Adotando Zero Trust: APIs e uma lição de história

Jan 07, 2024

Home » Rede de Bloggers de Segurança » Adotando Zero Trust: APIs e uma lição de história

Assista a este episódio no YouTube, Apple, Spotify, Amazon ou Google. Você pode ler as notas do programa aqui.

Nos últimos anos, os ataques à cadeia de abastecimento e os seus impactos ultrapassaram ou irão em breve ultrapassar os danos causados ​​pelo ransomware. Não é nenhuma surpresa, então, que as APIs sejam um vetor de ataque crítico que os agentes de ameaças gostam de explorar, mas muitas organizações não têm uma boa compreensão de quantas portas encontram em seus dados.

Esta semana conversamos com o padrinho do Zero Trust, Dr. Zero Trust, e um diretor de segurança sobre o estado atual da maturidade da segurança da API. Considerando nossos convidados, é claro que também aproveitamos para conversar um pouco sobre a história do Zero Trust.

Esta semana temos três convidados muito especiais:

John Kindervag, o criador (padrinho) do Zero Trust

Chase Cunningham, também conhecido como Dr Zero Trust, e agora vice-presidente de pesquisa de mercado do G2

Richard Bird, diretor de segurança da Traceable AI

Como qualquer outro conceito de segurança cibernética, as APIs devem ter um inventário de ativos

Há margem de erro suficiente vinculada ao uso pretendido de APIs que exigem monitoramento/verificação contínuos

Existe uma lacuna de maturidade atual associada à garantia do uso de APIs em nome da velocidade e da inovação, e muitas vezes não existe um proprietário bem estabelecido

Faremos uma pausa na publicação no mês de setembro, pois minha filha chegou e precisarei dormir o máximo que puder. Devemos estar de volta em outubro e prosseguir até o feriado antes de encerrarmos a segunda temporada. Também estou trabalhando em algumas séries experimentais de podcast durante minha licença parental, portanto, fique ligado. Pelo menos um em particular deve ser do interesse do nosso público aqui. Além disso, se você trabalha para uma organização de segurança cibernética e está interessado em lançar um podcast, entre em minha caixa de entrada se precisar de ajuda.

Vencedor do sorteio

Se você assistiu ao nosso último episódio com Yubico, esperamos que tenha visto o sorteio. Eles tiveram a gentileza de oferecer dois Yubikeys aos ouvintes, e nós temos nossos vencedores! John C e Simon D, vocês são nossos vencedores. Iremos conectá-lo com Yubico para obter sua chave. Quando voltarmos, provavelmente farei um sorteio do Flipper Zero.

PSA rápido para usuários do LinkedIn

Se você não possui MFA/2FA em sua conta do LinkedIn, ative-o agora mesmo. Há uma campanha massiva de controle de conta em andamento que durou os últimos 60 dias e essa é a melhor maneira de evitar que sua conta seja congelada. Além disso, diga às pessoas para pararem de reutilizar senhas.

E agora, vamos ao nosso episódio…

Pelas infinitas ferramentas que temos à nossa disposição para prevenir, detectar e mitigar ameaças cibernéticas, todos sabemos que não existe solução mágica para proteger totalmente uma organização. Chame isso de Defesa em Profundidade, Segurança desde o Design ou até mesmo Confiança Zero, e cada um desses conceitos se concentra no desenvolvimento de uma abordagem em camadas para reduzir o alvo nas suas costas.

Mas o problema é o seguinte: além dos ataques de dia zero, na maioria dos casos, sabemos como os adversários provavelmente tentarão nos atacar. Aqui está Chase sobre por que conceitos como Zero Trust são muito mais críticos para uma organização do que apenas tentar resolver problemas com tecnologia e ferramentas:

“Por que eu curaria a doença quando há mais dinheiro a ser ganho quando posso tratar os sintomas? Eu sei, aqui está outro novo recurso que eu sei que fará essa outra coisa, mas não vai resolver todo o problema, embora eu saiba que poderia, mas vai apenas dar um gostinho. É tipo ZT crack, certo?

Você apenas cheira um pouco, e então você quer um pouco mais, e então você quer mais, e isso fica cada vez pior, e pior, e pior, e… Os, os fundamentos, isto é, e John e eu conversamos sobre isso o tempo todo, assim como os fundamentos do que deveríamos fazer, são bem conhecidos. Surpreende-me que as pessoas ainda se perguntem onde devem concentrar os seus esforços ou qualquer outra coisa quando temos volumes de investigação e organizações inteiras dedicadas a isto, como se este fosse o único lugar em toda a guerra, o adversário lhe diz como eles ' Eu vou atacar você e as pessoas ficam sentadas, me pergunto como isso vai funcionar.”