Elke dag wordt je gehele ICT-infrastructuur bedreigt door hackers die gebruik maken van een stortvloed aan nieuwe kwetsbaarheden. Onderzoekers ontdekken en publiceren ze aan de lopende band. Het gaat om honderden ‘verse’ lekken per dag. Hackers gebruiken die kwetsbaarheden voor malware, ransomware, datadiefstal, sabotage of andere vormen van misbruik. Citrix, Kaseiya, Hafnium, Colonial Pipelines, Log4j , Okta komen in het nieuws, maar zijn slechts het topje van de ijsberg.
Zodra een vulnerability (kwetsbaarheid) in software is gepubliceerd, bijvoorbeeld als CVE, kunnen makers van cybersecurity maatregelen verdacht verkeer blokkeren om misbruik tegen te gaan. Software bedrijven publiceren in de meeste gevallen patches of geven tips over tegenmaatregelen. Maar is dat niet te laat?
De aanpak van de cybersecurity industrie is vooral gericht op het blussen van branden door middel van detectie en response.
Hoe weet je of de hackers in de periode voor de publicatie van een high-risk vulnerability al niet geprobeerd hebben binnen te dringen? Hoe had je dit kunnen voorkomen?
Je wilt toch niet alleen maar branden blussen?
De aanpak van de cybersecurity industrie is vooral gericht op het blussen van branden door middel van detectie en response. Preventie, het voorkomen van cyberaanvallen zonder dat we al precies weten hoe ze werken, krijgt te weinig aandacht.
Gelegenheid maakt de dief, luidt een Nederlands spreekwoord. Doen we er wel alles aan om het risico op het misbruik van kwetsbaarheden in systemen zo veel als kan te beperken? En wanneer er onverhoopt toch sprake is van een inbraak; beperken we het risico op vervolgschade zo veel mogelijk?
President Joe Biden stelde Zero Trust met een Executive Order verplicht voor alle Amerikaanse overheidsinstanties.
In het afgelopen jaar stond de Zero Trust aanpak voor cybersecurity internationaal, maar ook in Nederland, in het middelpunt van de belangstelling. President Joe Biden stelde Zero Trust met een Executive Order verplicht voor alle Amerikaanse overheidsinstanties.
Nationale cybersecurity organisaties over de hele wereld (ook het NCSC in Nederland) wezen op de noodzaak om de Zero Trust strategie te volgen om weerbaarder te worden tegen de stortvloed aan bedreigingen.
‘You will run out of money before you will run out of vulnerabilities’
Toch is er nog veel onbegrip over Zero Trust. Dat geldt vooral voor de vraag hoe een Zero Trust aanpak misbruik van nu nog onbekende (unknown) vulnerabilities kan voorkomen. Ook als ze nog niet algemeen bekend (known) of gepubliceerd zijn.
Maar zelfs met de best beschikbare systemen zouden kwetsbaarheden als Log4j niet automatisch onschadelijk gemaakt zijn.
Sommigen in de cybersecurity wereld stellen Zero Trust gelijk met het te allen tijde en 100 procent kunnen identificeren en autoriseren van gebruikers. Natuurlijk zijn identiteit en toegangsrechten belangrijk. Maar zelfs met de best beschikbare systemen zouden kwetsbaarheden als Log4j niet automatisch onschadelijk gemaakt zijn.
Andere deskundigen stellen Zero Trust gelijk met het segmenteren van je infrastructuur. Hoe nuttig segmenteren op zich ook is, geeft het geen garanties op het voorkomen van inbraak en malicieuze activiteiten.
Het is zinloos om in de wapenwedloop met de hackers de aandacht te blijven richten op het immense en per definitie onbekende ‘attack surface’ dat dagelijks groeit.
Maar waarom is de Zero Trust aanpak dan wél aantoonbaar beter in het stoppen van nog niet bekende aanvallen? Zero Trust draait het probleem om.
Het is zinloos om in de wapenwedloop met de hackers de aandacht te blijven richten op het immense en per definitie onbekende “attack surface” dat dagelijks groeit. “You will run out of money before you will run out of vulnerabilities.”
Zero Trust ontneemt hackers een groot deel van hun wapenarsenaal
In plaats daarvan plaatst Zero Trust je meest kostbare applicaties, data, apparatuur en diensten in een overzichtelijk aantal zogeheten “protect surfaces”. Die zijn namelijk wel te overzien, in tegenstelling tot de complexiteit van het geheel van je IT-landschap.
Met Zero Trust beperk je de ruimte die hackers krijgen met ordegroottes.
Per protect surface kun je heel precies bepalen welk verkeer is toegestaan, welke gebruikers toegang hebben, vanaf welke apparatuur en met welke authenticatie, wel protocol of vanaf welk device. Door deze zogeheten ‘least privilege’ policies (beter bekend als Kipling policies) consequent door te voeren met passende technologie, gooi je in de praktijk de deur dicht voor de meest gebruikte exploitatie-technieken van hackers.
Ook voor nog niet gepubliceerde kwetsbaarheden. Die blijken, zo leert onderzoek, namelijk toch telkens terug te keren naar een beperkt aantal bekende technieken. Met Zero Trust beperkt je de ruimte die hackers krijgen met ordegroottes.
Wil je in detail lezen hoe Zero Trust een dreiging als de Log4j vulnerability op voorhand had kunnen tegengaan?
Op onze resources-pagina kunt u de paper ‘Hoe een Zero Trust strategie datalekken stopt’, over Zero Trust en de impact op bekende en onbekende kwetsbaarheden.