Принятие нулевого доверия: API и урок истории

Jan 07, 2024

Главная » Сеть блоггеров по безопасности » Принятие нулевого доверия: API и урок истории

Посмотрите этот выпуск на YouTube, Apple, Spotify, Amazon или Google. Вы можете прочитать аннотации к шоу здесь.

За последние несколько лет атаки на цепочки поставок и их последствия превысили или вскоре превзойдут ущерб, нанесенный программами-вымогателями. Поэтому неудивительно, что API являются критическим вектором атаки, которым любят пользоваться злоумышленники, однако многие организации не имеют четкого представления о том, сколько дверей они ведут к своим данным.

На этой неделе мы беседуем с крестным отцом Zero Trust доктором Zero Trust и директором по безопасности о текущем состоянии зрелости безопасности API. Учитывая наших гостей, мы, конечно, также воспользовались возможностью немного поговорить об истории Zero Trust.

На этой неделе у нас трое особенных гостей:

Джон Киндерваг, создатель (крестный отец) Zero Trust

Чейз Каннингем, известный как Dr Zero Trust, ныне вице-президент по маркетинговым исследованиям G2.

Ричард Берд, директор службы безопасности Traceable AI

Как и любая другая концепция кибербезопасности, API должны иметь инвентаризацию активов.

Существует достаточный предел погрешности, связанный с предполагаемым использованием API, требующим постоянного мониторинга/проверки.

В настоящее время существует разрыв в зрелости, связанный с обеспечением использования API во имя скорости и инноваций, и часто нет хорошо зарекомендовавшего себя владельца.

В сентябре у нас будет перерыв в публикации, так как приехала моя дочь, и мне нужно будет выспаться. Мы должны вернуться в октябре и продержаться до каникул, прежде чем завершить второй сезон. Во время отпуска по уходу за ребенком я также работаю над несколькими экспериментальными сериями подкастов, так что следите за обновлениями. По крайней мере, один из них должен представлять интерес для нашей аудитории. Кроме того, если вы работаете в организации по кибербезопасности и заинтересованы в запуске подкаста, загляните в мой почтовый ящик, если вам понадобится помощь.

Победитель розыгрыша

Если вы смотрели наш последний выпуск с Юбико, то, надеюсь, вы видели раздачу. Они любезно подарили слушателям два Юбикея, и у нас есть свои победители! Джон Си и Саймон Д, вы наши победители. Мы соединим вас с Yubico, чтобы получить ключ. Как только мы вернемся, я, скорее всего, устрою раздачу Flipper Zero.

Быстрая социальная реклама для пользователей LinkedIn

Если в вашей учетной записи LinkedIn нет MFA/2FA, включите ее прямо сейчас. В настоящее время ведется масштабная кампания по захвату учетных записей, которая охватывает последние 60 дней, и это лучший способ предотвратить заморозку вашей учетной записи. Также попросите людей прекратить повторное использование паролей.

А теперь перейдем к нашему выпуску…

Несмотря на то, что в нашем распоряжении имеется огромное количество инструментов для предотвращения, обнаружения и смягчения киберугроз, мы все знаем, что не существует волшебной серебряной пули, способной полностью защитить организацию. Назовите это «глубокая защита», «Продуманная безопасность» или даже «нулевое доверие», и каждая из этих концепций фокусируется на разработке многоуровневого подхода для уменьшения опасности на вашей спине.

Но вот в чем дело… помимо атак нулевого дня, в большинстве случаев мы знаем, как злоумышленники могут попытаться атаковать нас. Вот Чейз о том, почему такие концепции, как «нулевое доверие», гораздо более важны для организации, чем просто попытки решить проблемы с помощью технологий и инструментов:

«Зачем мне лечить болезнь, если можно заработать больше денег, если я могу лечить симптомы? Я знаю, вот еще одна новая функция, которая, как я знаю, сделает еще одну вещь, но она не решит всю проблему, хотя я знаю, что могла бы, но это просто, просто нужно немного попробовать. Это что-то вроде ZT-крэка, да?

Вы просто немного понюхаете это, а потом вам захочется еще, а потом вы захотите еще, и становится все хуже, и хуже, и хуже, и… Это основы, и мы с Джоном говорим об этом все время, как и основы того, что нам следует делать, хорошо известны. Меня поражает, что люди все еще сидят и задаются вопросом, на чем им следует сосредоточить свои усилия или что-то еще, когда у нас есть объемы исследований и целые организации, посвященные этому, как будто это единственное место во всей войне, противник рассказывает вам, как они Мы собираемся напасть на тебя, а люди сидят и думают: интересно, как это будет работать».