Bouw een veilige Zero Trust-basis voor AI

AI transformeert de manier waarop bedrijven werken en innoveren in het tijdperk van hybride en op afstand werken. Het brengt ook nieuwe uitdagingen en risico's met zich mee, met name wat betreft gegevensbeveiliging en privacy. Omdat bedrijven willen innoveren en hun medewerkers overal ter wereld willen ondersteunen , moeten ze ook hun waardevolle informatie kunnen beschermen. Zero Trust is een beveiligingsframework dat zich aanpast aan de moderne werkplek om werknemers en hun apparaten beter te beschermen. Het biedt ook bescherming voor AI-technologieën, die kunnen worden geïmplementeerd om de beveiliging te versterken.

Beheerde gegevens maken AI-modellen mogelijk, die afhankelijk zijn van grote hoeveelheden informatie om inzichten te leren, te analyseren en te genereren. Deze behoefte aan beveiligde gegevens maakt het een kwetsbare asset die moet worden beschermd tegen onbevoegde toegang, misbruik en diefstal. Elk inbreuk, op eindpunten, identiteiten, apps, infrastructuur en netwerken, kan ernstige gevolgen hebben voor bedrijven, zoals reputatieschade, juridische aansprakelijkheid en verlies van vertrouwen.

Door over te stappen op een Zero Trust-beveiligingsframework, kunnen bedrijven hun toegang beschermen en hun werknemers voorzien van wat ze nodig hebben om werk gedaan te krijgen. Zero Trust volgt drie basisprincipes:

1.      Uitdrukkelijk verifiëren. Zero Trust vereist continue verificatie van identiteit en machtigingen, voordat je toegang verleent tot gegevens en resources.
2.      Toegang met minimale bevoegdheden gebruiken. Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA) op basis van risicogebaseerde adaptieve beleidsregels.
3.      Uitgaan van inbreuk. Als er iets niet klopt, minimaliseer dan direct een potentiële bedreiging door de toegang te segmenteren. Gebruik vervolgens analyses om het probleem te identificeren en de verdediging te versterken.

Zero Trust-beveiliging zorgt ervoor dat gevoelige gegevens altijd worden beveiligd, ongeacht waar ze worden opgeslagen, verwerkt of geopend. Daarom is het essentieel voor de ingebruikname van AI. Naarmate organisaties AI omarmen, kunnen ze met een beveiligingsmodel hun meest waardevolle assets continu beveiligen om innovatie te stimuleren en productiever te zijn.

Naast sterkere beveiligingsmaatregelen kunnen Zero Trust-principes worden toegepast op AI-implementaties:

Nauwkeurige, volledige en consistente informatie is essentieel omdat deze de kwaliteit van de AI-uitvoer bepaalt. Als iemand app-machtigingen of beheerde gegevens manipuleert of wijzigt, raken deze beschadigd. Hierdoor produceert het AI-hulpprogramma onnauwkeurige, onbetrouwbare of bevooroordeelde resultaten. Zero Trust beveiligt de gegevensintegriteit door onbevoegde toegang gedurende de levenscyclus van de identiteit te blokkeren.

Toegangsbeheer is van cruciaal belang om ongeautoriseerd en ongepast gebruik van AI en de gegevens die daaraan ten grondslag liggen, te voorkomen. Een Zero Trust-strategie versterkt deze controles door het principe van minimale bevoegdheden af te dwingen, waardoor werknemers geen toegang hebben tot gevoelige gegevens, apps, eindpunten of identiteiten die AI mogelijk gebruiken voor schadelijke doeleinden.

Net als bij elke moderne technologie is AI kwetsbaar voor schendingen en cyberaanvallen, met name bij externe apparaten. Beveiligingsbedreigingen kunnen de vertrouwelijkheid en beschikbaarheid van beheerde gegevens, eindpunten en het netwerk in gevaar brengen, wat een grote invloed kan hebben op de privacy en veiligheid van werknemers en klanten. Zero Trust verbetert de beveiliging door middel van meervoudige verificatie en synchronisatie-identificatie op elk apparaat dat hun werknemers gebruiken.

Zero Trust-beveiliging is geen specifiek product of specifieke oplossing. Het is een reeks principes, procedures en technologieën die samenwerken om een ​​hoog beveiligingsniveau te bereiken ter bescherming van elke app, gegevensbron, eindpunt, infrastructuur en elk type omgeving, ongeacht of je organisatie cloudgebaseerd, on-premises of hybride is.

Voor het bouwen en onderhouden van een sterke basis in Zero Trust moeten bedrijven deze belangrijke beveiligingsfuncties en -mogelijkheden opnemen:

Het eerste principe van Zero Trust-beveiliging vereist expliciete verificatie van alle identiteiten en apparaten voordat je toegang verleent. Vertrouwen wordt nooit aangenomen of permanent verleend, waardoor het dynamisch en contextueel is, wat betekent dat het kan worden gewijzigd op basis van situatie, locatie, tijd of apparaat.

Bij toegang met minimale bevoegdheden wordt alleen het minimale toegangsniveau verleend dat nodig is voor een specifieke taak of rol. Dit principe helpt het aanvalsoppervlak en de mogelijke schade van een inbreuk te verkleinen door de blootstelling van gegevens, infrastructuur, netwerkbronnen, apps of eindpunten te beperken tot alleen degenen die ze nodig hebben. Het zorgt er ook voor dat taken en informatie die noodzakelijk is, gescheiden blijven. Zo wordt voorkomen dat bepaalde werknemers toegang krijgen tot zeer gevoelige informatie.

Zero Trust-beveiliging verdeelt netwerken en infrastructuur in kleinere zones of segmenten op basis van de gevoeligheid van gegevens, apps, rollen en bedrijfsfuncties. Deze maatregel isoleert en beschermt alles tegen ongeautoriseerde of kwaadaardige toegang en beperkt de verspreiding van een inbreuk door de verplaatsing en communicatie tussen segmenten te beperken. Microsegmentatie verbetert bovendien de netwerkprestaties en -zichtbaarheid, omdat het congestie vermindert en bredere bewaking en controle mogelijk maakt.

Met deze functionaliteit kunnen beveiligingsteams het netwerk en de infrastructuur controleren op afwijkingen of verdacht gedrag en direct actie ondernemen om risico's te isoleren of te beperken. Realtime detectie van en reactie op bedreigingen vermindert de impact van een schending door de hoofdoorzaak te identificeren en aan te pakken. Het helpt ook om de beveiligingspositie van de organisatie te verbeteren door middel van bruikbare feedback die voortdurende aanpassing en veerkracht stimuleert.

Het bouwen van een veilige basis in Zero Trust is geen eenmalig project, maar een doorlopend traject dat een strategische visie, een holistische aanpak en een culturele verandering vereist.

Deze stappen bieden organisaties een breed traject om te beoordelen waar ze zich momenteel bevinden, waar ze willen zijn en hoe ze hun beveiligingsdoelen kunnen bereiken:

De eerste stap bestaat uit het evalueren van je bestaande beveiligingsmaatregelen, het identificeren van sterke en zwakke punten en het vaststellen van eventuele hiaten en potentiële risico's. Een audit helpt je je huidige beveiligingspostuur te begrijpen en je acties te prioriteren om resources dienovereenkomstig toe te wijzen.

Identificeer eindpunten, apps, infrastructuur, netwerken, gegevens en resources voor je bedrijfsactiviteiten die aanzienlijke schade kunnen veroorzaken als ze verloren gaan of gecompromitteerd zijn. Classificeer elke asset op basis van waarde, gevoeligheid en impact. Door de belangrijkste assets te identificeren, kun je je richten op de bescherming van wat het belangrijkst is.

Stel specifieke regels en beleidsregels op en documenteer deze om je verdedigingsgebieden te beheren. Deze beleidsregels moeten gebaseerd zijn op de drie belangrijkste principes van Zero Trust: expliciete verificatie, minimale bevoegdheid en uitgaan van een inbreuk. Deze regels zijn niet in steen gebeiteld, maar vormen de basis voor de toekomst.

Implementeer technologieën die je Zero Trust-beleid uitvoeren en ondersteunen, zoals identiteits- en toegangsbeheer, gegevensversleuteling en hashing, netwerksegmentatie en -isolatie, detectie en respons van bedreigingen en beveiligingsanalyses en -intelligentie. Deze oplossingen moeten worden geïntegreerd en afgestemd op je bedrijfsprocessen, systemen, bewerkingen en doelstellingen.

Zodra je technologieën zijn geïmplementeerd, moet je je werknemers informeren over het belang en de voordelen van Zero Trust-beveiliging, samen met hun rollen en verantwoordelijkheden bij het implementeren en onderhouden ervan. Training en bewustwording van werknemers kunnen bijdragen aan een cultuur van verbeterde beveiliging en vertrouwen en kunnen hun betrokkenheid en naleving van de regels vergroten. Deze training kan ook helpen bij het voorkomen of verminderen van menselijke fouten, wat een veelvoorkomende oorzaak is van beveiligingsschendingen.

Nu alles operationeel is, kun je tijd inplannen om je beveiligingsprestaties te evalueren, eventuele problemen te identificeren en mogelijkheden voor verbetering te vinden. Doorlopende monitoring helpt je je beveiligingspositie te behouden en te verbeteren, en zorgt ervoor dat je veerkrachtiger wordt naarmate het bedreigingslandschap verandert.

Het gebruik van een Zero Trust-basis kan ook belangrijke voordelen bieden voor AI en je bedrijf:

Zero Trust-beveiliging zorgt ervoor dat alles, netwerk, identiteiten, eindpunten, apps, gegevens, AI-hulpprogramma's, altijd wordt beveiligd, geverifieerd en bewaakt. Met veilige AI straalt je vertrouwen en geloofwaardigheid uit naar je klanten en partners, doordat je de technologie op een verantwoorde manier gebruikt.

Een Zero Trust-framework helpt je te voldoen aan de wettelijke vereisten en normen voor gegevensbeveiliging en privacy, zoals de Algemene Verordening Gegevensbescherming (AVG), de California Consumer Privacy Act (CCPA) of de Health Insurance Portability and Accountability Act (HIPAA). Het helpt je ook bij het voorbereiden en reageren op nieuwe en zich ontwikkelende voorschriften voor AI-ethiek en -bestuur, zoals de AI Act: de AI Act is het allereerste wettelijke kader voor AI, dat de risico's van AI aanpaktAI Act van de Europese Commissie of de AI Principles van de OECD.

Door het principe "vertrouw nooit, verifieer altijd" toe te passen op je gegevens, kun je de privacy van gegevens voor AI-gebruik verbeteren door deze alleen toegankelijk te maken voor geautoriseerde medewerkers en voor legitieme doeleinden. Het helpt je ook om de rechten en voorkeuren van betrokkenen, zoals klanten, werknemers of partners, te respecteren en beschermen, omdat het transparantie, controle en toestemming over hun gegevens biedt.

Met deze functionaliteit kunnen beveiligingsteams het netwerk en de infrastructuur controleren op afwijkingen of verdacht gedrag en direct actie ondernemen om risico's te isoleren of te beperken. Realtime detectie van en reactie op bedreigingen vermindert de impact van een schending door de hoofdoorzaak te identificeren en aan te pakken. Het helpt ook om de beveiligingspositie van de organisatie te verbeteren door middel van bruikbare feedback die voortdurende aanpassing en veerkracht stimuleert.

Praktische gebruiksvoorbeelden verkennen van hoe een sterke Zero Trust-basis AI-integratie en -beveiliging helpt

Zero Trust kan helpen bij het beveiligen van eigen AI-algoritmen, getrainde AI-modellen en intellectueel eigendom van AI. Het kan ook onbevoegde of schadelijke toegang, wijziging of diefstal voorkomen, waardoor de integriteit en authenticiteit intact blijven. 

• Scenario: bescherm je AI-algoritmen in onderzoek en ontwikkeling door je AI-code te hashen, unieke AI-omgevingen te isoleren en ervoor te zorgen dat je AI-ontwikkelaars juist voldoende toegang hebben.

AI-gegevenspijplijnen omvatten de processen en systemen die de gegevensstroom van verzameling naar analyse toestaan. Zero Trust zorgt ervoor dat de gegevens gedurende de hele levenscyclus beveiligd, geverifieerd en gecontroleerd blijven en dat de kwaliteit en nauwkeurigheid behouden blijven. 

• Scenario: beveilig de gegevensstroom van je IoT-apparaten naar je cloudplatform door elk IoT-apparaat bij te houden en te verifiëren, gegevens in transit en in rust te versleutelen en netwerkzones te segmenteren om communicatie in twee richtingen te beperken.

AI-governance biedt het kader en proces om ervoor te zorgen dat je AI-gebruik ethisch, verantwoord en toerekeningsvatbaar is. Zero Trust-beveiliging kan je helpen bij het bewaken en controleren van AI-toegang en -activiteiten om te voldoen aan het beleid en de regelgeving van je bedrijf.

• Scenario: Houd toezicht op de prestaties en het gedrag van AI door iedereen die AI gebruikt en hun apparaten continu te verifiëren, je AI-uitvoer en -logboeken te versleutelen en hashen en realtime detectie en reactie op bedreigingen te implementeren.

Door een fundament te leggen in Zero Trust met AI in het achterhoofd, ontstaat een model dat zich effectief aanpast aan de complexiteit van de moderne omgeving, hybride en op afstand werken omarmt en werknemers, hun apparaten, apps en gegevens beter beschermt, ongeacht waar ze zich bevinden. Bedrijven kunnen hiermee vol vertrouwen AI-technologieën inzetten, nieuwe waarde creëren en innoveren en hun toekomst veiligstellen.

Zero Trust en AI vullen elkaar aan. Naarmate organisaties AI gaan gebruiken en omarmen, hebben ze Zero Trust-principes nodig om hun investering te beveiligen en beschermen. Naarmate de beveiliging van IT-teams complexer en dynamischer wordt, zal de implementatie van AI om bepaalde functies te automatiseren de druk op IT-teams verminderen. Hierdoor kunnen zij zich richten op belangrijkere taken.

Het bouwen van een veilige Zero Trust-basis voor AI is van cruciaal belang voor een efficiënte en veilige AI-ervaring. Het helpt bedrijven hun netwerken, eindpunten, apps, identiteiten, gegevens en infrastructuren te beschermen, hun AI-prestaties te verbeteren en AI-risico's te beperken. Zero Trust helpt bedrijven ook bij het opbouwen van vertrouwen in hun AI-systemen, het verbeteren van de naleving van regelgeving en het verbeteren van hun gegevensprivacy.

Ga naar het Microsoft Zero Trust Guidance Center voor meer informatie over het bouwen van een veilige Zero Trust-basis voor AI.