Op 18 augustus publiceerde het Nationaal Cyber Security Center (NCSC) een factsheet ‘Bereidt u voor op Zero Trust’. In de factsheet gaat het NCSC in op waarom Zero Trust belangrijk is en welke componenten hier belangrijk zijn.  Het traditionele beveiligingsmodel, waarbij de beveiligingslaag zich voornamelijk bevindt op de grens tussen het bedrijfsnetwerk en de buitenwereld, voldoet niet meer om te beschermen tegen de moderne malware- en ransomware-aanvallen die veelal van binnenuit komen. Op het moment dat een aanvaller toegang krijgt tot het netwerk bevindt hij zich tussen de muren, voorbij de beveiliging en kan op dat moment overal bij wanneer er geen maatregelen zijn getroffen. Daarbij bevinden zich steeds meer diensten buiten het bedrijfsnetwerk, waardoor de grenzen tussen buiten en binnen steeds meer vervagen en een nieuwe aanpak nodig is.

Om die redenen is het belangrijk om over te schakelen naar een Zero Trust model. Hierbij wordt het gehele netwerk beschouwd als onvertrouwd. Het Zero Trust model is een verzameling van maatregelen: Netwerksegmentatie, Authenticatie, Autorisatie, Automatisering en Monitoring. Ivanti biedt oplossingen die helpen deze maatregelen te implementeren binnen uw IT organisatie.

Netwerksegmentatie

Het NCSC schrijft voor om het netwerk op te knippen in verschillende losstaande omgevingen met eigen perimeter, zogeheten Micro Segmentatie. Met het implementeren van Micro Segmentatie in het netwerk, worden er specifieke regels voor netwerkverkeer vastgesteld tussen specifieke zones. Zo kan worden voorkomen dat een kwaadwillende vanuit één locatie in het netwerk bij alle componenten in de gehele infrastructuur kan komen. Andere systemen worden dan beschermd omdat ze in hun eigen veilige zone zijn.

Ivanti biedt verschillende oplossingen om netwerksegmentatie toe te passen en te ondersteunen. Ivanti Neurons for Secure Access (nSA) & Zero Trust Access (nZTA) zorgen ervoor de micro segmenten op een veilige manier ontsloten en bereikt kunnen worden. Deze oplossingen controleren niet alleen degene die toegang vraagt, maar ook het apparaat waarvan wordt verbonden. Zo wordt er gekeken of bijvoorbeeld de volgende componenten bijgewerkt en actief zijn: Antivirus, Firewall, Patches, Diskencryptie en Certificaat.

Voor onze healthcare klanten zorgt Ivanti Neurons voor Healthcare voor het in kaart brengen van de medische apparatuur in het netwerk, de kwetsbaarheden en dataverkeersstromen. Met die informatie geeft Ivanti Neurons voor Healthcare advies hoe de kwetsbaarheden verholpen of beperkt kunnen worden, o.a. door advies te geven voor bijvoorbeeld north-south en east-west segementatie.

Met deze oplossingen kunnen microsegmenten worden gecreëerd, gecontroleerd en benaderd. Zowel on-premise, in de cloud of in een hybride model.

Eventueel kan op managed of semi-managed devices ook Ivanti Application Control worden geplaatst. Deze kan op basis van context van de gebruiker een extra laag van beveiliging toevoegen in de vorm van application network access control, een extensie van de firewall. Hierbij is het mogelijk om een applicatie alleen te laten verbinden naar een bepaalde server/ip adres en op een bepaalde poort. Dit kan voor dezelfde applicatie variëren op basis van de context van de gebruiker.

Authenticatie

Om verbinding te maken met de verschillende services binnen de microsegmenten evalueert Ivanti Neurons for Secure Acces & Zero Trust Access of het device voldoet aan de gestelde regels. Vanuit het security oogpunt voor gebruikers, wordt geadviseerd om gebruik te maken van Multi Factor Authenticatie en een centrale Identity Provider. Wachtwoorden moeten aan steeds meer eisen voldoen en dat maakt het steeds lastiger om deze te onthouden. Daarnaast wordt een sms-code ook niet meer als veilige beschouwd. Om die reden biedt Ivanti Zero Sign-On aan. Gebruikers identificeren zich via biometrische gegevens op hun telefoon en krijgen op deze manier toegang tot hun desktop en gekoppelde diensten/services. Gebruikers hoeven geen wachtwoorden meer te onthouden. De wachtwoorden worden vervangen door (voor de gebruiker onzichtbare) veilige certificaten en kunnen daardoor ook niet per ongeluk in ‘openbare’ lijsten terecht komen van gestolen wachtwoorden. En na vertrek van de medewerker worden certificaten ingetrokken en is toegang per direct geblokkeerd.

Autorisatie

Het NCSC adviseert binnen applicaties te werken op basis van ‘principle of least privilege’. Dit betekent dat een medewerker of gast alleen toegang krijgt tot tools, data en netwerksegmenten die daadwerkelijk nodig zijn voor het werk dat diegene doet. Ivanti Identity Director helpt hierbij door rechten automatisch toe te wijzen, veranderen en/of in te trekken op basis van persoonsattributen (ABAC model).  Dat is flexibeler dan rol gebaseerde toegang verlenen (RBAC), omdat hierbij niet alleen naar de rol van de medewerker wordt gekeken maar ook naar andere attributen zoals standplaats, bepaalde rol in het bedrijf of behaalde certificeringen.  Bij een functieverandering van een medewerker kunnen rechten worden ingetrokken, nieuwe rechten toegewezen of rechten aangepast. Bij het verlaten van het bedrijf worden van alle diensten de rechten ingetrokken.

Ivanti Identity Director kan ook ingezet worden om beheerders niet zomaar toegang te geven tot de back end systemen. Zij kunnen via Identity Director toegang voor bepaalde tijd aanvragen, waarbij ze een tijdelijk beheeraccount krijgen voor die systemen, die na verloop van tijd automatisch weer wordt ingetrokken. Hetzelfde kan natuurlijk ook voor andere medewerkers die tijdelijk toegang moeten krijgen tot een bepaalde dienst of tijdelijke andere rechten nodig hebben. Ook die kunnen aangevraagd worden en, al dan niet met een goedkeuring van een manager, automatisch uitgeleverd worden.

Automatisering

Het NSCS praat alleen over het automatiseren van de informatiestromen voor monitoring. Bij Ivanti gaan we met automatiseren nog een stap verder. Door een “shift left” te maken binnen support, wordt het mogelijk om gebruikers snel zelf hun problemen te laten oplossen of hen toegang te geven tot bepaalde diensten (eventueel voor een bepaalde tijd). Binnen support is een shift left te maken van 2de naar 1ste lijn medewerkers, zonder dat deze medewerkers meer toegang krijgen in de achterliggende systemen door veel voorkomende taken te automatiseren. Hierdoor blijft toegang tot deze achterliggende systemen beperkt tot een kleinere groep beheeraccounts.

Ivanti Neurons for Healing zorgt ervoor dat problemen op endpoints door workflows automatisch worden opgelost, voordat de gebruiker dit opmerkt. Ivanti Neurons for Zero Trust Access kan remediation automatisch starten en zorgen dat het endpoint zo snel mogelijk weer veilig is.

Met het eerdere genoemde ivanti Neurons for Secure Access, kan worden bijgedragen aan de Automatisering zoals voorgeschreven door het NCSC. Deze oplossing intergreert met diverse vendoren voor Firewalls, WLAN/LAN, SIEM’s en MDM oplossingen. Door bi-directionele koppelingen kan informatie uitgewisseld worden en op basis van gestelde regels toegang worden verleend of ontnomen op netwerkniveau. Hiermee creeëren we een centraal punt voor het beheren van microsegmentatie die ondersteund wordt door automatisering.

Monitoring

Het NCSC advies is uw SOC/SIEM-medewerkers op de hoogte te houden van de segmentering op het netwerk alsmede ook de veranderingen in autorisatie en de informatie uit overige systemen. Oplossingen van Ivanti worden standaard geleverd met mogelijkheden om te integreren met monitoringsoplossing zoals al is gemeld bij Ivanti Neurons for Secure Acces. Daarnaast is Ivanti aan het onderzoeken hoe Ivanti Neurons (ons Hyper-Automation platform) kan bijdragen om snel (security) kritische veranderingen op te merken en zo inzicht te geven aan de beheerders voor passende acties. Ivanti Neurons voor Healthcare houdt continue uw netwerk in de gaten om inzicht te geven in de kwetsbaarheden met betrekking tot medische apparaten en de in augustus overgenomen RiskSense techniek in de vorm van Ivanti Neurons for Risk-Based Vulnerability Management, helpt prioriteiten te stellen over welke kwetsbaarheden er als eerste aangepakt moeten worden.

En hoe nu verder….

Zero Trust is een reis, geen bestemming. Zero Trust wordt niet in één keer geïmplementeerd, het gaat met stappen.

Begin bijvoorbeeld eerst met een aantal kleine segmenten door Ivanti Neurons for Secure Acces & Zero Trust Access toe te passen of voer Zero Sign-On voor enkele diensten en systemen in, om wachtwoorden te elimineren en voeg langzaam steeds meer diensten en systemen hieraan toe of start met Identity Director om ‘principle of least privilege’ toe te passen en te automatiseren.

Bovenstaande oplossingen kunnen gefaseerd geïmplementeerd worden om zo de medewerkers niet te overrompelen en de bestaande investeringen teniet te doen.

Wij kunnen u bij Ivanti helpen een roadmap op te stellen naar een veiligere omgeving en u helpen bij de implementatie.  Neem voor meer informatie contact op met uw accountmanager of via het contactformulier op ivanti.nl