Ruim een jaar geleden startte zero trust-guru John Kindervag bij het Zaltbommelse ict-bedrijf On2it. De Texaan was eind juli in Nederland en beantwoorde voor Computable vragen over de ontwikkeling van zijn strategie voor netwerkbeveiliging. Ook vertelde de oud-Forrester-analist en ex-Palo Alto Networks-cto dat hij meeschreef aan belangrijke security-adviezen voor de Amerikaanse overheid.
Het jaar 2022 begon goed voor Kindervag. Hij schreef in 2021 mee aan een prestigieus adviesrapport over netwerkbeveiliging binnen de Amerikaanse overheid. Dat onderzoek is gestart na een reeks aanvallen op overheden in de VS en heeft als doel om de ict-beveiliging te verbeteren.
Begin van dit jaar nam de regering van de VS de adviezen uit het rapport over. In die regelgeving staat dat netwerkbeveiliging volgens de zero trust-strategie verplicht wordt gesteld binnen de gehele Amerikaanse federale overheid.
Kindervag: ‘Vorig jaar ben ik lid geworden van het National Security Telecommunications Advisory Committee – Nstac – van de president. De opdracht van dit comité is de regering van de VS op het gebied van security en privacy van het best mogelijke advies voorzien. Ik heb de commissie geïnformeerd over zero trust en ook een rapport voor haar geschreven. Hierdoor heeft de regering en alle federale agentschappen de zero trust-aanpak overgenomen. Dit is een enorm ding, omdat een heleboel industrieën hierdoor zero trust begonnen te adopteren.’
De zero trust-strategie voor netwerkbeveiliging bestaat nu zo’n tien jaar. Zijn er in die tijd grote veranderingen doorgevoerd?
‘Strategisch gezien hebben we niet veel aan het model veranderd. We hebben alleen wat terminologische veranderingen aangebracht in het model van zero trust. Voorheen hadden we vijf stappen om zero trust te implementeren. De eerste stap was ‘definieer je data’, maar we merkten dat deze stap te veel gericht was op data. Overheden en bedrijven beschermen tegenwoordig meer dan data alleen. Het gaat bijvoorbeeld om scada-systemen en iot-apparaten zoals oliepompen, draadloze morfine infuuspompen enzovoort. Die wisselen data uit, maar organisaties zien ze als assets. Daarom hebben we ‘het definiëren van data’ vervangen door ‘daas’: data, applicaties, assets en services. Op die manier zeggen we eigenlijk dat je eerst de daas-elementen moet identificeren voor je ze kan groeperen in beschermoppervlakken, ook wel protect surfaces. De tweede stap in het proces.’
Het aanvalsoppervlak ofwel ‘attack surface’ wordt steeds meer beperkt tot een specifieke dataset, dienst of apparaat. Kunt u daar voorbeelden van geven?
‘Het aanvalsoppervlak is het hele internet. Onvermoeibaar werken aan het verkleinen van de attack surface is niet haalbaar in het huidige dreigingslandschap dat alsmaar evolueert. Het aanvalsvlak wordt namelijk steeds groter, waardoor het moeilijk te definiëren, te verkleinen of te bestrijden is. Echter, met zero trust bepaal je, in plaats van te focussen op het macroniveau van het aanvalsoppervlak, juist het microniveau van het beschermoppervlak. Dat beschermde oppervlak, protect surface, wordt op microniveau gedefinieerd via de ‘daas’ elementen.’
Hoe werkt dat dan?
‘Elk kritisch daas- element is onderdeel van een protect surface. Neem bijvoorbeeld een creditcardbedrijf. Elk bedrijf moet compliant zijn via de pci: de ‘payment card industry’-databeveiligingsstandaard. Dit is een reeks veiligheidsnormen die ervoor zorgen dat alle bedrijven, die creditcardinformatie accepteren, verwerken, opslaan of doorsturen, een veilige omgeving handhaven. De norm zegt dat de data-omgeving van de kaarthouder een kritisch element is om het bedrijf te beschermen. Vanuit het oogpunt van zero trust kunnen we dus zeggen dat de omgeving voor de data van de kaarthouder de protect surface is. Dit is ook een voorbeeld van een daas-element dat wij met zero trust beschermen.’
U stelde in een eerder interview met Computable dat Nederland voorop loopt bij het invoeren van zero trust. Kunt u voorbeelden geven van bepaalde branches en dit onderbouwen met cijfers?
‘Het is moeilijk om cijfers te geven omdat organisaties niet op die manier rapporteren. Cybersecurity is iets wat je moet zien en om je heen moet hebben. Bij On2it hebben we ruim driehonderd klanten en meer dan honderd managen hun omgevingen volledig met zero trust. We zien de adoptie ook groeien in de VS. De reden dat Nederland voorop loopt komt door On2it en de visie van het management omdat zij als één van de eerste de voordelen van de methodologie zagen.’
Heeft de coronapandemie invloed gehad op de invoering van zero trust?
‘Ja, het heeft ertoe geleid dat meer bedrijven zero trust zijn gaan gebruiken. Dit had in principe twee belangrijke redenen. Organisaties moesten uitzoeken hoe medewerkers op afstand toegang konden krijgen tot gevoelige data. Hierdoor moesten ze de manier veranderen waarop ze hun bedrijfsgegevens beveiligden. Maar nog belangrijker, er was in de VS een verandering in strategische visie. Dit kwam met name doordat de regering van president Biden de ‘Executive Order on Improving the Nation’s Cybersecurity’ publiceerde. Federale agentschappen worden opgeroepen een zero trust-benadering te hanteren om de steeds geavanceerdere bedreigingen te beperken. Na deze aankondiging hebben veel organisaties contact met ons opgenomen om zich te laten informeren over zero trust.’
U zei eerder dat Google, inlichtingendiensten en standaardisatieclubs zero trust hebben aangewezen als de bewezen methode om netwerken, Ict en data te beveiligen. Kunt u dit concreet maken met links naar artikelen of citaten die dit bewijzen?
Het beste bewijs is het Nstac-rapport. De stakeholders die betrokken waren bij de totstandkoming van dit rapport spreken voor zich.
Kindervag en zero trust
Zero trust is een cyberbeveiligingsstrategie voor netwerkbeveiliging. Het is gebaseerd op het idee dat geen enkele gebruiker of asset impliciet mag worden vertrouwd. Het gaat ervan uit dat er ondanks alle beveiligingsmaatregelen altijd een inbreuk kan plaatsvinden, zal plaatsvinden of al plaatsgevonden heeft. Daarom mag een gebruiker nooit één enkele verificatie toegang krijgen tot gevoelige informatie in het netwerk. In plaats daarvan moet elke gebruiker, apparaat, applicatie of transactie voortdurend geverifieerd worden.
Het principe is in 2010 ontwikkeld door de Texaan John Kindervag met als basisgedachte ‘never trust, always verify’. Volgens deze opvatting wordt niet vertrouwd op het bestaan van een ‘veilig intern netwerk’. Veel organisaties baseren hun beveiligingsarchitectuur namelijk nog steeds op het kokosnoot- of eierschaalmodel, waarbij de beveiliging primair gericht is op het plaatsen van beveiligingsmaatregelen op de de buitenste laag van de infrastructuur. Het zero trust-principe gaat uit van segmentering. Er ontstaat een opdeling van bijvoorbeeld meerdere kleine beveiligde netwerkjes (implied trust zones).
Authenticatie, autorisatie, netwerksegmentatie en monitoring zijn belangrijke kernwaarden voor de zero trust- beveiligingsstrategie. Kindervag heeft zero trust als analist bij ict-adviesbureau Forrester ontwikkeld. Daarna heeft hij het voor netwerkbeveiliger Palo Alto Networks in de markt gezet. Sinds 2021 is hij actief bij het Zalbommelse ON2IT dat ook in de VS actief is. Kindervag is ook een belangrijke adviseur op het vlak van ict-beveiliging binnnen de Amerikaanse overheid.
