John Kindervag, inmiddels de meest bekende security consultant van Forrester, is de enige spreker die sinds 2013 op alle vier de Bright & Cloudy events een keynote presenteerde. Toen de uitgesproken Texaan vier jaar geleden in Utrecht verkondigde dat de traditionele manier van netwerkbeveiliging – met zijn vertrouwde interne netwerk en een onbetrouwbare buitenwereld – niet meer bij deze tijd past, had hij in ieder geval ieders aandacht. Maar dat zijn inzichten de IT-beveiligingswereld zo stormachtig zouden veroveren, dat zullen niet veel van de aanwezigen van het eerste uur hebben voorspeld.
Het vervolg is bekend. Het Zero Trust concept is alleen nog vreemd voor security-professionals die vier jaar op een eiland hebben gezeten. Kindervag reist de wereld rond voor keynotes op congressen en consultancy werk bij ’s werelds grootste multinationals en banken.
Zero Trust bij Google en de Amerikaanse overheid
Vorig jaar liet Google weten dat de internet-gigant zijn interne informatiebeveiliging geheel op de schop ging nemen en volgens de Zero Trust principes gaat inrichten. Het centrale uitgangspunt van BeyondCorp – Google’s versie van Zero Trust – is classic Kindervag: het interne netwerk is niet meer of minder betrouwbaar dan het openbare Internet. Beveiligingsmaatregelen hangen niet af van de locatie in het netwerk, maar van informatie over specifieke data of applicaties, gebruikers en de daarbij horende toegangsregels, oftewel policies.
Ook de Amerikaanse overheid is om. In september van dit jaar verscheen er een rapport van een overheidscommissie naar aanleiding van de diefstal van meer dan 18 miljoen persoonsgegevens uit de computers van het United States Office of Personnel Management (OPM). “Wanneer we een Zero Trust benadering hadden gehad, zouden de hackers nooit zoveel schade hebben kunnen aanrichten”, zei afgevaardigde Jason Chaffetz, één van de opstellers van het rapport. Het rapport adviseert dan ook een strikte Zero Trust benadering voor alle federale overheidsinstellingen.
“De wereld is wakker geworden”
“Je kunt inderdaad wel zeggen dat de wereld wakker is geworden”, zegt John Kindervag, terwijl hij uitkijkt over de mist die in de late ochtend nog over de Maarsseveensche Plassen hangt. Hij zegt zich te verheugen op de keynote van über-hacker Kevin Poulsen, die tijdens Bright & Cloudy later op die dag meer zal vertellen over de donkere onderwereld van de internationale cybercriminelen.
De belangrijkste ontwikkeling is dat cybercrime bijna dagelijks nieuws is geworden, stelt Kindervag vast. “Er gaat nagenoeg geen dag voorbij zonder dat er ergens ter wereld een kolossaal beveiligingslek bekend wordt gemaakt.” Kindervag beschouwt de inbraak bij de Amerikaanse winkelketen Target, eind 2013, als een keerpunt. “Het ging om de persoonsgegevens van 110 miljoen klanten en 40 miljoen creditcardgegevens. De schade die dat oplevert is immens. Klanten verliezen hun vertrouwen in je en blijven weg. Target heeft berekend dat de inbraak, los van gemiste omzet, tot meer dan tweehonderd miljoen dollar aan directe kosten heeft geleid. De CIO en de CEO zijn ontslagen. De hacks bij Home Depot, Sony en OPM zorgden eveneens tot schadeposten van honderden miljoenen dollars. Daarmee krijg je de aandacht van de Raad van Bestuur wel te pakken. Maar wel te laat.”
Uitgangsprincipes niet afhankelijk van technologie
De uitgangspunten van Kindervag’s Zero Trust adviezen zijn nog steeds zo elementair gebleven als bij zijn eerste presentatie vier jaar geleden. Logisch, vindt hij: “Een goede beveiligingsarchitectuur is niet afhankelijk van jaarlijkse trends in nieuwe hardware en software.”
Dat is waarschijnlijk ook de grootste aantrekkingskracht van de Zero Trust principes. Je kunt de handvol hoofdprincipes met één powerpoint-slide uitleggen. De eerste regel is dat elke resource in het netwerk, ongeacht de locatie, alleen op een beveiligde manier toegankelijk is. Dat klinkt als een open deur, maar er zijn nog steeds talloze bedrijfsnetwerken die zijn gebaseerd op het principe dat de firewall aan de periferie van het bedrijfsnetwerk hackers op afstand houdt. Dat personeelsleden (of de malware die ze per ongeluk op hun pc installeren) op het vertrouwde interne netwerk net zo gevaarlijk zijn als hackers op het Internet is een grondregel die cruciaal is voor de Zero Trust aanpak.
Een tweede uitgangspunt is dat de toegangscontrole tot data of applicaties in honderd procent van alle gevallen op een need-to-know basis moet werken. Daarvoor zul je de data moeten classificeren en per gebruiker (of groep gebruikers) expliciete regels moeten opstellen: wie mag wanneer op welke manier vanaf welke locatie welke data inzien of aanpassen?
Het gaat er niet om of mensen te vertrouwen zijn
En wanneer je die toegangsregels hebt opgesteld en geïmplementeerd, is het essentieel dat je te allen tijde verifieert of die regels worden nageleefd. Zero Trust, dus. Dat uitgangspunt wordt vaak verkeerd begrepen, zegt Kindervag. “Ik zeg niet dat mensen niet te vertrouwen zijn. Dat is een filosofische discussie, en daar waag ik me niet aan. Maar het is een zinloze vraag of pakketten met informatie op een netwerk al dan niet te vertrouwen zijn. Vertrouwen is in dit verband een onbruikbaar begrip. Het is jouw taak als beveiliger om die pakketten, alle pakketten, te loggen, te inspecteren en te verifiëren of het netwerkverkeer in kwestie conform de toegangsregels en policies is.”
De algemene uitgangspunten van de Zero Trust aanpak moeten vanzelfsprekend met hardware, software en organisatorische maatregelen concreet worden gemaakt. Een leverancier als Palo Alto Networks heeft zijn next-generation firewalls en TRAPS endpoint-beveiliging met Zero Trust als architectuur voor netwerken, data centers en de cloud gepositioneerd. Maar Zero Trust is vooral een ontwerpprincipe, waarvan de implementatie met gespecialiseerde tools, platformen en expertise moet worden ingevuld.
Rules of engagement
De taken en verantwoordelijkheden van de CSO of CISO en zijn staf zijn in de afgelopen jaren zoals gezegd sterk in de spotlight komen te staan door de toenemende cybercrime dreiging. Hackers hebben een groot voordeel, zegt Kindervag. “Ze doen niet aan versiebeheer, audits, salarisonderhandelingen of RFP’s. Ze kunnen veel sneller bewegen dan jouw IT-afdeling. Om ze effectief te kunnen tegenhouden zul je zelf ook snel en wendbaar moeten zijn, vooral wanneer je te maken krijgt met een datalek.” En daar wringt volgens Kindervag nog te vaak de schoen. “Je zult op de eerste plaats het mandaat van de CEO, de tools en de resources moeten hebben om datalekken te kunnen onderzoeken en te kunnen stoppen. Technologie om datalekken tijdig te kunnen ontdekken ontbreekt nog in te veel gevallen. Onderzoeken tonen aan dat organisaties keer op keer door externe partijen op beveiligingslekken worden gewezen. Het komt maar weinig voor dat de organisatie zelf een security breach ontdekt. Hoe kun je dan verwachten dat ze tijdig en effectief handelen wanneer data wordt gestolen?”
Kindervag pleit dringend voor zogeheten ‘rules of engagement’ voor IT-securityafdelingen: het verstrekken van heldere bevoegdheden aan werknemers om bij een aanval direct tegenmaatregelen te kunnen nemen om de schade te kunnen beperken. “We zitten nog te vaak gevangen in procedures die op papier misschien werken, maar in de harde praktijk veel te veel kostbare tijd vragen voordat een IT-afdeling tot actie kan overgaan. It’s a war out there.”
Automatisering van de tegenaanval is cruciaal
Kindervag gelooft bovendien dat de regels van policies zo expliciet moeten zijn dat tegenmaatregelen steeds vaker geautomatiseerd moeten kunnen worden uitgevoerd. Dat is niet toevallig ook de gedachte achter de nieuwste versie van ON2IT’s Managed Security Portal. Daarbij is het mogelijk om aan security-alerts – op basis van expliciete regels uit policies – geautomatiseerd acties te verbinden. Waarom zou je wachten om een bepaald IP-adres te blokkeren of een endpoint te isoleren wanneer je verdachte activiteit waarneemt? Dat geldt vooral wanneer die verdachte activiteit te maken heeft met de meest gevoelige categorie data, de zogeheten kroonjuwelen, die elke organisatie heeft.
“Een ordegrootte verdergaande automatisering van de manier waarop we onze security-maatregelen implementeren is onvermijdelijk”, zegt Kindervag. Het is volgens hem de toekomst van Zero Trust.
“Een goede beveiligingsarchitectuur is niet afhankelijk van jaarlijkse trends in nieuwe hardware en software.”
