CISA's bijgewerkte Zero-Trust-model

Het bijgewerkte Zero-Trust-model van CISA

Door Danny Bradbury • 12 September 2023

Zero trust was misschien ooit slechts een modewoord voor analisten, maar het heeft nu het officiële goedkeuringsstempel van de Amerikaanse overheid. De Cybersecurity & Infrastructure Security Agency (CISA) heeft de tweede versie uitgebracht van een handleiding voor de implementatie van dit beveiligingsmodel. Het belooft meer te zijn dan alleen maar plankwaar, omdat federale agentschappen de opdracht hebben gekregen om zero-trust-principes met strakke deadlines aan te nemen.

Wat is Zero Trust?

Hoewel de term 'zero trust' de laatste tijd veel aandacht heeft gekregen in de pers, zijn de onderliggende concepten goed ingeburgerd. De term dook voor het eerst op in de IT-sector buiten nichekringen in 2010, als onderdeel van een rapport van Forrester Research. De ideeën die het vertegenwoordigt – de noodzaak om alles te verifiëren in een onbetrouwbare omgeving – dateren echter al veel eerder.

Het Jericho Forum van de Open Group luidde in 2004 de erosie van de traditionele netwerkperimeter in en noemde dit deperimeterisatie. Naarmate bedrijven gegevens uitwisselden met zakenpartners en steeds meer van hun activa buiten het kernnetwerk van het bedrijf plaatsten, werd het een steeds grotere uitdaging om wie of wat dan ook gedachteloos verbinding te maken te vertrouwen. In plaats van het oude citadelmodel, waarbij het netwerk een ondoordringbare harde buitenmuur had, was de IT-infrastructuur meer een reeks kampementen geworden, die elk een aantal activa huisvesten en hun eigen bescherming nodig hadden.

Dit veranderde de manier waarop IT-systemen mensen authenticeerden. Vroeger, als je over de inloggegevens beschikte om toegang te krijgen tot het netwerk, werd je vertrouwd en kon je overal naartoe. Zero trust laat dat idee varen. In plaats daarvan is er geen enkele barrière waar je overheen kunt komen. Elke digitale deur in het huis heeft een hangslot en je moet een sleutel hebben.

Het Witte Huis koopt in

De Amerikaanse regering heeft het zero-trust-concept overgenomen en heeft er eerst voor gepleit Executive Order 14028 in mei 2021. In januari daarop volgde het mandaat voor zero trust. Deze kwamen in de vorm van Nationaal Veiligheidsmemorandum 8 (NSM-8), waarin het gebruik ervan in de nationale veiligheidsgemeenschap werd geïnstrueerd, en de memo MS-22-09 van het Office of Management and Budget. Deze laatste gaf federale agentschappen opdracht om tegen eind volgend jaar zero-trust-maatregelen te implementeren.

CISA, het ministerie van Binnenlandse Veiligheid dat zich bezighoudt met de cyberveiligheidskant van de binnenlandse veiligheidsinspanningen, begeleidt federale organisaties en de particuliere sector bij dit soort kwesties. Het publiceerde plichtsgetrouw zijn Zero-Trust Maturity Model in september 2021, zoals voorgeschreven door de Executive Order. Dit document was bedoeld om agentschappen te helpen bij de overgang naar het nieuwe model.

Het Agentschap heeft in april van dit jaar een update van deze gids uitgebracht na een openbare consultatieperiode. De belangrijkste verandering in de tweede versie is de toevoeging van een nieuwe volwassenheidsfase in de reis van een organisatie naar het zero-trust nirvana.

Er waren oorspronkelijk drie fasen: traditioneel, geavanceerd en optimaal. Traditioneel was in feite ‘business-as-usual’, met vrijwel geen samenhangende zero-trust-implementatie.

Bedrijven op het traditionele niveau die ook maar enig werk op basis van zero trust hadden gedaan, hadden dit binnen een beperkte reikwijdte gehouden. Het volwassenheidsmodel schetst vijf pijlers om het werk van de implementatie van zero trust te verdelen, waarmee de omvang van de vereiste verandering wordt aangegeven. Deze pijlers zijn identiteit, apparaten, netwerken, applicaties en workloads, en data. Bedrijven op het traditionele niveau die zich richten op zero trust, werken per pijler, in plaats van een meer samenhangende aanpak te hanteren.

Het volwassenheidsmodel schetst drie 'transversale' capaciteiten die zich over elk van deze pijlers uitstrekken om federale agentschappen en instellingen uit de particuliere sector te helpen de zero-trust-behoeften breder aan te pakken. Deze drie gebieden zijn zichtbaarheid en analyse, automatisering en orkestratie, en bestuur.

In commentaar op de eerste versie van de gids werd betoogd dat de sprong tussen traditioneel en geavanceerd te groot was. In plaats daarvan vroegen ze om een extra fase die de twee zou overbruggen. CISA reageerde door na Traditioneel een Initiële fase toe te voegen. Ook werd de taal voor de andere, meer gevorderde stadia binnen de vijf pijlers aangepast om tegemoet te komen aan het extra volwassenheidsniveau.

Bedrijven in de beginfase beginnen nog maar net met het automatiseren van taken zoals het toewijzen van attributen en het configureren van levenscycli, aldus de herziene gids. Op dit punt beginnen ze grip te krijgen op beleidsbeslissingen en handhaving. Andere taken die nog maar pas van start gaan, hebben betrekking op het concept van de minste privileges en het verkrijgen van een of andere vorm van samenhangend inzicht in interne systemen.

Het zal geen verrassing zijn dat mensen vroegen om een extra stap in het zero-trust volwassenheidsproces. Deze nieuwe cybersecurity-mentaliteit vertegenwoordigt zo'n brede verandering in de manier waarop we omgaan met zakelijke toegang en authenticatie dat geen enkele leverancier of product dit allemaal kan. Het is meer een discipline dan een productcategorie, waarbij veranderingen in de hele infrastructuur en belangrijke updates van het beleid betrokken zijn. Voor veel organisaties zal het een langzame verbranding zijn, meer het aansteken van duizend kaarsen dan het omzetten van een enkele schakelaar, en deze extra stap geeft hen een eenvoudiger startpunt. Het wat ondieper maken van de oprit zal voor velen een welkome afwisseling op de routekaart zijn.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury