Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

De Zero-Trust-richtlijnen van de NSA zijn gericht op segmentatie

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 139

De Amerikaanse National Security Agency (NSA) heeft hiervoor richtlijnen opgesteld zero-trust netwerkbeveiliging deze week, met een concretere routekaart naar de adoptie van zero-trust. Het is een belangrijke inspanning om de kloof tussen het verlangen naar en de implementatie van het concept te overbruggen.

Nu bedrijven steeds meer werklasten naar de cloud verplaatsen, zijn zero trust computing-strategieën van een hype-fase overgegaan naar de status van een essentiële beveiligingsaanpak. Maar toch is het idee van “onbetrouwbaar totdat het geverifieerd is' nog steeds langzaam aanslaat in de echte wereld (hoewel in sommige gebieden, zoals in de Verenigde Arabische Emiraten,De adoptie van zero trust versnelt).

John Kindervag, wie was de eerste die de term ‘zero trust’ definieerde  in 2010, toen hij analist bij Forrester Research was, verwelkomde hij de stap van de NSA en merkte op dat “zeer weinig organisaties het belang van netwerkbeveiligingscontroles hebben begrepen bij het bouwen van zero-trust-omgevingen, en dit document gaat een grote bijdrage leveren aan het helpen van organisaties om hun waarde."

Verder “zal het verschillende organisaties over de hele wereld enorm helpen de waarde van netwerkbeveiligingscontroles gemakkelijker te begrijpen en zero-trust-omgevingen gemakkelijker te bouwen en te implementeren maken”, zegt Kindervag, die vorig jaar bij Illumio kwam als hoofdevangelist, waar hij doorgaat met het promoten het zero trust-concept.

Zero-Trust Centers voor netwerksegmentatie

Het NSA-document bevat een heleboel aanbevelingen over best practices op het gebied van zero trust, waaronder in de basis het segmenteren van netwerkverkeer om te voorkomen dat tegenstanders zich binnen een netwerk verplaatsen en toegang krijgen tot kritieke systemen.

Het concept is niet nieuw: IT-afdelingen segmenteren al tientallen jaren de infrastructuur van hun bedrijfsnetwerken, en Kindervag pleit al sinds zijn oorspronkelijke Forrester-rapport voor netwerksegmentatie, waarin hij zei dat “alle toekomstige netwerken standaard moeten worden gesegmenteerd.”

Maar zoals Carlos Rivera en Heath Mullins van Forrester Research in hun eigen woorden zeggen verslag van afgelopen najaar, “Geen enkele oplossing kan alle mogelijkheden bieden die nodig zijn voor een effectieve zero trust-architectuur. Voorbij zijn de dagen dat bedrijven leefden en opereerden binnen de grenzen van een traditionele perimetergebaseerde netwerkverdediging.”

In het cloudtijdperk zero-trust is exponentieel complexer te bereiken dan het ooit was. Misschien is dat de reden dat minder dan een derde van de respondenten in de enquête Akamai's is Rapport uit 2023 over de staat van segmentatie van vorig najaar zijn het afgelopen jaar gesegmenteerd over meer dan twee cruciale bedrijfsgebieden.

Om een ​​deel van de pijn te verzachten, bespreekt de NSA hoe controles op netwerksegmentatie kunnen worden uitgevoerd door middel van een reeks stappen, waaronder het in kaart brengen en begrijpen van datastromen, en het implementeren van Software-Defined Networking (SDN). Elke stap zal veel tijd en moeite vergen om te begrijpen welke delen van een bedrijfsnetwerk gevaar lopen en hoe deze het beste kunnen worden beschermd.

“Het belangrijkste om bij Zero Trust in gedachten te houden is dat het een reis is en iets dat moet worden geïmplementeerd met behulp van een methodische aanpak”, waarschuwt Garrett Weber, veld-CTO van de Enterprise Security Group bij Akamai.

Weber merkt ook op dat er een verschuiving heeft plaatsgevonden in de segmentatiestrategieën. “Tot voor kort was het implementeren van segmentatie te moeilijk om alleen met hardware te doen”, zegt hij. “Nu met de verschuiving naar op software gebaseerde segmentatie zien we dat organisaties hun segmentatiedoelen veel gemakkelijker en efficiënter kunnen bereiken.”

Verder gaan met netwerkmicrosegmentatie

Het NSA-document maakt ook onderscheid tussen macro- en micronetwerksegmentatie. De eerste regelt het verkeer tussen afdelingen of werkgroepen, zodat een IT-medewerker bijvoorbeeld geen toegang heeft tot HR-servers en gegevens.

Microsegmentatie scheidt het verkeer verder, zodat niet alle medewerkers dezelfde toegangsrechten tot gegevens hebben, tenzij dit expliciet vereist is. “Dit omvat het isoleren van gebruikers, applicaties of workflows in individuele netwerksegmenten om het aanvalsoppervlak verder te verkleinen en de impact te beperken als zich een inbreuk voordoet”, aldus het Akamai-rapport.

Beveiligingsmanagers “moeten stappen ondernemen om microsegmentatie te gebruiken om zich op hun applicaties te concentreren, om ervoor te zorgen dat aanvallers de controles niet kunnen omzeilen door toegang tot eenmalige aanmelding ondermijnen, door gebruik te maken van sideloaded accounts, of door manieren te vinden om gegevens aan externe gebruikers openbaar te maken”, zegt Brian Soby, de CTO en mede-oprichter van AppOmni.

Dit helpt bij het definiëren van beveiligingscontroles op basis van wat nodig is voor elke specifieke workflow, zoals het rapport van Akamai uiteenzet. “Segmentatie is goed, maar microsegmentatie is beter”, aldus de auteurs.

Het kan een complexe onderneming zijn, maar het sap is de moeite waard: in het rapport van Akamai ontdekten onderzoekers dat “doorzettingsvermogen loont. Segmentatie bleek een transformerend effect te hebben op de verdediging van degenen die de meeste van hun kritieke activa hadden gesegmenteerd, waardoor ze ransomware 11 uur sneller konden beperken en beheersen dan degenen met slechts één gesegmenteerd actief.”

Kindervag pleit nog steeds voor zero trust. Een deel van de aantrekkingskracht en de lange levensduur ervan is te danken aan het feit dat het een eenvoudig te begrijpen concept is: mensen en eindpunten krijgen geen toegang tot diensten, apps, data, clouds of bestanden, tenzij ze bewijzen dat ze daartoe bevoegd zijn – en zelfs dan krijgen ze toegang wordt alleen verleend voor de tijd dat het nodig is.

‘Vertrouwen is een menselijke emotie’, zei hij. “Mensen begrepen het niet toen ik het voor het eerst voorstelde, maar het gaat allemaal om het beheersen van gevaar, in plaats van risico’s nemen en gaten in de beveiliging dichten.”

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.