Cybercriminaliteit verspreidt zich de afgelopen jaren almaar meer en sneller, ondanks groeiende aandacht en investeringen om het fenomeen tegen te gaan. Zo was 2022 een recordjaar wat betreft uitgaven voor ‘best-of-breed’ security-oplossingen en AI-gebaseerde machinelearningtools. Ondanks de onzekere omstandigheden verwacht adviesburea Gartner dat de uitgaven voor veiligheid en risicobeheer dit jaar nog eens met 11% zullen groeien, goed voor een totaalbedrag van meer dan 183 miljard dollar.
En toch… Toch blijven aanvallers schijnbaar vlotjes onze steeds scherpere veiligheidsmaatregelen omzeilen. Die paradox is grotendeels te verklaren door een mismatch tussen onze gebruikelijke securitypraktijken en het evoluerende cyberdreigingslandschap. De versnelde omslag naar telewerk en hybride werkomgevingen door COVID-19 heeft ervoor gezorgd dat het aanvalsoppervlak voor cyberpiraten exponentieel groter geworden is, met de integratie van cloudtechnologieën, third party-apps en andere diensten in de dagelijkse operaties. Met als gevolg: meer externe kwetsbaarheden die kunnen uitgebuit worden via social engineering-campagnes en aanvallen met malware. Van nieuwe samenwerkingstools als Slack en Microsoft Teams tot allerhande snel aan populariteit winnende remote IoT-devices: de digitale voetafdruk van organisaties biedt meer aanvalsmogelijkheden dan ooit.
Wat de zaken nog verder bemoeilijkt, is dat veel bedrijven investeren in oplossingen die zijn ontworpen om complexe on-premise-infrastructuur te beveiligen, niet de ongestructureerde data-assets van cloudgebaseerde ecosystemen. Om met die veranderende dynamiek om te gaan, is het cruciaal de omslag te maken van de klassieke, legacy perimeter-gebaseerde controlemechanismen naar een meer agile Zero Trust Architecture (ZTA), die aanvallers verhindert onherstelbare schade aan te brengen bij een inbreuk. Gezien cybercriminelen over steeds meer middelen beschikken en almaar gesofisticeerder te werk gaan, is het niet zozeer de vraag of dat gebeurt, maar wanneer.
De bouwstenen van ZTA
Eerst en vooral: ZTA gaat verder dan concrete elementen of controles. Het is een aanpak waarbij beveiliging in elke laag van de onderneming verweven wordt, met richtlijnen voor doelgerichte schadebeperking bij inbreuken. Door ‘impliciet vertrouwen’ en de daarop gebaseerde machtigingen en toegang te elimineren, wordt het veel moeilijker om via een gecompromitteerd account schade aan te richten binnen het digitale ecosysteem van de organisatie. Maar, daar komt meer bij kijken dan een druk op de knop. ZTA vereist een volledige herziening van de digitale architectuur, en een nieuwe manier van denken.
De fundamentele bouwstenen van ZTA omvatten onder meer het identificeren en inventariseren van alle bedrijfsassets; het bepalen van het toegangsbeleid en waar dit geïmplementeerd moet worden; en de (controle op de) toepassing daarvan. Dat gezegd zijnde: ZTA is maar mogelijk mits end-to-end zichtbaarheid op de bestaande digitale infrastructuur van een organisatie, om te bepalen welke assets het meest waardevol zijn voor aanvallers en in functie daarvan voor een adequaat beveiligingsniveau te zorgen. Alles hangt daarbij af van de specifieke omgeving en omstandigheden van elke organisatie.
Een hybride aanvalsoppervlak beveiligen
Veel ondernemingen die overstapten van on-premise naar hybride werkomgevingen werken nog steeds met Virtual Private Networks (VPN) die gebruikers remote maar gedeelde toegang verschaffen tot een heleboel eindpunten en apps. Maar, als een aanvaller via een phishingmail de juiste account met de juiste machtigingen weet te kraken, heeft zo’n VPN weinig nut, en kan de hacker, na het omzeilen van de beperkte perimeterbeveiliging, de gecompromitteerde account naar believen misbruiken om gevoelige data te stelen en versleutelen voor afpersing.
Met ZTA daarentegen zou de situatie heel anders zijn: toegang wordt dan bepaald vanuit een gecentraliseerd Policy Decision Point (PDP) en verleend aan een individuele gebruiker, met minimale rechten als uitgangspunt. In bovenstaand geval zou een Policy Enforcement Point of PEP-systeem, dat voortdurend de accountactiviteit monitort, al actief zijn om verdacht gedrag te detecteren en vervolgens in real-time de sessie te beëindigen, en zo de impact van de inbreuk tot een minimum te beperken. De toegang tot de diverse assets wordt zo voor elke sessie afzonderlijk bepaald door de PDP- en PEP-systemen op basis van bepaalde cruciale criteria.
ZTA, baken van hoop
Conclusie? Aanvallers slagen er (veel) te goed in om hedendaagse bedrijven aan te vallen. Ondanks organisationele groei en infrastructurele implementaties, gevolgd door nieuwe veiligheidsprocedures en -mechanismen, blijven cyberpiraten nieuwe kwetsbaarheden vinden die ze kunnen uitbuiten. De evoluties van de laatste jaren inzake IT en bedrijfsarchitectuur dragen hier nog verder toe bij. ZTA biedt echter hoop. Bedrijven met uitgebreide middelen, systemen en apps en globale data vereisen een beveiligingsmodel dat met de organisatie kan meegroeien, zonder die groei te hinderen of openingen te creëren voor aanvallers.
Matt Bromiley is SANS certified instructor en principal incident response consultant bij een toonaangevende speler in digital forensics and incident response (DFIR).