image

'Zero Trust' maakt alle netwerken onbetrouwbaar

maandag 4 oktober 2010, 07:06 door Redactie, 6 reacties

Bedrijven moeten hun eigen personeel niet meer vertrouwen en al het verkeer, zowel inkomend als uitgaand, als onbetrouwbaar aanmerken en monitoren. Dat zegt John Kindervag van onderzoeksbureau Forrester. Hij predikt een 'Zero Trust' model, waarbij er geen onderscheid meer tussen het interne en het externe netwerk is. Volgens de analist is het huidige security 'trust model' kapot en niet meer van deze tijd.

"We willen dat ons netwerk een M&M is, met een krokante buitenlaag en een zachte binnenkant. Voor een generatie van security professionals was dit het motto waarmee we opgroeiden. Het was een motto gebaseerd op vertrouwen en de aanname dat aanvallers niet voorbij de buitenlaag zouden komen", aldus Kindervag. In het huidige dreigingslandschap zou dit geen effectieve manier meer zijn om de beveiliging te handhaven. "Zodra een aanvaller voorbij de buitenkant is, heeft hij toegang tot alle middelen in ons netwerk."

Muren
Bedrijven mogen dan sterke muren hebben gebouwd. "Maar goed georganiseerde cybercriminelen rekruteren insiders en ontwikkelen nieuwe aanvallen die eenvoudige onze bescherming omzeilen." Om deze dreigingen aan te pakken, moeten security professionals de zachte binnenkant elimineren en beveiliging overal in het netwerk aanbrengen en niet alleen aan de buitenkant. Doordat bedrijven al het verkeer loggen kunnen ze ook eerder misbruik waarnemen, merkt Kindervag op.

"Door het model voor verifiëren om te draaien kunnen we het paradigma van hoe we dingen doen helemaal veranderden. We moeten openstaan om anders te denken", aldus de analist.

Reacties (6)
04-10-2010, 10:04 door Anoniem
Dat laatste stukkie klinkt wat dromerig, maar wel een groot gedeelte eens met deze meneer.

De nieuwe manier van denken.
04-10-2010, 11:42 door Anoniem
Hmm, nieuw? Steve Riley predikte dit model al tijdens de TechEd van 2007 (among others), dus nieuw is het niet te noemen. Desalniettemin is het goed het nogmaals onder de aandacht te brengen, aangezien mijns inziens de onvermijdelijke weg is. Overigens zal Cloud Computing hier een goede rol in kunnen spelen, daar je via die weg al een betere splitsing krijgt tussen je (onveilige) LAN en het datacenter waar je belangrijke gegevens staan (uitgaande van het gemiddelde bedrijf).
04-10-2010, 11:56 door _Peterr
Heeft wel iets weg van het Jericho principe. Lijkt mij een goede richting.
http://nl.wikipedia.org/wiki/Jericho_Forum
04-10-2010, 16:09 door Anoniem
Behoorlijk mee eens ja; straks met IPV6 ondenkbaar om niet te doen.... Daar moet nog veel over geleerd worden.
04-10-2010, 20:24 door Anoniem
Goed idee idd, ook al is het niet nieuw.

Zelf ook wel eens aangedacht maar eigenlijk nog nooit in de praktijk gebracht gewoon omdat (zo goed als) niemand het doet, maar misschien wordt het daar toch eens tijd voor. (En zo ga ik zelf dus alweer de fout in door te zeggen dat het toch eens tijd wordt, het IS gewoon de tijd ervoor! niet uitstellen, the time is now :)
05-10-2010, 10:02 door Silver
Door Anoniem: Hmm, nieuw? Steve Riley predikte dit model al tijdens de TechEd van 2007 (among others), dus nieuw is het niet te noemen. Desalniettemin is het goed het nogmaals onder de aandacht te brengen, aangezien mijns inziens de onvermijdelijke weg is. Overigens zal Cloud Computing hier een goede rol in kunnen spelen, daar je via die weg al een betere splitsing krijgt tussen je (onveilige) LAN en het datacenter waar je belangrijke gegevens staan (uitgaande van het gemiddelde bedrijf).

Helemaal mee eens - dit is niet nieuw en deze John Kindervag is dan ook zeker geen held omdat ie het helemaal uitgevonden heeft.


Waar IT security naar toe moet is het Defense-in-depth principe: http://en.wikipedia.org/wiki/Defense_in_depth_(computing).

Als je dit combineert met de volgende principes dan ben je dr wel:

Don't trust the network
Don't trust the endpoint
Don't trust the user
Don't trust the application
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.