BLOG – Fysieke en netwerkbarrières die ooit bedrijfsomgevingen scheidden van de buitenwereld bestaan niet meer. Identiteiten vormen de nieuwe perimeter. Ze kunnen een aanvalspad vormen naar de waardevolste bedrijfsmiddelen van een organisatie. Om deze complexiteit het hoofd te bieden, bestaan allerlei security-oplossingen en modellen, maar niet alles is wetenschappelijk onderbouwd.
We kunnen hier verandering in brengen door de ‘three-box-solution’ van professor Vijay Govindarajan toe te passen. Het vormt een drietraps-aanpak die een verfrissend eenvoudige oplossing biedt om security-uitdagingen aan te gaan.
Filosofie
De three-box solution is een strategisch raamwerk dat, zoals beschreven in Govindarajans gelijknamige boek, is gebaseerd op een oude hindoeïstische filosofie. Het gaat in op het evenwicht in energie, tijd en middelen in drie domeinen of ‘boxes’, te weten heden, verleden en toekomst. Govindarajan stelt dat hoe meer leiders hun plannen richten op kansen, hoe groter de mogelijkheid wordt om een succesvolle toekomst te creëren.
Het model bevordert niet-lineair denken en gaat uit van een verschuiving in de traditionele perceptie van tijd als een reeks elkaar opvolgende gebeurtenissen. Het suggereert dat organisaties elke dag de toekomst moeten ‘maken’ om die toekomst te bereiken. Dit doe je door het heden te beheren (bestaande processen en systemen optimaliseren), het verleden selectief te vergeten (verouderde praktijken elimineren) en de toekomst te creëren (nieuwe manieren van denken en werken ontwikkelen).
Om succesvol te zijn, moeten leiders specifiek gedrag vertonen op elk punt van dit continuüm, zoals weergegeven in onderstaand tabel.
Box 1 | Box 2 | Box 3 |
Beheer het heden | Vergeet selectief het verleden | Maak de toekomst |
Focus op het verbeteren en beschermen huidige systemen en processen. Beheer het de huidige omgeving met maximale efficiency en betrouwbaarheid | Laat het verleden achter je door activiteiten, ideeën en houdingen die niet langer relevant zijn los te laten; nieuwe technologie creëert nieuwe kansen en uitdagingen | Innoveer en investeer in nieuwe technologie en methodes om klaar voor de toekomst te zijn. Integreer nieuwe ideeën in producten en creëer nieuwe kansen door hedendaagse best practices te omarmen |
Acties en gedrag | Acties en gedrag | Acties en gedrag |
1. Definieer goals om maximale prestatie te behalen 2. Gebruik data om inefficiënties te bepalen 3. Optimaliseer om minder met meer te doen | 1. Stimuleer afwijkende ideevorming 2. Maak korte metten met de zo-hebben-we-het-altijd-gedaan-houding | 1. Stimuleer experimenten 2. Test hypotheses over producten, diensten en marktontwikkeling. |
Toepassing op identity security
Wereldwijde organisaties als GE en PepsiCo hebben het three-box-model toegepast om specifieke gebieden van hun bedrijfsvoering te transformeren. Ciso’s en beveiligingsleiders kunnen deze bewezen aanpak ook toepassen om hun strategie voor identity security te verbeteren.
- Box 1: Beheer het heden
Het optimaliseren van beveiligingsmaatregelen voor huidige identiteitssystemen komt in veel gevallen neer op het beschermen van legacy-systemen en verbeteren van monitoring en respons.
Het ontbreekt legacy-systemen vaak aan moderne beveiligingsfuncties, waardoor ze kwetsbaar zijn voor identiteitsgerelateerde aanvallen. Het implementeren van sterke authenticatiemechanismen, zoals multi-factorauthenticatie en het regelmatig auditen van toegangscontroles zijn cruciale stappen. In sommige gevallen kan men ervoor kiezen om een gateway te installeren om legacy-systemen zichtbaar te behouden en te controleren, aan auditvereisten te kunnen voldoen en oude systemen te isoleren.
Zichtbaarheid is cruciaal. Door uitgebreide monitoringoplossingen te implementeren die realtime-inzicht bieden in gebruikersactiviteiten, kunnen beveiligingsteams verdacht gedrag snel detecteren en erop reageren. Beveiligingsteams wenden zich steeds vaker tot ai om geprivilegieerde toegang in verschillende omgevingen te beschermen en realtime-ondersteuning en begeleiding te bieden.
- Box 2: Selectief oudere identiteitspraktijken vergeten
Het is noodzakelijk om verouderde identiteitsbeheerpraktijken te identificeren en te elimineren. Traditionele benaderingen van identity-management leverden vaak buitensporige privileges op waardoor het risico op misbruik toeneemt. Het aannemen van een zero standing privileges-model, waarbij gebruikers het minimaal benodigde niveau van privileges krijgen, alleen wanneer dat nodig is, kan dit risico aanzienlijk verkleinen.
Legacy-systemen die niet langer worden ondersteund of veilig te gebruiken zijn, moeten buiten gebruik worden gesteld. Dit verkleint het aanvalsoppervlak en vereenvoudigt de it-omgeving. Natuurlijk is dit geen makkelijke taak. Bedenk dus een manier om verouderde systemen te isoleren tot alleen die elementen die beperkte toegang nodig hebben. Zo wordt de kans op misbruik van (bekende) kwetsbaarheden kleiner.
- Box 3: De toekomst bouwen met zero-trust en moderne oplossingen voor identity security
Een toekomstgerichte blik betekent nieuwe beveiligingsparadigma’s en -technologieën omarmen. Denk aan een zero-trust-architectuur, moderne identiteits- en toegangsbeheer (iam) en zero standing privileges-toegang in multi-cloud-omgevingen.
Het zero-trust-model gaat ervan uit dat bedreigingen overal vandaan kunnen komen en verplicht tot voortdurende verificatie van identiteiten, controle van apparaatstatus en strikte toegangscontroles. Het implementeren van zero-trust vereist een verschuiving van het traditionele, op de perimeter gebaseerde beveiligingsmodel naar een model waarbij toegang wordt verleend op basis van dynamische risicobeoordelingen.
Door gebruik te maken van geavanceerde iam-oplossingen die technologieën als biometrie, adaptieve authenticatie (gebaseerd op risiconiveaus) en machine learning ondersteunen, is de identity security aanzienlijk te verbeteren. Deze technologieën bieden nauwkeurigere gebruikersverificatie en kunnen zich aanpassen aan veranderende risico’s en bedreigingen.
Het instellen van precies genoeg machtigingen om te voldoen aan het principe van least privilege (polp) betekentdat rechten beperkt blijven tot wat noodzakelijk is. Het verwijderen van alle permanente toegang en het inschakelen van just-in-time privilege elevation vermindert de risico’s met betrekking tot gevoelige sessies in de publieke cloud aanzienlijk. Bedrijven gebruiken steeds vaker saas-oplossingen om toegang tot de cloud te beheren en operationele efficiëntie mogelijk te maken.
Bart Bruijnesteijn is solutions engineering director North Europe bij CyberArk
Filosofie is geen harde wetenschap en de hindoeïstische filosofie verschilt op fundamentele wijze van de westerse filosofie. Dit komt door de geheel verschillende religieuze en culturele uitgangspunten waardoor het beheer van het heden meer is dan alleen het licht aanhouden. Zo kent westerse filosofie een lineaire tijd met een duidelijk begin (schepping) en einde waardoor we zoiets als lifecycle management kennen. En daarin zou ik niet de servers knuffelen maar de data welke als het bewijs op de dag des oordeel gepresenteerd kan worden. PepsiCo en GE kennen namelijk nogal wat schandalen over niet doen wat ze zeggen te zullen gaan doen. De zo-hebben-we-het-altijd-gedaan-houding kent dan ook een reden door zoiets als een lineaire tijd in de chain of custody (logging) want bewijs uit het ongerijmde is even wetenschappelijk als filosofie.
De zonde van PepsiCo en GE was niet een breuk met god maar met de geldende regels door het stimuleren van afwijkende ideeën. De gehanteerde juridische term hiervoor was fraude en boete betrof honderden miljoenen terwijl er ook nog zoiets is als een verlies aan vertrouwen. Een immateriële schade die in Europa lastiger los te laten is dan professor Vijay Govindarajan denkt als ik kijk naar cyclus van begin en einde vanuit wetgeving met een Romeins historische achtergrond. Een filosofisch zijsprongetje in IdM is dan ook de ‘goodwill’ van een klantenbestand want de biometrie is leuk maar er is ook nog zoiets als privacy. Vraag is waar en hoe bijzondere persoonsgegevens worden opgeslagen en op welke manier is er een opt-out geregeld want biologische kenmerken zijn lastiger te wisselen dan wachtwoorden.
Of een solutions engineering director North Europe gaat reageren is de vraag maar wat betreft klok en klepel is deze opinie een carillon aan klokken waar nog wat klepels in gehangen moeten worden. Want een beter model lijkt me STORK van ENISA want hoe doe ik de eerste stap van identificatie en wat zijn de attributen hierin die grensoverschrijdend binnen en buiten Europa gebruikt mogen worden? Niemand weet dat ik Repelsteeltje heet is identificatie is nog wat anders dan een authenticatie voor de rechten. Zero trust in review van reacties voor- of achteraf mag ook Brenno meedoen in reacties want adaptieve authenticatie op basis van risicoprofielen gaat om de westerse filosofie dat een dubbeltje niet opeens een kwartje kan zijn.
“Filosofie is geen harde wetenschap en de hindoeïstische filosofie verschilt op fundamentele wijze van de westerse filosofie”
Zo is dat en ik koop nog liever een pan via teleshopping met een door NASA geteste coating dan die halfwas filosofie waar misschien alleen nog Rutte zich nog kan vinden in het selectief vergeten verleden vanuit een niet-actieve box
Misschien geen harde wetenschap maar filosofie van een selectief geheugen is makkelijk in de politiek omdat de waarheid altijd als eerste sneuvelt. Foute Duitse filosofen die zich op de dag des oordeel moeten verantwoorden kunnen niet roepen: “Ich habe es nicht gewusst!” en dat geldt ook voor Teflon Mark die een rug had waar niks aan bleef kleven. Want zijn partij van Veel Vergeten Data heeft moeite met de harde feiten van bonnetjes en foto’s. Leven in politieke zonde en economische welvaart om achteraf in het reine te komen met een aflaat leidde tot een reformatie in de 15de eeuw.
Selectief winkelen met halve waarheden en volledige onzin om angst en wantrouwen te rechtvaardigen (never waste a good crisis) heeft vooral met het pragmatisme in de filosofie te maken. Box 2 van we hebben principes maar als deze immoreel blijken te zijn dan hebben we andere principes met het idee van culturele boetedoening volgens de koffiehandelaren van Multatuli. De bedot.com economie van TellSell gaat namelijk om de storytelling in marketing. Solutions engineering director North Europe bij CyberArk had daarom beter de bijbel als de inspiratie kunnen gebruiken omdat dit boek nog altijd dominant is in Noord-Europa.
Nu was het niet de uitvinding van de boekdrukkunst die voor verlichting zorgde maar een verspreiding van kennis als gevolg van een toenemende leesvaardigheid. Want veel gelezen maar niks geleerd zorgen persoonlijke en subjectieve inzichten voor een breder perspectief en daarin is zeker plaats voor filosofie om niet in het ‘loketdenken’ van een afschuivende verantwoordelijkheid te vervallen. Het is namelijk niet de koekenpan in mijn keukenkast die PFAS naar het grondwater lekt.