image

NCSC adviseert Zero Trust in plaats van traditionele kasteelmodel

woensdag 18 augustus 2021, 17:01 door Redactie, 20 reacties

Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties om voor een Zero Trust-model te kiezen, in plaats van het traditionele kasteelmodel. Zero Trust gaat ervan uit dat de binnenkant van het netwerk van een organisatie niet is te vertrouwen, zoals bij het traditionele kasteelmodel wel het geval is. In plaats daarvan wordt er gewerkt met fijnmazige netwerksegmentatie.

Zo wordt toegang tot informatie alleen via beveiligde verbindingen verschaft, ongeacht de locatie. Toegangscontrole vindt op een need-to-know-basis plaats en toegangsrechten worden op basis van mate van vertrouwen bepaald, die afgeleid wordt uit verschillende eigenschappen van de toegangsaanvraag (account, apparaat, ip-adres en locatie). Verder moet uitgebreide monitoring en logging worden toegepast.

Deze aanpak moet beter beschermen tegen aanvallen en datalekken dan bij oude modellen het geval is. "Het traditionele beveiligingsmodel, ook wel het kasteel- of kokosnoot-model, heeft structurele zwakheden en is onhoudbaar geworden door moderne malware- en ransomware-aanvallen. Het model schiet tekort wanneer het aankomt op de veranderde technologie en dreigingen van binnenuit", aldus het NCSC.

Zodra een aanvaller toegang tot het netwerk heeft gekregen, heeft hij bij deze oude modellen vaak vrij spel, aangezien de binnenkant van het netwerk als een veilige en vertrouwde zone wordt beschouwd. Bij Zero Trust wordt het netwerk in zijn geheel als onvertrouwd beschouwd. Zo wordt horizontale verplaatsing, het tussen systemen verplaatsen op zoek naar data om te exfiltreren, binnen het netwerk bemoeilijkt.

Het NCSC adviseert organisaties om een actieplan op te stellen om te zorgen dat Zero Trust kan worden toegepast bij toekomstige vervangings- of uitbreidingsinvesteringen. "Als u Zero Trust goed implementeert, dan leidt dit tot een minimale blootstelling aan aanvallen, een hogere continuïteit van kritieke processen, een verhoogde en kosteneffectievere compliance en een toekomstvaste architectuur", zo stelt de overheidsinstantie in een nieuwe factsheet over Zero Trust.

Reacties (20)
18-08-2021, 17:10 door Anoniem
Many of the concepts supporting zero trust are not new. John Kindervag, an industry analyst at Forrester (re)popularized the term "zero trust" but it was coined by April 1994 by Stephen Paul Marsh for his doctoral thesis on computational security at the University of Stirling.

zero trust network architecture ZTA ZTNA

https://en.wikipedia.org/wiki/Zero_trust_security_model
19-08-2021, 09:32 door Anoniem
Allemaal leuk in theorie maar zie het maar eens te implementeren in ziekenhuis of in een productie omgeving (bestaand)
Ik zie het niet gebeuren.
19-08-2021, 10:00 door Anoniem
Wij lopen in Nederland verachter, wereld spion Google heeft dit al minimaal 10 jaar in gebruik.
19-08-2021, 10:47 door Anoniem
Tsss.... Nu al?
19-08-2021, 10:54 door Anoniem
Door Anoniem: Wij lopen in Nederland verachter, wereld spion Google heeft dit al minimaal 10 jaar in gebruik.

Net als andere grote IT-spelers - https://www.microsoft.com/en-us/security/business/zero-trust.
Is inderdaad weinig nieuws aan, maar het is wel mooi om te zien dat de technologie ZT steeds beter ondersteunt (Conditional Access, etc).
19-08-2021, 10:58 door Anoniem
Door Anoniem: Allemaal leuk in theorie maar zie het maar eens te implementeren in ziekenhuis of in een productie omgeving (bestaand)
Ik zie het niet gebeuren.

Zero Trust is (net als beveiliging in algemene zin) een weg, geen doel of stap.
Ja, het zal tijd vragen, maar is doenlijk hoor, ook in bestaande omgevingen, ook in ziekenhuizen.
Daar zou men om te beginnen eens kunnen starten met toewerken naar "least privilege" (een van de ZT principes), sterke authenticatie en het met segmenteren/isoleren van apparatuur, etc.

Dat kan allemaal echt, als de business, de medici, etc, hun verantwoordelijkheid nemen en inzien dat security geen "IT-probleem" is, maar een probleem van de organisatie als geheel.
19-08-2021, 11:53 door Anoniem
Eindelijk komt het gedachtengoed van het Jericho Forum van begin deze eeuw weer van de plank....

Dat heeft dan wel bijna 20 jaar geduurd
19-08-2021, 13:35 door Anoniem
Door Anoniem: Eindelijk komt het gedachtengoed van het Jericho Forum van begin deze eeuw weer van de plank....

Dat heeft dan wel bijna 20 jaar geduurd

Even de laag stof van de boeken in de kast blazen...

The Jericho Forum was an international group working to define and promote de-perimeterisation. It was initiated by David Lacey from the Royal Mail, and grew out of a loose affiliation of interested corporate CISOs (Chief Information Security Officers), discussing the topic from the summer of 2003, after an initial meeting hosted by Cisco, but was officially founded in January 2004. It declared success, and merged with The Open Group industry consortium's Security Forum in 2014.

https://en.wikipedia.org/wiki/Jericho_Forum
19-08-2021, 13:46 door Anoniem
Het is in sommige gevallen natuurlijk ook gemakzucht om het niet te implementeren. Veel (RHbased) operating systems nadat ze geinstalleerd zijn hebben SELinux en Firewalling gewoon aan staan. Het is de beheerder die het vervolgens uit zet ipv in gebruik neemt. Aangezien veel bedrijven in de laatste 10 jaar ook wel een vorm van Configuration Management Systems gebruiken (bijvoorbeeld Ansible) wordt het nog makkelijker om het wel te implementeren.
19-08-2021, 14:05 door Anoniem
Door Anoniem: Allemaal leuk in theorie maar zie het maar eens te implementeren in ziekenhuis of in een productie omgeving (bestaand)
Ik zie het niet gebeuren.

Dat gaat niet vanzelf. Maar zoals als doel gaan stellen, en actieplannen maken - en budgetten reserveren- is wat een CIO/CISO moet doen. En bij nieuwe dingen als eis gaan stellen dat geschikt is om in een zero trust concept te werken.
Ook dus in een ziekenhuis of productieomgeving .

En het is uitstekend dat zo'n aanbeveling ook van het NCSC komt , voor extra gewicht .
19-08-2021, 16:37 door Anoniem
Door Anoniem: Het is in sommige gevallen natuurlijk ook gemakzucht om het niet te implementeren. Veel (RHbased) operating systems nadat ze geinstalleerd zijn hebben SELinux en Firewalling gewoon aan staan. Het is de beheerder die het vervolgens uit zet ipv in gebruik neemt. Aangezien veel bedrijven in de laatste 10 jaar ook wel een vorm van Configuration Management Systems gebruiken (bijvoorbeeld Ansible) wordt het nog makkelijker om het wel te implementeren.

+10 exact!

CM is essentieel hierbij om alle end points correct geconfigureerd te hebben en houden.
19-08-2021, 18:11 door Anoniem
Kop NIST ZTA ipv Kasteelmodel is niet zo handig.
Dit omdat NIST ZTA een uitbreiding is op defense in dept.
Met alleen met NIST ZTA beveiligen mis je te veel aanvalsvektoren.
19-08-2021, 18:34 door karma4
Door Anoniem: +10 exact!
CM is essentieel hierbij om alle end points correct geconfigureerd te hebben en houden.
Het wordt uitgezet omdat het in de praktrijk onwerkbaar is.
Wel verbazend dat een big broter insteek ineens als de goede security wordt gezien. Alles van iedereen weten en tot in detail willen voorschijven daar gaat heel veel mankracht (budget) in zitten.
19-08-2021, 23:00 door Anoniem
Ach, documentje van niks met tegenstrijdigheden:

Houd uw netwerksegmenten zo klein mogelijk.
...
Identificeer daarbij welke kritieke Data, Assests, Applicaties en/of Services (DAAS) u in het te beschermen compartiment wil plaatsen.

Maar er is altijd iemand die altijd bij alle informatie moet kunnen komen, zeker in een normaal bedrijf waar functies meerdere lagen omvat.

Dit factsheet document is papier om het papier. Het gaat om beheers kwaliteiten en integriteit van personen, maar dat concept blijken helaas weinigen te begrijpen bij J&V. Daar kunnen sommigen gewoon nooit bij, daar is discipline voor nodig.

Vandaar altijd de kleuren: rood wit blauw.
20-08-2021, 08:05 door Anoniem
Door karma4:
Door Anoniem: +10 exact!
CM is essentieel hierbij om alle end points correct geconfigureerd te hebben en houden.
Het wordt uitgezet omdat het in de praktrijk onwerkbaar is.
Wel verbazend dat een big broter insteek ineens als de goede security wordt gezien. Alles van iedereen weten en tot in detail willen voorschijven daar gaat heel veel mankracht (budget) in zitten.

onzin!

op RHEL staat SELinux std aan en heb je std de beschikking over ansible of andere meer traditionele CM tools (git/svn/ananconda-kickstart/bash/python etc. etc. etc.) als je geen zin in dat geyammel heb.

je kunt je RHC(S)A/E niet behalen als je niet op RHEL met SELinux overweg kunt!
20-08-2021, 10:52 door Anoniem
Militair classificatie model toepassen.
20-08-2021, 13:03 door Anoniem
Tekst en uitleg van de verschillen tussen het verouderde 'castle-and-moat' concept en de zero trust benadering:

Explainer: What is the Zero Trust Model?
https://phoenixnap.com/blog/zero-trust-security
20-08-2021, 18:45 door Anoniem
Door Anoniem: Militair classificatie model toepassen.

Van welke Defensie dan precies?

Bij onze Defensie verzanden ze snel in een papierwinkel.
20-08-2021, 21:18 door Anoniem
Door Anoniem: Tekst en uitleg van de verschillen tussen het verouderde 'castle-and-moat' concept en de zero trust benadering:

Explainer: What is the Zero Trust Model?
https://phoenixnap.com/blog/zero-trust-security

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
24-08-2021, 23:43 door Anoniem
Door karma4:
Door Anoniem: +10 exact!
CM is essentieel hierbij om alle end points correct geconfigureerd te hebben en houden.
Het wordt uitgezet omdat het in de praktrijk onwerkbaar is.
Wel verbazend dat een big broter insteek ineens als de goede security wordt gezien. Alles van iedereen weten en tot in detail willen voorschijven daar gaat heel veel mankracht (budget) in zitten.

Het is dat ransomware ook gratis is , het deblokeren doen zij wanneer je het vriendelijk vraagt?
Het kost gewoon ook al hoeft het geen big broter te zijn.Op een gegeven momment heb je zoveel data dat je de bomen door het bos niet ziet.En de technologie reuzen weten dit ... Waarom zouden zij uw connectie vervuilen met veel data
microsoft met zijn tegels facebook met zijn duimpjes en ander squarezever en dan kwetter en dan amazon enz enz
Zij willen alle beveiligers zeer moeilijk maken (ik heb ooit hun volledige ipranges geblockeert ) het was echt rustig op het netwerk.De spy van technoreuzen facebook en google zorgen voor afpersings mails éénmaal je de reclame van hen kan weghalen heb je ineens geen afpersingsmails meer.één om over na te denken voor je een website laat maken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.