Onderzoek door Fortinet: Ruim de helft van alle organisaties laat steken vallen met de uitvoering van hun zero trust-strategie

Fortinet stelt vandaag het Global State of Zero Trust Report beschik­baar. Volgens dit onder­zoeks­rap­port hebben de meeste orga­ni­sa­ties een visie op zero trust of zijn ze bezig met de uitvoe­ring van zero trust-initi­a­tieven. Ruim de helft van hen is echter niet in staat om deze visie te vertalen in oplos­singen die ze in de praktijk toepassen. De reden hiervoor is dat een aantal basis­prin­cipes van zero trust in hun strategie ontbreekt. 

Een recent FortiGuard Labs Threat Landscape Report wees op een toename van het aantal geavan­ceerde cyber­aan­vallen op personen, orga­ni­sa­ties en ook steeds vaker vitale infra­struc­turen. Orga­ni­sa­ties zijn op zoek naar oplos­singen die bescher­ming bieden tegen deze aanvallen, en om diverse redenen is zero trust daarbij een toppri­o­ri­teit. De overstap naar work from anywhere heeft daarnaast zero-trust network access (ZTNA) extra in de schijn­wer­pers gezet, omdat orga­ni­sa­ties belang­rijke IT-activa moeten beschermen tegen werk­ne­mers die daar toegang toe zoeken vanaf gebrekkig beschermde thuisnetwerken.

Verwarring bij het opstellen van zero trust-strategieën

Uit het onder­zoeks­rap­port blijkt dat er sprake is van enige verwar­ring bij orga­ni­sa­ties over hoe een integrale zero trust-strategie er in de praktijk uitziet. De respon­denten gaven een begrip te hebben van het concept van zero trust (77%) en ZTNA (75%). Ruim 80% gaf aan dat hun orga­ni­satie al over een zero trust- en/​of ZTNA-strategie beschikte of bezig was om die te ontwik­kelen. 50% van de respon­denten gaf echter aan dat ze niet in staat waren om kern­prin­cipes van zero trust te imple­men­teren. Bijna 60% zei dat het hen schortte aan consis­tente authen­ti­catie van gebrui­kers en apparaten. 54% had daarnaast moeite met het monitoren van gebrui­kers na hun authenticatie.

Deze lacunes zijn zorg­wek­kend, omdat het om kern­com­po­nenten van zero trust gaat. Dit roept de vraag op hoe de imple­men­tatie van zero trust er in de praktijk uitziet bij orga­ni­sa­ties. De verwar­ring wordt alleen maar verergerd door het feit dat de termen “zero trust access” en “zero trust network access” soms door elkaar worden gebruikt.

Zero trust is top of mind, maar de prioriteiten verschillen per organisatie

Volgens de respon­denten ligt de hoogte prio­ri­teit voor zero trust bij het “mini­ma­li­seren van de impact van bevei­li­gings­in­ci­denten”. Dit wordt op de voet gevolgd door “het bevei­ligen van de toegang op afstand” of “het waar­borgen van bedrijfs­con­ti­nu­ï­teit”. Andere belang­rijke prio­ri­teiten zijn het “verbe­teren van de gebrui­ker­s­er­va­ring” en het “verkrijgen van de flexi­bi­li­teit om overal bevei­li­ging te bieden”.

“Integrale bevei­li­ging van het digitale aanvals­op­per­vlak” werd door de respon­denten als het belang­rijkste voordeel van zero trust gezien, gevolgd door een “betere gebruik­s­er­va­ring van thuis­wer­kers (VPN).”

De overgrote meer­der­heid van respon­denten vindt het van cruciaal belang om zero trust security-oplos­singen te inte­greren met hun bestaande infra­struc­tuur, werk­pro­cessen in de cloud en in omge­vingen op locatie en om daarnaast de appli­ca­tie­laag te bevei­ligen. Maar volgens 80% is het een hele opgave om een zero trust-strategie toe te passen op een uitge­breid netwerk. Orga­ni­sa­ties zonder zero trust-strategie of orga­ni­sa­ties die nog bezig zijn met de ontwik­ke­ling kampten met een gebrek aan personeel met de juiste vaar­dig­heden. 35% van alle orga­ni­sa­ties hanteerde andere IT-stra­te­gieën om voor zero trust te zorgen.

John Maddison, executive vice president Products en CMO bij Fortinet: “Door het veran­de­rende bedrei­gings­land­schap, de overstap naar ‘work from anywhere’ en de noodzaak van veilig beheer van cloud­ap­pli­ca­ties is de overstap van impliciet vertrouwen naar zero trust voor bedrijven een toppri­o­ri­teit geworden. Uit ons onderzoek blijkt dat de meeste orga­ni­sa­ties over een zero trust-strategie beschikken. Dit is echter geen holis­ti­sche strategie, en orga­ni­sa­ties hebben daarnaast moeite met het toepassen van enkele basis­prin­cipes van zero trust security. Een effec­tieve oplossing vraagt om een integraal security-platform dat alle basis­prin­cipes van zero trust toepast op de complete IT-infra­struc­tuur, met inbegrip van alle endpoints, clouds en omge­vingen op locatie. Het ontbreken van een dergelijk platform resul­teert in een gedeel­te­lijke, niet-geïn­te­greerde oplossing die geen uitge­breid overzicht biedt.” 

Over het zero trust-rapport

Het onder­zoeks­rap­port is gebaseerd op een wereld­wijde enquête onder IT-besluit­vor­mers. Het doel was om de vorde­ringen van orga­ni­sa­ties met hun zero trust-traject in kaart te brengen en een beter begrip te krijgen van:

• hun begrip van zero trust en ZTNA;
• de voordelen en uitda­gingen die volgens hen met een zero trust-strategie gepaard gaan;
• en de compo­nenten en imple­men­tatie van een zero trust-strategie.

De enquête werd in september 2021 uitge­voerd onder 472 besluit­vor­mers op het gebied van IT en security in 24 landen. Zij waren actief bij orga­ni­sa­ties in vrijwel elke branche, waaronder de publieke sector.