Praktijkverhaal: Zero trust geeft BUas en Inholland rust
Zero trust is een relatief nieuwe en misschien wel revolutionaire aanpak van informatiebeveiliging. Eén die hard nodig is, want cybercriminaliteit neemt nog steeds toe. Het adagium is “nooit vertrouwen, altijd verifiëren.” Securityspecialisten Raymond Kales van Inholland en Tom Daniëls van BUas vertellen hoe ze zero trust aanpakken.
Informatiebeveiliging hoger op de agenda
Voor zowel Inholland als Breda University of Applied Sciences (BUas) was de ransomwareaanval bij de Universiteit Maastricht eind 2019 een belangrijke aanleiding om anders naar informatiebeveiliging te kijken. Tom Daniëls van BUas: “Informatiebeveiliging was natuurlijk al wel een thema bij ons, maar het kwam ineens een stuk hoger op de agenda: ik had het bestuur aan de telefoon, er kwam budget. Veranderingen die ik al op het oog had, kon ik nu daadwerkelijk doorvoeren.”
Raymond Kales, Inholland
Ook bij Inholland kwamen ontwikkelingen in een stroomversnelling. Raymond Kales: “We hebben eerst gezocht naar best practices in de sector: hoe pakken andere bedrijven het aan, welke adviezen biedt het NCSC, enzovoort. In dat kader hebben we een red-teamingoefening gedaan, waarbij een aanval op onze systemen werd gesimuleerd. Op basis van deze acties besloten we om de zero trust aanpak toe te passen in ons netwerk en de applicaties die daar draaien.”
Zero trust: never trust, always verify
Zero trust berust op het principe “never trust, always verify”. Je gaat er niet (langer) vanuit dat alles wat er achter de firewall gebeurt, veilig is: ieder verzoek, ook binnen je netwerk, behandel je alsof het uit een niet te vertrouwen bron komt. “Zelfs mijn eigen laptop vertrouw ik niet, bij wijze van spreken”, aldus Tom.
Microsegmentering
Microsegmentering is een belangrijke concrete maatregel die zowel Inholland als BUas heeft doorgevoerd. Voorheen waren hun netwerken verdeeld in een aantal vrij grote zones. Als een aanvaller eenmaal toegang had tot een zone, had hij daarbinnen alle ruimte om schade te veroorzaken. Nu zijn er veel meer en veel kleinere zones, die goed van elkaar afgeschermd zijn.
Tom geeft een voorbeeld: “Vroeger hadden we een VLAN waar alle management-interfaces inzaten, inclusief de laptops van beheerders. Dat hebben we nu anders opgelost.” Raymond vult aan: “We identificeren ook al het verkeer in het netwerk. Vroeger vertrouwde je het verkeer binnen een bepaalde zone, nu willen we steeds weten welk verkeer waarlangs gaat, en tussen welke poorten.”
“Zelfs mijn eigen laptop vertrouw ik niet, bij wijze van spreken."
Strakker accountmanagement
Een maatregel die nauw aansluit op microsegmentering is een beter accountmanagement. Raymond: “Dat is bij ons nu veel strakker ingeregeld. We hebben geen admin-accounts die overal toegang toe geven. Mensen krijgen rechten voor een specifieke taak die ze moeten uitvoeren op het netwerk (account tiering), vaak ook nog voor een beperkte periode (just in time privileges). Verder passen we bij veel accounts multifactorauthenticatie toe, waardoor ongeoorloofde toegang tot het netwerk ook moeilijker wordt.”
24/7 monitoring en opvolging van incidenten
In aanvulling op deze maatregelen heeft Inholland een 24/7 monitoring- en opvolgingsdienstverlening ingericht. Ze besteden dat uit aan een partij die verdachte situaties detecteert en daarop ook kan handelen, bijvoorbeeld door een account te blokkeren of een server te isoleren. BUas neemt sinds kort de SURFsoc/SIEM-dienstverlening van SURF af, die een vergelijkbare functie heeft. “Het is heel fijn dat we nu een early-warningsysteem hebben”, aldus Tom. “Ik wou dat we eerder in SURFsoc/SIEM waren ingestapt”.
Zorg voor mandaat
Tom en Raymond hebben een aantal tips voor instellingen die erover denken om met zero trust aan de slag te gaan. Toms belangrijkste tip is dat je zorgt voor mandaat van het bestuur. “Bij een aantal onderdelen van BUas zijn best wat zaken veranderd door de nieuwe aanpak. Dat heeft soms gezorgd voor boze mensen aan mijn bureau die dingen niet meer konden omdat de toegang tot een bepaald deel van het netwerk beter was afgeschermd. In zulke gevallen is het belangrijk dat je de steun hebt van je raad van bestuur.”
"Maar iedereen, ook het bestuur, ziet het belang van een gedegen aanpak voor informatiebeveiliging en dat is essentieel.”
Aim for the stars
Ook heel belangrijk: leg de lat hoog, want hij komt vanzelf lager te liggen door de snelle ontwikkelingen in de cybercrime en cybersecurity. Raymond: “Aim for the stars! Maak een goed ontwerp en houd vast aan de principes die je opstelt.”
Leg de maatregelen uit
Voor draagvlak binnen de organisatie is het belangrijk om veranderingen goed uit te leggen, vindt Tom. “Dan vinden mensen het soms nog steeds lastig, maar dan hebben ze er wel eerder begrip voor.” Raymond beaamt dit: “Wij zien dat collega’s volledig achter de nieuwe werkwijze staan, maar ze moeten er wel aan moeten wennen. Beheerders moeten bijvoorbeeld veel explicieter vastleggen welk verkeer via welke poort mag lopen tussen verschillende servers. Daar moeten ze op bedacht zijn, anders werkt het niet. Voor dit soort aspecten moet je aandacht hebben.”
Voer veranderingen geleidelijk door
Wat daarbij helpt is om veranderingen geleidelijk door te voeren. Tom: “Dan heb je de nieuwe situatie beter in de hand. Wij zijn bijvoorbeeld in één keer overgegaan van niet-beheerde naar centraal beheerde laptops. Daar kwam nogal wat weerstand op, bijvoorbeeld omdat sommige oudere applicaties ineens niet meer werkten. We hadden deze wijziging beter eerst op een kleine gebruikersgroep kunnen testen. Daarom is het ook goed om een nieuwe werkwijze of applicatie eerst in te voeren op je eigen afdeling. Dan leer je ermee werken en ervaar je de gevolgen. Je kunt dan de eerste gebruikersfrustraties voorkomen.”
"Maatregelen als microsegmentatie en strak accountbeheer geven me rust. Je kunt daarmee problemen in je netwerk veel beter lokaliseren
Zero trust geeft rust
Hoe merk je nou of je vruchten plukt van de zero trust-aanpak? Dat is lastig aan te geven, want je weet niet welke incidenten je voorkomen hebt, aldus Raymond. “Maar iedereen, ook het bestuur, ziet het belang van een gedegen aanpak voor informatiebeveiliging en dat is essentieel.”
“Het klopt dat je concrete resultaten niet ziet”, beaamt Tom. “Maar ik weet wel dat maatregelen als microsegmentatie en strak accountbeheer me rust geven. Je kunt problemen in je netwerk veel beter lokaliseren, waardoor je ook niet het risico loopt dat je alle systemen moet uitschakelen bij een incident. Zero trust zorgt er dus voor dat ik een stuk beter slaap.”
Lees meer over het zero trust-principe
tekst: Jan Michielsen
Lees ook over CIS Controls framework
Zero trust is één methode om cybersecurity systematisch aan te pakken. Een andere methode is het het CIS Controls framework. Lees daarover het praktijkverhaal over CIS Controls van Raboudumc.