Traditionele netwerkbeveiliging is dood...

Lang leve traditionele netwerkbeveiliging !!!

 

Laat mij u even meenemen naar de tijd van de kastelen en de veldslagen.

Kastelen werden zo sterk en zo defensief mogelijk gemaakt zodat het quasi onmogelijk werd om binnen te geraken en zo het kasteel in te nemen. Zo werden de meeste kastelen uitgevoerd met een slotgracht, verschillende omwallingen, hoge muren, kleine vensters,… Er werden verschillende lagen toegevoegd, en elke laag zorgde voor extra beveiliging.

Dit soort van gelaagde beveiliging zien we ook terug in traditionele netwerkbeveiliging. En dit principe werkt zeer goed… zolang de aanval van buiten naar binnen gebeurt.

Maar wat indien de inbreker al binnen is, en je hebt er totaal geen idee van…

 

Even terug naar ons kasteel en de inwoners.

Is het wel verstandig dat we elke inwoner van het kasteel zomaar blindelings vertrouwen ? En misschien nog wel veel belangrijker, weten we eigenlijk wel hoeveel mensen er in het kasteel aanwezig zijn ? En wat doen we met tijdelijke passanten ?

Hebben we hier eigenlijk wel een zicht op ? Hoe kunnen we zeker zijn dat er onder onze neus geen malafide praktijken plaats vinden ?

 

En wat wanneer het dan misgaat...

Wat kunnen we bijvoorbeeld leren uit de lessen die Universiteit Maastricht getrokken heeft na hun ransomware aanval in december 2019. Had dit voorkomen kunnen worden indien er meer 'toezicht' was binnen de kasteelmuren ?

www.surf.nl/wat-universiteit-maastricht-leerde-van-de-ransomwareaanval-deel-1

Wat indien we de rollen omkeren en niet enkel meer beveiligen van de buitenwereld naar binnen, maar ook van binnenin het kasteel naar de buitenwereld.

 

Wat indien we niemand nog blindelings vertrouwen. Wat als we Zero Trust principes hanteren…

Het basisidee achter zero trust is de veronderstelling dat alle apparaten en gebruikers niet betrouwbaar zijn totdat het tegendeel is bewezen. Maar ook hier moeten we eigenlijk nog een stap verder gaan.

Eigenlijk is er geen sprake meer van blindelings vertrouwen. Het is niet omdat men via een vertrouwensband (authentication/authorization) binnen is in het kasteel, dat we niet moeten blijven opletten en controleren (monitor and adapt) of er toch geen "rare" activiteiten plaatsvinden.

Het komt er zelfs op neer dat we eigenlijk niets of niemand nog “echt” gaan vertrouwen.

Dit klinkt natuurlijk wel vrij hard, maar op deze manier geven we op een veilige en gecontroleerde manier gebruikers toegang tot ons "kasteel" en alle rijkdommen binnenin. 

Door gebruik te maken van een Zero Trust Framework kunnen we ons kasteel nog beter en efficiënter gaan beveiligen. Niet enkel van aanvallen van buitenaf, maar ook gaan we op deze manier aanvallen van binnenin afstoppen en insluiten.

Het Zero Trust Framework vereist dat alle gebruikers en apparaten, binnen of buiten de organisatie, worden geverifieerd, geautoriseerd en continu gevalideerd worden voordat zij toegang krijgen of houden tot applicaties en gegevens binnen het netwerk.

Zero Trust gaat ervan uit dat er geen traditionele netwerk edge meer is; netwerken kunnen lokaal zijn, in de cloud, of een combinatie van de twee met resources en werknemers op alle mogelijke locaties.

 

Wat kan QUANT ICT nu voor u doen ?

We gaan ervoor zorgen dat een gebruiker (intern of extern) of een apparaat (IoT) geïdentificeerd wordt via een authenticatieproces. Dit kan gebeuren aan de hand van 802.1X of op basis van andere technieken zoals bvb MPSK, Captive Portal,...

Wanneer de identificatie gedaan is, kunnen we een rol toekennen waaraan bepaalde toegangsmachtigingen vasthangen. Dit is een volledig automatisch proces.

Een rol is een logische groepering van bepaalde rechten die worden toegekend zodra de identiteit van een gebruiker of apparaat is vastgesteld. Deze rechten kunnen gaan van wel of niet toegang tot bepaalde applicaties, communicatie met andere apparaten of gebruikers binnen het netwerk en binnen hetzelfde segment (dynamic segmentation - routering), het aanpassen van rechten tijdens bepaalde uren (youtube/facebook wel toelaten tijdens de middagpauze) of dagen (bv. wat doet een eindgebruiker of zondagnamiddag op het interne netwerk ?),…

We gaan dus rechten toekennen aan een identiteit. En deze identiteit is onafhankelijk van de locatie waarop deze zich bevindt. Het is dus niet omdat persoon X/Y/Z van thuis werkt, dat er andere toegangsrechten van toepassing zijn. Het kan wel, maar het moet niet.

En dit hele proces gaan we constant monitoren zodat we ten allen tijden weten wie en/of wat er op het netwerk is, we blijven vooral controleren op de identiteit van de gebruiker en apparaat om zo eventuele anomalieën tijdig vast te stellen en we eventueel kunnen bijsturen waar nodig.

 

Dus in het kort, waar draait het om bij Zero Trust:

• Visualiseren: begrijpen wie en wat er allemaal op het netwerk (authentication) komt en welke resources allemaal mogen geraadpleegd worden (authorization).
• Limiteren: Indien inbreuken vastgesteld worden, de inbreuken opsporen en tegenhouden of de gevolgen van de inbreuk beperken (quarantaine).
• Optimaliseren: De beveiliging doortrekken over het hele netwerk, ongeacht van de locatie van de eindgebruiker en tegelijkertijd de ervaring van de eindgebruiker en de interne IT organisatie verder optimaliseren.
• En dit gehele security proces is niet een eenmalige controle, maar een continu proces !!! 

 

Kurt Neven

 

• https://www.arubanetworks.com/solutions/zero-trust-security/
• https://www.al-enterprise.com/en/blog/zero-trust-can-save-your-network