Technologie is de afgelopen decennia onophoudelijk complexer geworden. Dit gaat gepaard met groeipijn, die vooral wordt gevoeld in de beveiliging. Eindgebruikers hebben inmiddels meer soorten applicaties nodig, maar dit biedt kwaadwillenden ook meer kansen om via de eindgebruiker het bedrijfsnetwerk binnen te dringen. Gevolg is dat IT de beveiliging meer en meer aanscherpt, waardoor het gebruiksgemak (en de productiviteit) wordt beperkt. Hoe kom je als organisatie uit die ongemakkelijke spagaat?
Niek Boevink
Beveiligingsmaatregelen zijn alleen effectief als de eindgebruiker ze accepteert. Technologie die mensen hindert, wordt vroeg of laat omzeild: als er een olifantenpaadje is waardoor je je werk gemakkelijker kunt doen, dan gebruik je het. Dit leidt tot kwetsbaarheden in de beveiliging van het netwerk. De bekendste is het wachtwoordprobleem. Iedere app heeft een wachtwoord nodig en elke app stelt andere eisen. Hoofdletters, kleine letters, lengte, leestekens – alles om de specifieke omgeving veilig te houden. Bovendien is het voor de veiligheid nodig dat je je wachtwoord regelmatig verandert. En omdat kwaadwillenden steeds slimmer worden, worden de wachtwoordvereisten tot overmaat van ramp voortdurend ingewikkelder. Dit systeem is voor medewerkers niet vol te houden.
> LEES OOK: Thuiswerken maakt endpointbeveiliging steeds belangrijker
Ingewikkelde beveiliging wordt omzeild
Ingewikkelde of omslachtige beveiliging hindert de productiviteit van werknemers, waardoor zij sneller geneigd zijn beveiligingsmaatregelen te omzeilen. Het wachtwoordprobleem kunnen ze bijvoorbeeld oplossen door voor iedere applicatie hetzelfde wachtwoord te gebruiken. Ook voor andere beveiligingsmiddelen is een ‘oplossing’.
Trage internetverbinding door een VPN? Dan wordt er al snel gebrowset buiten die verbinding om. Draconische beveiligingsmaatregelen verhelpen dit probleem niet.
Ingewikkelde of omslachtige beveiliging hindert de productiviteit waardoor werknemers sneller geneigd zijn beveiligingsmaatregelen te omzeilen.
> LEES OOK: Worstelen met wachtwoorden
Sterke internetverbinding
Een sterke netwerkbeveiliging begint bij een werkomgeving die je toegang geeft tot alle apps en data die je nodig hebt, zonder dat je steeds opnieuw hoeft in te loggen (single sign-on ofwel SSO). Maar dat is ook een risico. Want net als iemand die één wachtwoord voor alle applicaties gebruikt, creëer je hiermee een single point of failure. Dus vervolgens moet je die ene inlog op de best mogelijke manier beveiligen. Bijvoorbeeld met een zeer complex wachtwoord dat je regelmatig wijzigt, of met een wachtwoordmanager. Maar ook daarmee behoud je het wachtwoordprobleem en de single point of failure. Met netwerkverbindingen is het niet anders. Een VPN is een makkelijke maar kwetsbare manier om je met het bedrijfsnetwerk te verbinden.
> LEES OOK: VPN: tool met impact voor beveiligingsmanagers
Frictieloze beveiliging
Het is dan ook geen verrassing dat beveiliging steeds meer bouwt op fysieke controlemechanismen zonder wachtwoord. Een goed beveiligde dongel bijvoorbeeld of biometrische oplossingen zoals Veridium en Yubikeys.
Smartphones zijn populaire verificatie-methoden
Ook smartphones zijn populaire middelen om inlogpogingen te verifiëren. Dit soort fysieke controlemechanismen heeft het voordeel dat je ze altijd bij je draagt en dat frauderen zeer complex wordt: een vingerafdruk is lastig te falsificeren. Met behulp van fysieke beveiligingsmethoden is single sign-on niet automatisch een single point of failure meer.
Monitoring en detectie als extra toegangsverificatie
Toch is het verstandig om naast toegangsverificatie een derde stap toe te voegen: monitoring en detectie.
Vergelijk het met de bewaking in een kantoorgebouw. Het kan niet zo zijn dat inbrekers via een open raampje binnenkomen en daarna ongestoord hun gang kunnen gaan. Ook op kantoor moet je hun aanwezigheid en acties kunnen detecteren, zodat je direct kunt ingrijpen.
Een goede nachtwaker gaat uit van Zero Trust
Zie zo’n monitoring- en detectiemechanisme dus als een nachtwaker die ervoor zorgt dat criminelen binnen je netwerk hun ding niet kunnen doen. Met slim gebruik van algoritmen kun je dit proces grotendeels automatiseren, zodat de beveiligingsexperts in je bedrijf zich kunnen focussen op het verhelpen van dreigingen en niet heel veel tijd kwijt zijn aan netwerkmonitoring.
Een goede nachtwaker gaat volgens Citrix uit van Zero Trust: het idee dat iedere vorm van beveiliging in principe onbetrouwbaar is. Alle methodes waarmee werknemers hun identiteit kunnen verifiëren ten spijt, ben je er als organisatie nooit honderd procent zeker van dat verificatie an sich onfeilbaar is. Je hebt een veiligheidsnet nodig.
Je kunt onmogelijk het ene moment in Amsterdam en het andere moment in Azië zijn
Zero Trust kijkt niet alleen naar de verificatiemethoden, maar ook naar de context. Zelfs als je inlogt met je smartphone of een dongel, of zelfs een vingerafdruk, dan nog moet het monitoringssysteem kunnen zien dat jij onmogelijk het ene moment in Amsterdam en het andere moment in Azië kunt zijn.
Flexibiliteit
Ook moet het systeem detecteren wanneer gebruikers toegang proberen te krijgen tot informatie waartoe ze voor hun werkzaamheden geen toegang behoren te hebben. Of dat ongebruikelijke transacties worden verricht. Op dat moment moet het systeem automatisch alarm slaan of zelfs ingrijpen als dat nodig is.
Geen spagaat tussen gebruiksgemak en beveiliging
Met Zero Trust is er dus eigenlijk volgens Citrix geen spagaat tussen gebruiksgemak en beveiliging. Het biedt juist meer mogelijkheden om de twee zaken beter met elkaar te verbinden. Zo stelt Zero Trust je als organisatie beter in staat meerdere verificatiemethoden aan te bieden, zodat eindgebruikers de methode kunnen kiezen die hun productiviteit het minst belemmert en hen de beste persoonlijke werkervaring biedt. Deze flexibiliteit is essentieel voor de toekomst van werk, waar hybride werkmodellen centraal staat. Iedereen werkt (ergens) anders, maar heeft toch toegang nodig tot dezelfde systemen. Door met Zero Trust de context van die toegang te monitoren, zit strikte beveiliging gebruiksgemak niet meer in de weg.
Niek Boevink is Senior Sales Engineer bij Citrix
Volg Security Management op LinkedIn
