Van zero trust naar zero trust data resilience
Organisaties moeten zich continu aanpassen om te overleven in een steeds veranderende werkomgeving. Dit geldt ook voor de beveiligingsconcepten die zij gebruiken. Steeds vaker gaat het niet alleen om een beveiligingsconcept, maar om een bepaalde mindset. Dit gaat ook op voor zero trust.
Tijden veranderen
Een kat- en muisspel, een wapenwedloop, noem het wat je wilt, beveiliging ging altijd over aanpassen en evolueëren om cybercriminelen voor te blijven. Tegelijkertijd experimenteren cybercriminelen natuurlijk ook constant om hun doelwitten voor te blijven. Het spreekt voor zich dat de beveiligingstools die vroeger werden gezien als de benchmark, nu niet meer efficiënt zijn tegen moderne cyberbendes. Het zijn niet alleen de tools die geëvolueerd zijn, maar ook de mindset - hoe we denken over beveiliging en de manier waarop we beveiligingstools gebruiken is ook veranderd.
Zero trust is hier een goed voorbeeld van. Ooit werd de beveiliging enkel ingericht om de perimeter te beschermen, het was een gracht rond een kasteel. Als je er eenmaal in was, was je erin. Naarmate steeds meer medewerkers ook buiten die perimeter aan het werk gingen, moest die aanpak veranderen. Beveiligingsmaatregelen moeten nu gelden voor zowel binnen als buiten de vier muren van het kantoor. Dit is waar zero trust als best practice zijn intrede deed. De deuren zijn op slot, een bewijs van identiteit is vereist en medewerkers hebben geen toegang tot het deel van de omgeving waar zij niet hoeven te zijn.
Maar het ding bij evolutie is… dat het nooit echt stopt.
Zero trust data resilience
Zelfs de meest gebruikte zero trust-modellen bevatten fatale fouten wanneer zij toegepast worden in moderne omgevingen. Er is namelijk een gebrek aan ondersteuning voor data back-up en -herstel. Dit valt extra op nu cybercriminelen steeds vaker proberen back-up repositories te raken. Volgens het 2023 Veeam Ransomware Trends Report waren back-up repositories in maar liefst 93% van de gevallen een doelwit.
Data back-up en -herstelsystemen zijn een essentieel onderdeel van enterprise IT en moeten gezien worden als onderdeel van de beveiligingsstack. Het volgen van moderne zero trust-principes tot achter de komma maakt een organisatie redelijk waterdicht als het gaat om ‘traditionele’ beveiliging, maar het laat een enorm gat open als het gaat om back-up en herstel. Zero trust is te gelimiteerd nu dreigingen continu blijven evolueren. Daarom is het concept zero trust data resilience ontstaan. Een evolutie van zero trust, die in wezen de reikwijdte verruimt om ervoor te zorgen dat back-up en herstel dezelfde principes volgen.
Zorg ervoor dat back-ups veilig zijn voor herstel
Het kernconcept blijft hetzelfde. Het ‘least privilege’-principe en een ‘assume breach’-mentaliteit staan nog steeds centraal. Bijvoorbeeld, back-up-beheersystemen moeten geïsoleerd worden op het netwerk zodat niet-geautoriseerde gebruikers hier geen toegang tot hebben. Ook het back-up-storagesysteem moet geïsoleerd worden. Daarnaast is immutability belangrijk. Het hebben van back-upgegevens die niet kunnen worden gewijzigd of waarmee kan worden geknoeid, betekent dat opslagplaatsen die worden bereikt door aanvallen zoals ransomware, niet kunnen worden beïnvloed door de malware.
Het anticiperen op een inbraak betekent ook dat organisaties hun back-ups niet impliciet zouden moeten vertrouwen na een aanval. Het hebben van processen om de back-up correct te valideren of ‘op te schonen’ voordat IT-teams proberen het systeem te herstellen, is cruciaal om ervoor te zorgen dat ze niet een nog steeds gecompromitteerde omgeving herstellen. Verder is het belangrijk om meerdere kopieën te hebben van back-ups voor het geval er één (of meer) gecompromitteerd zijn. Een best practice is om drie kopieën van een back-up te hebben, twee opgeslagen op verschillende mediatypen, één op locatie en één offline. Met deze lagen van veerkracht kan een organisatie zijn back-up als zero trust gaan beschouwen.
Stap voor stap
Zero trust data resilience is, net als zero trust, een continue traject. Je kunt het niet allemaal in één keer implementeren. Volg in plaats daarvan een ’maturity model’ waarin je geleidelijk nieuwe praktijken implementeert en deze in de loop van de tijd verfijnt. Begin bijvoorbeeld handmatig en implementeer in de loop van de tijd technologie om processen te automatiseren en routine validatieprocessen in te plannen.
Een ander belangrijk aspect is buy-in - iedereen in de organisatie moet samen op het zero trust-traject. Senior leiderschap is essentieel om bredere veranderingen te implementeren in de organisatie. Het is echter net zo belangrijk om medewerkers mee te nemen in het proces en hen op de hoogte te brengen van nieuwe ontwikkelingen die ervoor nodig zijn om deze te laten slagen. Als laatste, en dit geldt vooral voor zero trust data resilience, moeten beveiligings- en IT-teams op één lijn zitten. Back-ups vallen vaak onder de verantwoordelijkheid van IT-teams, ondanks dat dit steeds belangrijker wordt voor de beveiligingsposture. Deze teams moeten samenwerken om silo’s of lekken in de beveiliging te voorkomen.
Er is geen eindstation in de ontwikkeling van de beveiligingsconcepten die organisaties veilig houden. Het is beter om vandaag meteen stappen te zetten, hoe klein ook, om zero trust data resilience te adopteren, in plaats van het uit te stellen en daardoor achterop te raken in de wapenwedloop met cybercriminelen.
Door: Dave Russell, Vice President, Enterprise Strategy bij Veeam
