6 CISO-punten uit de Zero-Trust Guidance van de NSA

De realiteit van cyberbeveiliging voor bedrijven is dat tegenstanders voortdurend systemen en netwerken in gevaar brengen, en dat zelfs goed beheerde programma's voor inbreukpreventie vaak te maken krijgen met aanvallers binnen hun perimeters.

Op 5 maart zette de National Security Agency zijn best-practice-aanbeveling aan federale agentschappen voort en publiceerde het zijn nieuwste Cybersecurity Information Sheet (CIS) over de netwerk- en milieupijler van zijn zero-trust-framework. Het NSA-document beveelt organisaties aan hun netwerken te segmenteren om te voorkomen dat ongeautoriseerde gebruikers toegang krijgen tot gevoelige informatie door middel van segmentatie. Dat komt omdat sterke cyberbeveiligingsmaatregelen kunnen voorkomen dat compromissen uitmonden in regelrechte inbreuken, door de toegang van alle gebruikers tot delen van het netwerk te beperken waarin zij geen legitieme rol spelen. 

De begeleiding van de NSA stelt beveiligingsteams ook in staat om sterkere business cases voor te leggen aan het management voor beveiligingsbescherming, maar CISO's moeten verwachtingen scheppen omdat implementatie een gelaagd en complex proces is.

Hoewel het document zich richt op defensiegerelateerde overheidsorganisaties en industrieën, kan de bredere zakenwereld profiteren van zero-trust-richtlijnen, zegt Steve Winterfeld, adviserend CISO bij internetdienstengigant Akamai.

"De realiteit is niet of er ongeoorloofde toegangsincidenten zijn, maar of je ze kunt onderscheppen voordat ze inbreuken worden", zegt hij. “De sleutel is ‘zichtbaarheid met context’ die microsegmentatie kan bieden, ondersteund door de mogelijkheid om kwaadaardig gedrag snel te isoleren.”

Bedrijven hebben begonnen met zero-trust-initiatieven om ervoor te zorgen dat hun gegevens, systemen en netwerken moeilijker in gevaar kunnen worden gebracht en, wanneer ze worden aangetast, om aanvallers af te remmen. Het raamwerk is een solide reeks richtlijnen voor hoe verder te gaan, maar de implementatie ervan is niet eenvoudig, zegt Mike Mestrovitsj, CISO bij Rubrik, een leverancier van gegevensbeveiliging en zero-trust.

“De meeste netwerken zijn in de loop van de tijd geëvolueerd en het is erg moeilijk om terug te gaan en ze opnieuw te ontwerpen terwijl het bedrijf draaiende blijft”, zegt hij. “Het is haalbaar, maar het kan kostbaar zijn, zowel in termen van tijd als geld.”

Hier zijn zes lessen uit de NSA-richtlijnen.

1. Leer alle zeven pijlers van Zero Trust

Het nieuwste document van de National Security Agency duikt in de vijfde pijler van de zeven pijlers van zero trust: het netwerk en de omgeving. Toch zijn de andere zes pijlers even belangrijk en laten ze zien “hoe breed en transformationeel een zero-trust-strategie moet zijn om succesvol te zijn”, zegt Ashley Leonard, CEO van Syxsense, een geautomatiseerd bedrijf voor eindpunt- en kwetsbaarheidsbeheer.

“Bedrijven die met zero trust aan de slag willen, zou ik ten zeerste willen aanmoedigen om de NSA-informatiebladen over de gebruikers- en apparaatpijlers door te nemen – respectievelijk de eerste en tweede pijler van zero trust”, zegt hij. “Als een bedrijf net begint, is het kijken naar deze pijler op het gebied van netwerken en milieu een beetje zoiets als het paard achter de wagen spannen.”

2. Verwacht dat aanvallers uw perimeter doorbreken

De netwerk- en omgevingspijler van het zero-trust-plan van de NSA heeft alles te maken met het proberen te voorkomen dat aanvallers een inbreuk uitbreiden nadat ze al een systeem hebben gecompromitteerd. De NSA-richtlijnen wijzen op de Doelovertreding van 2013 – zonder het bedrijf expliciet te noemen – omdat de aanvallers binnenkwamen via een kwetsbaarheid in het HVAC-systeem van het bedrijf, maar zich vervolgens door het netwerk konden verplaatsen en verkooppuntapparaten met malware konden infecteren.

Bedrijven moeten ervan uitgaan dat ze gecompromitteerd zullen worden en manieren moeten vinden om aanvallers te beperken of te vertragen. Dat zegt NSA Cybersecurity-directeur Rob Joyce in een verklaring de aankondiging van de vrijgave van het NSA-document.

“Organisaties moeten opereren vanuit de gedachte dat er bedreigingen bestaan ​​binnen de grenzen van hun systemen”, zegt hij. “Deze richtlijnen zijn bedoeld om netwerkeigenaren en -exploitanten te voorzien van de processen die ze nodig hebben om waakzaam weerstand te bieden aan, te detecteren en te reageren op bedreigingen die misbruik maken van zwakke punten of gaten in hun bedrijfsarchitectuur.”

3. Breng gegevensstromen in kaart om te beginnen

De NSA-richtlijnen zijn een gelaagd model, waarbij bedrijven moeten beginnen met de basis: het in kaart brengen van gegevensstromen in hun netwerken om te begrijpen wie waartoe toegang heeft. Terwijl andere zero-trust-benaderingen zijn gedocumenteerd, zoals NIST's SP 800-207 Zero Trust-architectuurDe pijlers van de NSA bieden organisaties een manier om na te denken over hun veiligheidscontroles, zegt Winterfeld van Akamai.

“Het begrijpen van de gegevensstroom levert vooral situationeel bewustzijn op van waar en wat de potentiële risico’s zijn”, zegt hij. “Vergeet niet dat je niet kunt beschermen wat je niet kent.”

4. Ga naar Macrosegmentatie

Nadat ze eventuele andere fundamentele pijlers hebben aangepakt, zouden bedrijven hun uitstapje naar de pijler Netwerk en Milieu moeten beginnen door hun netwerken te segmenteren – in eerste instantie misschien breed, maar met toenemende granulariteit. Belangrijke functionele gebieden zijn onder meer business-to-business (B2B) segmenten, consumentgerichte (B2C) segmenten, operationele technologie zoals IoT, point-of-sale-netwerken en ontwikkelingsnetwerken.

Nadat het netwerk op een hoog niveau is gesegmenteerd, moeten bedrijven ernaar streven de segmenten verder te verfijnen, zegt Rubrik's Mestrovitsj.

"Als je deze functionele werkgebieden kunt definiëren, kun je beginnen met het segmenteren van het netwerk, zodat geauthenticeerde entiteiten in een van deze gebieden geen toegang hebben zonder aanvullende authenticatieoefeningen te hoeven doen naar andere gebieden", zegt hij. “In veel opzichten zul je merken dat het zeer waarschijnlijk is dat gebruikers, apparaten en workloads die in één gebied actief zijn, feitelijk geen rechten of middelen in andere gebieden nodig hebben.”

5. Volwassen tot softwaregedefinieerde netwerken

Zero-trust-netwerken vereisen dat bedrijven de mogelijkheid hebben om snel te reageren op potentiële aanvallen, waardoor softwaregedefinieerde netwerken (SDN) een belangrijke aanpak zijn om niet alleen microsegmentatie na te streven, maar ook om het netwerk af te sluiten tijdens een mogelijk compromis.

SDN is echter niet de enige aanpak, zegt Winterfeld van Akamai.

“SDN gaat meer over het beheer van de bedrijfsvoering, maar afhankelijk van uw infrastructuur is dit misschien niet de optimale oplossing”, zegt hij. “Dat gezegd hebbende, heb je wel de voordelen nodig die SDN biedt, ongeacht hoe je je omgeving inricht.”

6. Realiseer je dat de voortgang iteratief zal zijn

Ten slotte is elk zero-trust-initiatief geen eenmalig project, maar een doorlopend initiatief. Niet alleen moeten organisaties geduld en doorzettingsvermogen hebben bij het inzetten van de technologie, maar beveiligingsteams moeten het plan opnieuw bekijken en aanpassen als ze met uitdagingen worden geconfronteerd (en overwonnen).

“Als je erover nadenkt om aan het zero-trust-traject te beginnen, is hun advies om te beginnen met het in kaart brengen van datastromen en het vervolgens segmenteren ervan precies goed,” zegt Winterfeld, “maar ik zou hieraan willen toevoegen dat dit vaak iteratief is, omdat je een periode van ontdekking zult hebben die vereist het plan bijwerken.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-operations/6-ciso-takeaways-nsa-zero-trust-guidance