Adozione di Zero Trust: API e una lezione di storia

Jan 07, 2024

Home » Security Blogger Network » Adozione di Zero Trust: API e una lezione di storia

Guarda questo episodio su YouTube, Apple, Spotify, Amazon o Google. Potete leggere le note dello spettacolo qui.

Negli ultimi anni, gli attacchi alla catena di fornitura e il loro impatto hanno superato o presto supereranno i danni arrecati dai ransomware. Non sorprende quindi che le API siano un vettore di attacco critico che gli autori delle minacce amano sfruttare, ma molte organizzazioni non hanno una buona comprensione di quante porte si aprono sui loro dati.

Questa settimana parliamo con il padrino di Zero Trust, Dr. Zero Trust, e un responsabile della sicurezza sullo stato attuale della maturità della sicurezza delle API. Considerando i nostri ospiti, ovviamente abbiamo anche colto l'occasione per parlare un po' della storia di Zero Trust.

Questa settimana abbiamo tre ospiti davvero speciali:

John Kindervag, il creatore (padrino) di Zero Trust

Chase Cunningham, AKA Dr Zero Trust, e ora vicepresidente delle ricerche di mercato per G2

Richard Bird, responsabile della sicurezza di Traceable AI

Come qualsiasi altro concetto di sicurezza informatica, le API devono avere un inventario delle risorse

Esiste un margine di errore sufficiente legato all'uso previsto delle API che richiedono monitoraggio/verifica continua

Esiste attualmente un divario di maturità associato alla sicurezza dell’uso delle API in nome della velocità e dell’innovazione, e spesso non esiste un proprietario ben consolidato

Ci prenderemo una pausa editoriale per il mese di settembre perché è arrivata mia figlia e avrò bisogno di recuperare tutto il sonno possibile. Dovremmo tornare ad ottobre e continuare fino alle vacanze prima di concludere la seconda stagione. Sto anche lavorando ad alcune serie di podcast sperimentali durante il mio congedo parentale, quindi rimanete sintonizzati. Almeno uno in particolare dovrebbe interessare il nostro pubblico qui. Inoltre, se lavori per un'organizzazione di sicurezza informatica e sei interessato a lanciare un podcast, scorri nella mia casella di posta se hai bisogno di una mano.

Vincitore del giveaway

Se hai visto il nostro ultimo episodio con Yubico, spero che tu abbia visto l'omaggio. Sono stati così gentili da offrire due Yubikey agli ascoltatori, e noi abbiamo i nostri vincitori! John C e Simon D, voi siete i nostri vincitori. Ti metteremo in contatto con Yubico per ottenere la tua chiave. Una volta tornati, probabilmente farò un omaggio a Flipper Zero.

PSA rapido per gli utenti di LinkedIn

Se non disponi di MFA/2FA sul tuo account LinkedIn, attivalo subito. È in corso una massiccia campagna di acquisizione di account che si è protratta negli ultimi 60 giorni e questo è il modo migliore per evitare che il tuo account venga congelato. Inoltre, dì alla gente di smettere di riutilizzare le password.

E ora, passiamo al nostro episodio…

Considerando gli infiniti strumenti a nostra disposizione per prevenire, rilevare e mitigare le minacce informatiche, sappiamo tutti che non esiste una soluzione magica per proteggere completamente un'organizzazione. Chiamatelo Defense in Depth, Security by Design o anche Zero Trust, e ciascuno di questi concetti si concentra sullo sviluppo di un approccio a più livelli per ridurre il bersaglio sulle vostre spalle.

Ma il punto è questo: oltre agli attacchi zero day, nella maggior parte dei casi sappiamo come è probabile che gli avversari cerchino di attaccarci. Ecco Chase che spiega perché concetti come Zero Trust sono molto più importanti per un'organizzazione rispetto al semplice tentativo di risolvere problemi con tecnologia e strumenti:

“Perché dovrei curare la malattia quando ci sono più soldi da guadagnare quando posso curare i sintomi? Lo so, ecco un'altra nuova funzionalità che so farà quest'altra cosa, ma non risolverà tutto il problema, anche se so che potrei, ma ci vorrà solo un piccolo assaggio. È come se fosse ZT crack, giusto?

Ne puoi annusare solo un po', e poi ne vuoi ancora un po', e poi ne vuoi ancora, e continua a peggiorare, e peggio, e peggio, e... I fondamenti, questi sono, e John e io parliamo riguardo a questo in ogni momento, così come lo sono i fondamenti di ciò che dovremmo fare, sono ben noti. Mi lascia a bocca aperta che le persone continuino a chiedersi dove dovrebbero concentrare i propri sforzi o qualsiasi altra cosa quando abbiamo volumi di ricerca e intere organizzazioni dedicate a questo, come se questo fosse l'unico posto in tutta la guerra, l'avversario ti dice come " Verrai da te e la gente si siederà, mi chiedo come funzionerà.