Visibility verbetert veiligheid niet, dashboards gaan je niet redden

Netwerkbeveiliging wordt het best omschreven als de harde schil van een zachte binnenkant. Alles binnen deze verdedigingslinie, werd automatisch verondersteld betrouwbaar te zijn. En zolang de buitenkant sterk bleef, kon de binnenkant kwetsbaar zijn.

Maar dat is verleden tijd. Door cloudomgevingen, remote toegang, integraties met derden en de enorme omvang van moderne infrastructuren is de perimeter als betekenisvolle grens verdwenen.  

Zero Trust was het antwoord en de noodzaak ontstond om te verifiëren en toegang te verlenen op basis van identiteit en context, in plaats van op basis van de locatie binnen het netwerk. Dat klinkt logisch maar ook hier zijn theorie en praktijk twee verschillende dingen. De meeste Zero Trust-implementaties werken in een gecontroleerde omgeving zoals het zou moeten. Maar in de praktijk lopen ze tegen de complexiteit aan die zich in de loop der tijd heeft opgestapeld.

Als een implementatie vastloopt, is de neiging om te zorgen voor betere visibility: meer dashboards, meer monitoring, een duidelijker beeld van wat er in de hele omgeving gebeurt. Die reactie is niet verkeerd. Maar visibility op zich leidt niet tot meer veiligheid. Het maakt je  bewust van de problemen, maar zonder actie verandert er niets. 

Complexiteit die niemand gepland heeft

Stel je eens voor hoe de netwerkbeveiliging van je bedrijf zich ontwikkelde. Je startte met één firewall. Je had er grip op – je kon het hele plaatje overzien; je wist welke toegang nodig was, en het was eenvoudig om op basis daarvan verstandige, weloverwogen beslissingen te nemen. Toen voegde je er nog een laag aan toe. En nog een. Maar elke keer dat je een laag toevoegde, nam de complexiteit niet lineair toe. Integendeel, ze nam exponentieel toe.

Je hebt nu honderden firewalls, elk met een policy die bestaat uit duizenden regels, waarbij elke regel meerdere bronnen en bestemmingen bevat. Al snel kom je op een punt, waarop je miljarden access paths moet beheren. 

Om dit beheersbaar te maken, moeten we eerst kijken naar het IT-beleid. Elke technologie in de beveiligingsstack – van de allereerste toegangscontrolelijsten tot next-gen firewalls en Zero Trust-architecturen – heeft maar één functie: het handhaven van het IT-beleid. Dat is de control-plane. Het maakt niet uit hoe geavanceerd de technologie is; als het beleid zwak is, is de security dat ook. In complexe omgevingen met datacenters, cloud workloads, legacy-infrastructuur en integraties met derden, is het handhaven van een coherent beleid over dit alles, de uitdaging waar al het andere van afhangt. 

Waar veel bedrijven mee te dealen hebben

Veel bedrijven lopen hier tegenaan. Wanneer ze een eerlijke beoordeling van hun netwerkbeveiliging maken, constateren ze dat de situatie slechter is dan verwacht. Niet omdat de technici niet bekwaam zijn – dat zijn ze wel, en ze werken hard onder grote druk. Maar ze hebben te maken met complexiteit die vanaf het begin onvoldoende begrepen is. Er zijn policy rules die al jaren of zelfs decennia van kracht zijn, en niemand weet precies waarom. En niemand wil er iets aan veranderen. Want als er iets mis gaat, is dat jouw verantwoordelijkheid. Ondertussen groeit ook de policy omgeving. Zo stapelen hiaten en tegenstrijdigheden zich onzichtbaar op. 

Net zoals het aanvalsoppervlak groter wordt met elk nieuw apparaat en elke nieuwe workload, breidt het policy-oppervlak zich uit met elke nieuwe regel, elke uitzondering en elke tijdelijke toegangsvergunning die permanent wordt. Als dit onbeheerd blijft, weerspiegelt het niet langer de bewuste intentie, maar de opgebouwde geschiedenis. En wat cruciaal is: dat beleidsoppervlak verspreidt zich over elke omgeving waarbinnen de organisatie opereert – firewalls, cloudcontroles, microsegmentatiegrenzen – die elk hun eigen versie van toegang afdwingen, zonder één overkoepelend, samenhangend overzicht. Een gebruiker wordt geweigerd op de netwerklaag en doorgelaten op de applicatielaag. Toegang die voor het ene doel werd goedgekeurd, maakt een ander doel mogelijk. De controles zijn inconsistent omdat de governance niet uniform is, en met die inconsistentie ontstaat kwetsbaarheid.

Zero Trust lost dit niet op. Sterker nog, het creëert nieuwe management uitdagingen bovenop de bestaande, omdat je niet in een schone omgeving implementeert.   

Zo wordt het beheer steeds moeilijker. Het beleidslandschap breidt zich uit met elke nieuwe identiteit die eraan wordt toegevoegd: een nieuwe medewerker, een ingehuurde kracht, een partner die toegang krijgt tot een systeem. Voor elk daarvan moet worden bepaald welke toegang gewenst is, wat de minimaal noodzakelijke rechten zijn en hoe toegang in de loop van de tijd wordt gecontroleerd en gevalideerd. Het is al moeilijk genoeg om die discipline op menselijke schaal te handhaven. Bovendien zijn er nu systemen die autonoom handelen. 

Agentic AI – systemen die namens gebruikers actie ondernemen, beslissingen nemen en communiceren met andere systemen zonder dat er een mens bij betrokken is – introduceert een nieuwe identiteitscategorie in een toch al complexe omgeving.

Agents zijn immers ook identiteiten die toegang nodig hebben om hun taken uit te voeren. Ze communiceren met andere agents, roepen API’s aan, doorkruisen de infrastructuur – en dat alles met een snelheid en omvang die geen enkel handmatig overzichtsproces kan evenaren. Meer identiteiten, meer access paden, meer behoefte aan voortdurende validatie: het stapelt zich sneller op dan de meeste governance processen aankunnen. 

De omvang van de schade die een slecht genomen beslissing over toegang kan veroorzaken, wordt bepaald door het beleid eromheen. Een agent die toegang krijgt tot systemen of gegevens waarvoor hij geen legitieme reden heeft – klantgegevens, financiële gegevens, operationele technologie – verandert niets aan dat principe. Het versterkt het juist. Als het beleid dat die toegang regelt coherent, actueel en continu gevalideerd is, blijft de impact beperkt. Als het beleid het resultaat is van afwijkingen en niet-gecontroleerde uitzonderingen, is de impact onvoorspelbaar. Agentic AI brengt nieuwe risico's met zich mee. Is uw beleidsomgeving goed genoeg geregeld om deze risico's in te dammen? 

Van bewustwording naar governance

Wat houdt het dan in om op basis van inzicht écht actie te ondernemen? Om te beginnen is inventarisatie van de huidige toegangsregels nodig: welke regels zijn er, wat staan deze toe, welke zijn overbodig, welke spreken elkaar tegen en welke zijn nog nooit geëvalueerd? Zo'n opschoningsproces is onvermijdelijk. Je kunt geen policy environment beheren die je niet begrijpt. En de meeste organisaties begrijpen die van henzelf als ze eerlijk zijn, niet volledig. Het ontbreekt aan een unified beeld van onder andere firewalls, de cloud en microsegmentatie controles.

Maar het is ook een operationele uitdaging: elke dag komen er nieuwe toegangsverzoeken binnen, die moeten worden afgehandeld door beveiligingsteams die het al druk genoeg hebben. De druk om snel ja te zeggen, om het bedrijf niet op te houden, is groot. En exact zo ontstaan er afwijkingen op het beleid. Om dit te voorkomen, is een reactieve aanpak niet voldoende. Het is belangrijk intenties te valideren voordat wijzigingen worden doorgevoerd: ervoor zorgen dat elk nieuw toegangsverzoek wordt getoetst aan het vastgestelde beleid. Wat wordt toegekend, moet het resultaat zijn van een weloverwogen beslissing in plaats van een snel genomen besluit. Het cumulatieve effect van individuele wijzigingen moet de samenhang van de bredere toegangsomgeving niet ondermijnen.

Network Security Policy Management biedt de governance-laag om policies te definiëren, te valideren en te handhaven voor firewalls, cloudoplossingen en microsegmentatie controles. Hierdoor kunnen organisaties de overstap maken van zichtbaarheid naar aantoonbare, operationele security. Dit betekent dat ze het vertrouwen hebben dat elke policy het resultaat is van een weloverwogen beslissing, en dat wanneer er iets nieuws wordt geïntroduceerd, de toegang wordt bepaald door de juiste intentie. 

Organisaties moeten policies behandelen als een levende discipline – iets dat wordt onderhouden, gevalideerd en voortdurend afgestemd op de werkelijke intentie – en niet als  een overblijfsel van beslissingen uit het verleden waar niemand de tijd of het vertrouwen voor heeft om opnieuw naar te kijken. En om de echte belofte van Zero Trust waar te maken, moeten die vragen eerlijk worden beantwoord.

 David Brown, SVP International Business, FireMon