De risico's van traditionele security-concepten

Medewerkers spelen een belangrijke rol bij het bepalen welke technologieën moeten worden geïmplementeerd binnen een organisatie. Zo is er steeds meer aandacht voor de balans tussen werk en privé, voor flexibiliteit in dagelijkse routines en hebben we in toenemende mate op afstand toegang tot bedrijfsgegevens - ongeacht waar deze zijn opgeslagen. Mobiliteit van werknemers leidt echter ook tot beveiligingsrisico's en de integriteit van applicaties en gevoelige bedrijfsdata staat op het spel. Hoe kunnen bedrijven omgaan met deze moderne vereisten en tegelijkertijd zorgen voor een soepele en veilige verbinding voor externe gebruikers?

Werknemers hoeven niet langer achter een bureau te zitten of op kantoor te zijn om hun werkzaamheden goed uit te voeren. Mobiele apparaten en cloud-applicaties bieden hen de mogelijkheid om overal te werken. Recent onderzoek van Atomik Research onder meer dan 400 IT-beslissers in Verenigd Koninkrijk, Frankrijk, Duitsland en de Benelux, bevestigt dat een groeiend aantal medewerkers via een mobiel apparaat data en applicaties in de cloud raadpleegt. Bij 71 procent van de Benelux-organisaties heeft meer dan de helft van het personeel toegang tot applicaties en data via mobiele apparaten.

Deze nieuwe manieren van werken dwingen organisaties om nieuwe strategieën te ontwikkelen voor veilige en efficiënte toegang tot data en applicaties vanaf elke locatie. Door de lancering van 5G wordt de verbinding van mobiele apparaten tot wel 10 keer sneller – wat medewerkers nog meer reden biedt om de traditionele IT-systemen de rug toe te keren. Dit dwingt organisaties om hun manier van denken te veranderen en hun services, netwerken en volledige security-strategie te herstructureren, om zo IT-beheer beter te faciliteren en de juiste support mogelijk te maken. De kern van deze hele verandering is gebaseerd op een kritische analyse van de bestaande IT-infrastructuur.

Traditionele security-maatregelen zijn niet langer effectief

Traditionele beveiligingsconcepten zijn gebouwd op vertrouwensbasis. Zodra een gebruiker op afstand toegang heeft gekregen tot het bedrijfsnetwerk via een VPN (Virtual Private Network)-verbinding, kan die gebruiker bij alle gegevens en applicaties (tenzij complexe netwerksegmentatie wordt toegepast). Dit soort onbegrensd vertrouwen kan echter gevaarlijk zijn voor de organisatie als geheel en het beveiligingssysteem ondermijnen.

Bij de meeste bedrijven maken externe gebruikers nog steeds verbinding met het interne netwerk en cloud-applicaties via VPN. Bijna de helft (49 procent) van de Europese CIO's / CISO's die tijdens dit onderzoek werden ondervraagd, verklaarden dat hun organisaties afhankelijk zijn van VPN's voor externe toegang tot alle bedrijfsapplicaties. In de Benelux maakt 'slechts' 1 op de 3 werknemers gebruik van VPN, wat een stuk lager is dan het VPN-gebruik in bijvoorbeeld Duitsland (48%), het Verenigd Koninkrijk (53%) en Frankrijk (61%).

Binnen digitale transformaties maakt 80 procent van de ondervraagde organisaties zich zorgen over de manier waarop werknemers toegang krijgen tot interne applicaties. De belangrijkste redenen voor deze zorgen zijn het gebruik van onveilige netwerken (34%), gevolgd door het gebruik van onbeheerde en onbeveiligde mobiele apparaten (21%).

Hierin ligt ook het zwakke punt van de klassieke remote-VPN. De verbinding met het netwerk wordt namelijk eerst tot stand gebracht en daarna volgen pas de firewall-restricties. Dat proces is niet alleen complex, maar ook gevoelig voor fouten en lastig aan te passen, waardoor het beveiligingsrisico hoger is. Wanneer het apparaat van een werknemer is aangetast, dan hebben ongeautoriseerde personen mogelijk toegang tot gevoelige informatie of kunnen ze malware in het netwerk plaatsen.

Zolang externe gebruikers rechtstreeks verbonden zijn met het volledige interne netwerk, is er een hoger risico op datalekken of een malware-infectie. Bovendien is de installatie en het beheer van een VPN-infrastructuur duur en arbeidsintensief. Dit wordt in het onderzoek ook vaak genoemd als reden om te zoeken naar alternatieve oplossingen. Op de vraag wat organisaties ervan weerhoudt om VPN te gebruiken, noemen IT-beslissers in de Benelux onder meer complexiteit (65%), slechte gebruikerservaring (47%) en hoge kosten (44%).

Dit toont aan dat traditionele IT-infrastructuren en security-concepten niet langer toereikend zijn. Ze zijn niet meegegroeid met het veranderende digitale speelveld, waarbij medewerkers dezelfde gebruiksvriendelijkheid verwachten bij het openen van applicaties zoals ze gewend zijn bij het privégebruik van cloud- of social media-apps.

Software-defined perimeter voor meer controle

Een aantal jaren geleden werd de 'zero trust'-aanpak geïntroduceerd als een nieuw security-concept dat het dilemma van onbegrensd vertrouwen bij remote access moest oplossen. Bij deze nieuwe aanpak is eenvoud het centrale uitgangspunt voor het veilig verbinden van gebruikers met hun applicaties, ongeacht het netwerk dat ze gebruiken of hun locatie.

Het idee achter een software-defined perimeter (SDP) is dat een gebruiker pas toegang krijgt tot de gewenste applicatie wanneer hij of zij is geautoriseerd voor toegang, als een eerste stap. Bij deze aanpak wordt niet langer het gehele netwerk geopend voor toegang tot één applicatie. Ook zijn applicaties alleen zichtbaar voor geautoriseerden en worden ze niet blootgesteld aan het internet. Complexe netwerksegmentatie is niet meer nodig omdat microsegmentatie wordt toegepast op applicatieniveau. Hierdoor wordt bovendien de uitbreiding van een malware-aanval in het netwerk automatisch voorkomen.

Door: Nathan Howe, Principal Architect Zscaler