).

Diverse instellingen hebben aangegeven mee te willen werken aan een user case, zodat andere instellingen dit als inspiratie kunnen gebruiken en ervan kunnen leren. Zodra deze user cases beschikbaar zijn, zal SURF deze delen.

Onderzoek naar zero trust-principe voor onderwijs en onderzoek

Een stagiair van de Universiteit Utrecht onderzoekt momenteel bij SURF welke concepten je in een zero trust-architectuur kunt toepassen, en of deze concepten interessant zijn voor onderwijs en onderzoek. We onderzoeken ook of een methode kan worden ontwikkeld die instellingen helpt om te besluiten welke zero trust-concepten een toevoeging kunnen zijn aan hun IT-landschap.

Het onderzoek is naar verwachting medio 2023 klaar. SURF deelt de resultaten uiteraard.

 

Meer weten?

Meer weten over zero trust en hoe je dit binnen jouw instelling kunt implementeren? Neem dan contact op met het Security Expertise Centrum van SURF via ed.devries@surf.nl. Of lees het praktijkverhaal van BUas en Inholland over hun zero trust-aanpak.

Lees ook het praktijkverhaal over het CIS Controls framework, een andere aanpak voor informatiebeveiliging.

Maatregelen binnen het SURFaudit-toetsingskader

De sector onderwijs en onderzoek zet al belangrijke stappen om de cyberweerbaarheid naar een hoger niveau te tillen. Via de onderwijskoepels is afgesproken met het ministerie van Onderwijs, Cultuur en Wetenschap dat alle instellingen binnen de afgesproken periode niveau 3 van het SURFaudit-toetsingskader behalen. Dit toetsingskader is gebaseerd op het NBA-volwassenheidsmodel. Naast procesmaatregelen bevat dit model technische maatregelen, maar de concrete invulling van die maatregelen ontbreekt.