Zero trust security

Een uitleg van Zero Trust

Rijden op de A365, een uitleg van Zero Trust vanuit een gebruikerservaring, met voorbeelden uit de techniek. Lees de blog van Erik Holkers of word zijn collega.

Bekijk vacatures

Stel je komt thuis en je ziet al vanaf een afstand dat de buitendeur halfopen staat. Even denk je nog, het-is-niet-zo en je zoekt een verklaring vanuit een alles-is-ok denkrichting. Er moet toch een redelijke verklaring zijn, misschien de kat, het beest is immers zo slim. Dan slaat de paniek toe.

Altijd veilig

Het volgende moment ren je al naar die éne lade in het kastje waar je jouw spulletjes hebt, de dingetjes die je belangrijk vond, dingen die ertoe deden. Nog voordat je er bent besluit je al dat je het de volgende keer anders gaat doen, jouw belangrijke spullen moeten altijd veilig zijn, ook bij een inbraak. Die veiligheid moet niet alleen afhankelijk zijn van een nog gesloten voordeur of de muren van het huis. Sterker nog, de veiligheid van die dingen moet in de kern onafhankelijk zijn van jouw huiselijke omgeving, jouw waardevolle documenten moeten ook nog veilig zijn als ze het huis verlaten. Je gedachten concentreren zich nu op die voor jouw belangrijke dingen, ze staan als vanzelf nu centraal in je benadering van beveiliging en je probeert een beeld te krijgen bij hoe je beveiliging kunt ontkoppelen van een toevallige omgeving en dan juist weer kunt vastmaken aan die voor jou zo belangrijke documenten zelf.  In dat moment schakel je over op data-centric-security-thinking. Het gaat je eigenlijk vooral om wie bij de inhoud van documenten kan komen, maakt niet uit waar dat dan gebeurt, en oeps dat was dus identity-is-the-new-perimeter, een nieuwe voordeur die meereist met jouw documenten, altijd, overal.

Data-centric-security-thinking / identity-is-the-new-perimeter

Data veiligheid is veiligheid van data, tegen bad guys maar ook good guys. Die dubbele benadering zie je terug bij office 365 data, bijvoorbeeld in hoe Microsoft Purview Information Protection werkt.
Only good guys have access
Azure Rights Management wordt gebruikt voor automatische versleuteling van (gelabelde) data. Het is de basis voor een nu permanent aan de data gebonden access control. Voor toegang is altijd en overal eerst ontsleuteling nodig is en die vindt alleen plaats voor ge-authenticeerde (en ge-autoriseerde) gebruikers.   
Even good guys need help
Ook good guys hebben soms hulp nodig, een beetje hulp op momentjes dat je wat minder oplet, b.v. bij “ondoordacht” te veel delen van informatie (Data loss prevention) of het “per ongeluk” verwijderen daarvan (retention policies and retention labels). 

De weken daarna

In de weken die volgen gevoelens van paniek en vooral paranoia.  Het draait door je hoofd, je gedachten gaan in cirkels. Eerst vraag je je nog dingen af als: 
•    “Moet ik niet een nieuw slot op de deur?”, is het niet kwetsbaar voor zo’n skeleton-key-attack waar je over las. 
•    “Een camera ophangen dan?”, bijvoorbeeld zo een die ook het licht aandoet bij beweging.
•    “Of met de buren praten?” Hebben zij iets gezien waar ik iets mee moet, bijvoorbeeld. die auto die steeds maar door de straat rijdt?

Herevalueren van risico

En dus begin je een herevaluatie van risico’s, opnieuw bekijken wat eens veilig leek, je doet handmatig wat aanpassingen aan slot en sluitwerk en misschien geef je jezelf een cijfer. Maar het stopt niet meer, je hoofd cirkelt al direct weer terug, je doet nog een herevaluatie, en nog een, en opnieuw…. Op de achtergrond denk je, hoe weet ik eigenlijk wat nu slim en zinvol is, waar moet ik eigenlijk naar kijken en hoe kom je dat dan weer te weten? 

Insights and Visibility 

Wat weet je eigenlijk van de architectuur en technologie van jouw “woning” (en je voelt dat dat nodig is als je je een beeld probeert te vormen van kwetsbaarheden), hoe weten camera’s wat en waar ze (be)kijken moeten, wie of wat kan effectief en betrouwbaar de gedragspatronen analyseren als de camera’s wat zien en hoe kom je aan relevante informatie van je buren (neighborhood threat intel) ? 
Home Defender
Je zoekt iets dat weet waar het mee bezig is, daarin thuis is, dat jouw huis en de daar gebruikte technologie van binnenuit kent en zo de kwetsbaarheden kan zien. Camera’s die weten waar en waarnaar te kijken, die bij twijfel patronen kunnen uploaden voor verdere analyse op basis van bijv. machine learning of kunstmatige intelligentie, dat relevante neighborhood threat intel levert, die ook nog discreet gedeeld wordt.

If this was about a MS 365 based work environment you would be looking at MS 365 Defender by now. It’s just that.

Automatic response

Oké, je koopt de camera’s maar 30 minuten beelden kijken blijkt genoeg om tot het punt te komen dat je denkt, dit duurt te lang en daarna wil je niet alleen een geautomatiseerde analyse maar ook een automated response hebben. Wel wat meer werk nu, maar ok en je komt tot het punt dat je mobiele telefoon volledig geautomatiseerd, een alert bericht laat zien. Even ben je trots, je hebt immers nu “monitoring in place” en een stukje automatisering op de verwerking gedaan, maar dan komt de frustratie weer boven drijven. Leuk die waarschuwing maar de dief is binnen... Nog steeds te laat... 

Is that MS Sentinel? Sure.

De cirkel rond maken, dynamically adjustable access controls

Nog een keer de cirkel rond dan. Wat mis je nog? Je hebt nu Home defender en dus kennis over kwetsbaarheden in jouw huis, dreigingen die spelen in jouw buurt, camera’s met op de achtergrond superintelligente meekijkers voor als beoordelen moeilijk wordt en zelfs monitoring en een automatische alert functie zijn aanwezig. Daarbij draait de cirkel al want risico evaluatie is een geautomatiseerde continue bezigheid geworden. 
En dan valt het kwartje.  (Nieuwe) access controls die dynamisch aangepast kunnen worden, “on the fly”, die werken op basis van courante dreigingsniveaus, gebruik makend van threat intel die beschikbaar is voordat het jou overkomt. Als de sluizen van de Deltawerken die bij slecht weer vanzelf dicht(er) gaan. Twee weken later lees je in alle rust een rapportje over een potentieel kwaadaardige toegangspoging die voorkomen is terwijl normale toegang gewoon doorging. M.a.w. een geautomatiseerde en continue risico herevaluatie als input voor dynamisch aangepaste access controls die tijdig toegang verhinderden.

Zou dat kunnen met MS 365? 

Microsoft Conditional Access laat zich inderdaad voeden met risk levels uit bijvoorbeeld Sign in and User Risks en Device Risks. En hoewel misschien niet makkelijk kan het zo geconfigureerd worden dat op basis van de courante risklevels de gegeven toegang verlaagd of verkort wordt. De toegangsbeslissing is dus dynamisch in de zin dat het afhankelijk is geworden van de veiligheidssituatie van dat moment.   

Beginpunt als eindpunt, onderaan de principes

De genoemde voorbeelden van Sign in and User Risk is onderdeel van hoe authenticatie breder geworden is en een simpele 2-factor overstijgt. Onmogelijk reisgedrag en ander gedrag van gebruikers kunnen meegenomen worden bij het verifiëren van een identiteit. Autorisatie beslissingen zijn evenzo op basis van additionele data, zoals access path en of device risks vanwaar de gebruiker toegang vraagt. Inmiddels spreken we dan over het eerste principe van Zero Trust, Verify Explicitly. De paniek in het begin (bij die openstaande voordeur), hoe we kwamen bij data centric security en identity as the new perimeter, de paranoia die volgde met continue herevaluaties van risico’s, eindigend in die dynamische access controls, dat is het derde principe van Zero Trust, Assume Breach. Voeg in het midden het hier niet behandelde tweede principe, use least level of privilege, toe, en je bent er, de cirkel is rond, Zero Trust
 

Zero trust en meer

Wil je begrijpen hoe ook jij Zero Trust in de praktijk kan brengen? Of weet je er meer van en ben je nieuwsgierig hoe wij klanten hiermee helpen? Aarzel niet en neem gerust contact  op. Of kijk nog even rond op onze site.

Werken als cybersecurity professional      Onze cybersecurity diensten

Kan ik je helpen?