PAM 
Identity Governance and Administration (IGA) speelt een belangrijke rol bij het bepalen wie toegang moet hebben tot gevoelige gegevens en wanneer die toegang moet worden verleend.
Gepubliceerd op januari 22, 2025
Naarmate cyberaanvallen steeds geavanceerder worden, worden de traditionele beveiligingsmodellen juist kwetsbaarder. Daarom moeten organisaties zorgen dat ze zero-trust beveiliging toepassen. Het belangrijkste verschil tussen traditionele en zero-trust beveiligingsmodellen is de manier waarop ze toegangscontrole benaderen. Traditionele beveiligingsmodellen gaan ervan uit dat gebruikers binnen hun netwerken vertrouwen hebben, terwijl zero-trust beveiliging standaard elke gebruiker en elk apparaat verifieert, waardoor continue authenticatie vereist is.
Lees verder om meer te weten te komen over de verschillen tussen zero-trust en traditionele beveiligingsmodellen, hoe traditionele beveiligingsmodellen tekortschieten en hoe een oplossing voor geprivilegieerd toegangsbeheer (PAM) organisaties helpt om zero-trust beveiliging te implementeren.
Wat is een traditioneel beveiligingsmodel?
Een traditioneel beveiligingsmodel is als een kasteel dat omringt is met een gracht, gebaseerd op een sterk verdedigingsprincipe. Zodra een geautoriseerde gebruiker zich binnen het bedrijfsnetwerk bevindt (oftewel ‘het kasteel’) is deze vertrouwd en heeft vrije toegang. Dit model richt zich op het beschermen van de omtrek met firewalls en virtuele privénetwerken (VPN’s) (oftewel ‘de gracht’) om ongeautoriseerde gebruikers buiten het netwerk te houden. Traditionele beveiligingsmodellen waren effectief indien de meeste of alle werknemers en apparatuur zich op de locatie begaven. De afgelopen jaren hebben organisaties echter hun netwerken opgeschaald en nieuwe beveiligingsmodellen overgenomen, zoals zero-trust beveiliging, om gedistribueerd werken en werken op afstand op grote schaal te ondersteunen.
Wat is een zero-trust beveiligingsmodel?
Een zero-trust beveiligingsmodel sluit impliciet vertrouwen uit en vereist continue identiteitsverificatie van alle gebruikers en apparaten voordat er toegang tot gegevens en systemen kan worden gegeven. Traditionele beveiligingsmodellen gaan ervan uit dat gebruikers binnen het netwerk kunnen worden vertrouwd. Daarentegen vereist zero-trust dat gebruikers bij elke toegangspoging moeten worden geverifieerd. Deze aanpak beperkt de risico’s die verbonden zijn aan impliciet vertrouwen, omdat alle gebruikers en apparaten steeds opnieuw worden geverifieerd bij het inloggen.
Belangrijkste verschillen tussen zero-trust en traditionele beveiligingsmodellen
Zero-trust en traditionele beveiligingsmodellen verschillen qua vertrouwensveronderstellingen, toegangscontroles, netwerkgrenzen, monitoring, beleid en preventie van bedreigingen.
Vertrouwensveronderstellingen
Een traditioneel beveiligingsmodel gaat ervan uit dat wanneer een gebruiker of apparaat zich eenmaal binnen het netwerk begeeft, deze ongeacht wat er gebeurt, kan worden vertrouwd. Een zero-trust beveiligingsmethode gaat er daarentegen van uit dat geen enkele gebruiker of apparaat standaard vertrouwd mag worden, ongeacht of deze zich binnen of buiten een netwerk bevinden. Terwijl traditionele beveiligingsmethoden gebaseerd zijn op impliciet vertrouwen, werkt zero-trust beveiliging op expliciet vertrouwen, omdat het de identiteit van gebruikers en apparaten steeds opnieuw verifieert voordat er toegang wordt verleend.
Toegangscontrole
Traditionele beveiligingsmodellen verlenen toegang op basis van de locatie van een gebruiker, bijvoorbeeld wanneer deze zich binnen een netwerk van een organisatie bevindt, waardoor de gebruiker vaak brede toegang heeft nadat deze is ingelogd. Zero-trust beveiliging verleent echter toegang op basis van strikte verificatie van de identiteit en het gedrag van een gebruiker of apparaat. Gebruikers krijgen slechts de minimale toegang die nodig is voor hun functie dankzij zero-trust beveiliging, wat de risico’s voor een organisatie beperkt in geval van een bedreiging van binnenuit, een cyberaanval of een datalek.
Netwerkgrenzen
Traditionele beveiligingsmodellen zijn gebaseerd op maatregelen rondom perimeterverdediging, zoals firewalls en VPN’s, om interne netwerken te beschermen tegen externe bedreigingen. Zero-trust beveiliging is daarentegen niet afhankelijk van een vaste grens. Het behandelt zowel interne als externe identiteiten op dezelfde manier en vereist constante verificatie. Dit zorgt ervoor dat cloudapplicaties en externe werkomgevingen net zo veilig zijn als lokale systemen.
Toezichthouding en logboeken
Traditionele modellen hebben vaak beperkte mogelijkheden betreft monitoring en logging, waardoor het risico toeneemt dat verdachte activiteiten over het hoofd worden gezien. Bovendien kan gebrekkige registratie het moeilijk maken om de oorzaak van incidenten te achterhalen wanneer ze zich voordoen. Zero-trust registreert nauwkeurig alle toegang en activiteiten, waardoor realtime monitoring mogelijk is. Hierdoor kunnen organisaties onmiddellijk eventuele afwijkingen detecteren en zonder vertraging passend reageren.
Veiligheidsbeleid
Een traditioneel beveiligingsbeleid is meestal statisch en blijft ongewijzigd na de eerste instelling. Hierdoor kan het lastig zijn om nieuwe bedreigingen aan te pakken of aan te passen aan veranderende omgevingen. Zero-trust beveiliging past daarentegen een dynamisch beleid toe dat zich aanpast op basis van gebruikersgedrag en context. Rolgebaseerde toegangscontrole (RBAC) kan bijvoorbeeld machtigingen wijzigen of bijkomende authenticatie vereisen wanneer er een ongewone activiteit wordt gedetecteerd. Daarnaast zorgt RBAC ervoor dat medewerkers die aan een specifiek project werken, alleen toegang krijgen tot relevante bronnen, waarbij machtigingen automatisch worden ingetrokken zodra het project is afgelopen.
Voorkomen van bedreigingen
Traditionele beveiligingsmodellen zijn gericht op het bieden van bescherming tegen externe aanvallen. Als cybercriminelen echter toegang krijgen tot het interne netwerk, kunnen ze zich lateraal door het netwerk bewegen, waardoor systemen en gegevens in gevaar komen en de potentiële schade toeneemt.
Zero-trust beveiliging beperkt dit risico door strikte netwerksegmentatie te handhaven en de toegang voor elke gebruiker en elk apparaat te beperken. Continue authenticatie voor alle communicatie en acties zorgt ervoor dat zelfs als er een inbreuk plaatsvindt, de gevolgen minimaal zijn. Geavanceerde mogelijkheden, zoals informatie over bedreigingen en machine learning, verbeteren bovendien de zero-trust beveiliging doordat ze effectiever zijn in het detecteren van en reageren op nieuwe bedreigingen.
Waarom traditionele beveiligingsmodellen tekortschieten
In vergelijking met zero-trust beveiligingsmodellen hebben traditionele beveiligingsmodellen verschillende kwetsbaarheden, zoals het verlenen van overmatige toegangsrechten aan gebruikers, zwakkere verdedigingsmechanismen door het toegenomen gebruik van clouddiensten, een gebrekkige reactie op interne bedreigingen en een gebrek aan segmentatie.
Overmatige toekenning van toegangsprivileges
Traditionele beveiligingsmodellen bieden gebruikers en apparaten vaak meer toegang dan dat ze daadwerkelijk nodig hebben. Dit model staat toe dat een gebruiker toegang heeft tot gevoelige gegevens zodra deze zich binnen het netwerk van een organisatie bevindt, ongeacht of dit noodzakelijk is voor hun werk. Zo kan het gebeuren dat wanneer een account wordt gehackt, de organisatie wordt blootgesteld aan meerdere beveiligingsrisico’s, waaronder datalekken. Aangezien zero-trust beveiligingsmodellen het principe van minimale privileges (PoLP) volgen, hebben gebruikers alleen toegang tot datgene wat nodig is, waardoor de schade door potentiële interne en externe bedreigingen wordt beperkt.
Beperkingen van perimeterverdediging door toenemende clouddiensten
Traditionele beveiligingsmodellen beschermen de netwerkperimeter van een organisatie met firewalls en VPN’s, volgens een ‘kasteel en gracht’-principe. Door het toegenomen gebruik van clouddiensten kunnen werknemers echter vanaf verschillende locaties werken, wat betekent dat gegevens buiten het fysieke netwerk van een organisatie kunnen worden opgeslagen. Dit maakt perimeterbeveiliging, die in traditionele modellen wordt gebruikt, minder effectief. Zero-trust beveiligingsmodellen beschermen gegevens en bronnen, ongeacht hun locatie, omdat elk toegangsverzoek altijd eerst wordt geverifieerd.
Gebrekkige reactie op interne bedreigingen
Omdat traditionele beveiligingsmodellen ervan uitgaan dat gebruikers binnen een netwerk automatisch betrouwbaar zijn, kunnen ze meestal geen bedreigingen van binnenuit detecteren. Als een werknemer bijvoorbeeld gegevens misbruikt of als een cybercrimineel de gestolen inloggegevens van een werknemer gebruikt om toegang te verkrijgen, is het vaak zo dat een traditioneel beveiligingsmodel de schadelijke activiteiten mogelijk niet kan identificeren, omdat alle gebruikers binnen het netwerk automatisch worden vertrouwd. Dit kan leiden tot ernstige schade binnen een organisatie, waaronder datalekken.
Gebrek aan segmentatie
Bij traditionele beveiligingsmodellen wordt een intern netwerk gezien als één vertrouwde ruimte, dus als een cybercrimineel toegang krijgt tot het netwerk, kan deze zich lateraal binnen het hele systeem bewegen. Het gebrek aan segmentatie in traditionele beveiligingsmodellen vergroot het risico dat een cybercrimineel zich vrij door het netwerk van een organisatie kan bewegen en mogelijk meer schade kan veroorzaken. In tegenstelling tot traditionele beveiligingsmodellen verdelen zero-trust beveiligingsmodellen het netwerk van een organisatie in kleinere segmenten om de toegang tot bepaalde delen van het netwerk te beperken.
Zo kan PAM ondersteuning bieden aan organisaties bij de implementatie van zero-trust beveiliging
Met behulp van een sterke PAM-oplossing kunnen organisaties overstappen van een traditioneel beveiligingsmodel naar een zero-trust beveiligingsmodel. Dit zijn een aantal manieren waarop een PAM-oplossing organisaties kan ondersteunen bij het implementeren van zero-trust beveiligingsmodellen.
Het principe van minimale privileges afdwingen (Principle of Least Privilege, PoLP)
Aangezien het beveiligingsmodel PoLP handhaaft, zorgt PAM ervoor dat gebruikers alleen toegang hebben tot de bronnen die nodig zijn voor hun taken. Deze beperking vermindert het risico op ongeautoriseerde toegang en minimaliseert potentiële schade als het account van een werknemer wordt gehackt. In plaats van een werknemer volledige toegang te geven tot gevoelige gegevens die niet nodig zijn voor hun functie, ondersteunt PAM rolgebaseerde toegangscontrole (RBAC) en verleent werknemers alleen toegang tot wat ze nodig hebben om hun specifieke taken uit te voeren.
Optimaliseren van machtigingen wanneer nodig
Met een PAM-oplossing zoals KeeperPAM® van Keeper Security kunnen organisaties Just-in-Time (JIT)-toegang geven aan gebruikers, waardoor zij indien nodig tijdelijk toegang kunnen krijgen tot gevoelige gegevens. JIT-toegang vermindert niet alleen de permanente privileges, maar minimaliseert ook het aanvalsoppervlak van een organisatie door ervoor te zorgen dat inloggegevens alleen geldig zijn voor de duur van een bepaalde taak, in overeenstemming met zero-trust beveiligingsprincipes. PAM elimineert permanente toegang binnen organisaties en verleent alleen privileges wanneer dit nodig is voor specifieke taken binnen een bepaald tijdsbestek, waarna deze privileges worden ingetrokken. Het is ook mogelijk om automatische wachtwoordroulatie in te stellen. Dit wordt uitgevoerd na het intrekken van de toegang om ervoor te zorgen bronnen veilig blijven.
Bewaken en beheren van privileged accounts en sessies
PAM bewaakt en volgt continu geprivilegieerde accountactiviteiten, zodat organisaties verdacht gedrag kunnen identificeren en aan de hand van realtime monitoring kunnen reageren op potentiële beveiligingsbedreigingen. Naast realtime meldingen stelt Keeper’s Advanced Reporting and Alerts Module (ARAM) beheerders en nalevingsteams in staat om beveiligingsincidenten te bewaken en ongebruikelijk gedrag van apparaten te detecteren. Als een beheerder bijvoorbeeld buiten kantooruren toegang probeert te krijgen tot gevoelige financiële gegevens, zal een PAM-oplossing het beveiligingsteam van de organisatie hiervan op de hoogte brengen, zodat ze onmiddellijk actie kunnen ondernemen.
MFA-integratie
Een PAM-oplossing zoals KeeperPAM versterkt de authenticatie door multifactorauthenticatie (MFA) te integreren, waardoor een extra beveiligingslaag wordt toegevoegd. Dit betekent dat de identiteit van gebruikers wordt geverifieerd voordat ze toegang krijgen tot gevoelige informatie. MFA zorgt ervoor dat zelfs als de inloggegevens van een gebruiker worden gestolen, cybercriminelen geen toegang hebben tot gevoelige informatie zonder een aanvullende vorm van verificatie, in overeenstemming met zero-trust beveiligingsprincipes.
Segmentatie en isolatie van bronnen
PAM handhaaft strikte toegangscontroles door bronnen te segmenteren, zodat gebruikers alleen toegang krijgen tot de specifieke systemen waarvoor ze toestemming hebben gekregen. Dit minimaliseert de kans dat cybercriminelen zich lateraal binnen een netwerk kunnen bewegen als ze ongeautoriseerde toegang krijgen. Omdat netwerksegmentatie fundamenteel is voor zero-trust beveiliging, biedt PAM organisaties essentiële tools om hun algemene beveiliging te versterken.
Zero-trust naadloos implementeren met KeeperPAM®
Organisaties kunnen zero-trust beveiligingsmodellen naadloos implementeren met KeeperPAM Door toegang met minimale privileges te handhaven, machtigingen te optimaliseren, geprivilegieerde accounts te bewaken en te beheren, MFA te integreren en netwerken te segmenteren, ondersteunt KeeperPAM alle gebieden binnen een organisatie met betrekking tot cybersecurity.
Vraag vandaag nog een demo aan van KeeperPAM om het toegangsbeheer van uw organisatie te verbeteren en een zero-trust beveiligingsmodel te implementeren.
