A vulnerabilidade mais fraca da sua organização não é um sistema não corrigido, uma senha fácil de adivinhar ou uma equipe de segurança sobrecarregada.
Em vez disso, a vulnerabilidade mais importante é algo muito mais amplo e difícil de gerenciar: a confiança.
Nas últimas semanas, vimos uma série de ataques cibernéticos usando uma mistura de explorações e direcionados a vários setores que usam a confiança para quebrar a segurança organizacional:
- O Ataque da SolarWinds usou um sistema de atualização confiável para instalar códigos maliciosos em até 18.000 organizações, incluindo o Pentágono, o Departamento de Segurança Interna, a Administração Nacional de Segurança Nuclear, hospitais e grandes veículos de mídia.
- Na semana passada, uma nova campanha orquestrada pelo mesmo grupo por trás da SolarWinds (Nobelium) invadiu o provedor de e-mail da U.S. AID, Constant Contact, para enviar e-mails contendo URLs maliciosos para cerca de 3.000 contas em mais de 150 grupos internacionais de desenvolvimento e direitos humanos.
- Os hackers estão aproveitando Mudança da COVID-19 restrições para enviar e-mails falsos "de" diretores de informação para roubar as credenciais dos funcionários.
(Não sabemos ao certo se o grupo que forçou o JBS Foods encerrará suas operações nos EUA e na Austrália contou com táticas semelhantes, mas continuaremos monitorando a história para ver como a confiança desempenhou um papel).
Em todas essas explorações, os criminosos estão enviando links ou instalações de um suposto fonte confiável. Adaptar-se a isso pode ser um desafio: em uma sociedade complexa, remota e que trabalha de qualquer lugar, precisamos confiar em nossos colegas, fornecedores e sistemas para fazer nosso trabalho, fazer pedidos, fazer e receber pagamentos.
Os usuários precisam de confiança. Mas as organizações não podem se dar a esse luxo. Online, a confiança pode ser um grande risco.
Já discutimos confiança zero antes: não é um número de peça ou um produto. Não há SKU para ele ou formulário de pedido rápido para comprá-lo.
Em vez disso, a confiança zero é um princípio - é um mentalidade que as equipes de segurança devem começar a desenvolver. Em linhas gerais, a confiança zero é a mentalidade clássica do "menor privilégio", apenas expandida para uma escala maior. É uma maneira de fazer as compensações corretas de custo/benefício para proteger o que é mais importante, sem tornar os usuários mais lentos ou prejudicar os negócios.
Uma das maneiras mais eficazes de avançar em direção a confiança zero é priorizar a identidade e lembre-se de que o gerenciamento de acesso à identidade (IAM) e a administração de governança de identidade (IGA) são abrangentes. Eles se aplicam aos seus usuários, recursos, aplicativos e seus fornecedores: para aplicar o modelo "nunca confie, sempre verifique" do Zero Trust, é preciso começar definindo políticas de governança para conceder o acesso certo aos usuários certos e manter uma lista de suas funções e privilégios. As empresas precisam de maneiras melhores, mais rápidas e mais inteligentes de rastrear e controlar essas informações.
Mais uma vez, o IAM e o IGA são abrangentes: as recentes invasões da Nobelium ressaltam a necessidade de inventariar todos os sistemas e acesso e fornecer autenticação forte. Sistemas baseados em nuvem em toda a empresa, como Office 365, Salesforce, Slack e Constant Contact, precisam ser mais fortes, autenticação baseada em risco para garantir segurança na nuvem e proteger tanto as identidades pessoais quanto os materiais organizacionais confidenciais. Além disso, os hacks também demonstram a necessidade de as empresas eliminarem nossa vulnerabilidade a senhas e credenciais de login roubadas (e obterem economias significativas), adotando sem senha.
Ao identificar, gerenciar e reduzir a quantidade de confiança que concedemos a usuários e recursos, podemos nos beneficiar de nossas conexões e limitar os danos que elas podem causar a nós, nossos colegas e nossos negócios. Em última análise, a confiança zero não é um destino: é uma jornada que percorremos, na qual aprendemos e reaprendemos constantemente as compensações que temos de fazer em um mundo on-line. Cada vez mais, está se tornando uma jornada que vale a pena.
