Três razões pelas quais adotar o Zero Trust leva à proteção contra bots e à segurança da Web e de APIs

Hoje em dia, a confiança zero é a nova tendência que todos querem adotar. É uma das três tendências "mais empolgantes" identificadas pelo nosso relatório State of Application Strategy 2022 e tem consistentemente obtido alta pontuação em interesse pelo Google Trends nos últimos doze meses.

O resultado é que a confiança zero é uma das abordagens de segurança mais comentadas — e incompreendidas — desde que o “shift left” entrou em cena. Muitas vezes, a confiança zero é equiparada a uma tecnologia específica, como perímetro definido por software (SDP), ou a um segmento de mercado, como gerenciamento de identidade e acesso (IDAM).

Isso não é realmente surpreendente. Vimos a mesma pressa em equiparar tecnologias ou produtos específicos à “nova tendência” quando a computação em nuvem foi introduzida. A lavagem de nuvens era algo que acontecia regularmente e era frequentemente usada como uma observação depreciativa sobre a real “nublagem” de algum produto novo.

Então, cabe a mim começar com uma definição de confiança zero. Vou fazer isso citando meus colegas, Ken Arora e Mudit Tyagi, que já publicaram um ótimo guia sobre este tópico :

Este é um ponto importante, e por isso vou repeti-lo novamente: a segurança de confiança zero é, em essência, uma mentalidade.

Essa mentalidade abrange um conjunto de suposições, e os usos das tecnologias são consequências dessas suposições.

Isso significa que implementar uma tecnologia como SDP ou segurança de API não significa que você adotou confiança zero. Não existe um único produto que você implemente que de repente significa que você está em “conformidade com confiança zero” e, portanto, imune a ataques, violações ou explorações.

O que é verdade é que a segurança do SDP e da API pode, de fato, ser uma resposta tática apropriada à adoção de uma abordagem de confiança zero. Mas para chegar lá, você precisa começar com algumas suposições básicas e então decidir quais são as melhores ferramentas e tecnologias que fluem logicamente delas.

Para dar mais detalhes, vamos analisar alguns exemplos que, como o título diz, nos levam a concluir que a proteção de bots e a segurança da web e da API fazem parte da caixa de ferramentas de “confiança zero”.

1. Uma abordagem de confiança zero pressupõe comprometimento . Usuários legítimos com acesso autorizado podem, de fato, ser comprometidos e, portanto, representar uma ameaça não intencional — e muito custosa. Os invasores sabem que geralmente é mais fácil entrar pelas janelas (usuários) do que pela porta da frente (rede corporativa). Os usuários estão constantemente sob ameaça de comprometimento e, portanto, presumir que eles já estão comprometidos é o caminho mais seguro possível. A gama de ações potenciais de um laptop ou celular corporativo comprometido é grande e inclui o lançamento de ataques contra sites e aplicativos que tentam compartilhar softwares maliciosos (que incluem malware, ransomware e qualquer outro software) ou explorar vulnerabilidades para obter acesso. Como as APIs estão aumentando “a maneira como” aplicativos móveis e baseados na web acessam aplicativos e sistemas corporativos, torna-se importante inspecionar o conteúdo proveniente de usuários legítimos e autenticados para determinar se ele é malicioso ou não. Isso torna a segurança da web e da API uma escolha lógica para implementar proteção contra esse risco.
   
   
2. Uma confiança zero a abordagem pressupõe que as credenciais não são suficientes . Seja o usuário humano, uma máquina ou um software, uma abordagem de confiança zero pressupõe que, mesmo que credenciais legítimas sejam apresentadas, o usuário real pode não ser legítimo. Afinal, o preenchimento de credenciais é uma preocupação constante que aproveita credenciais legítimas, porém roubadas. É bem sabido que, em média, um milhão de nomes de usuários e senhas são relatados como vazados ou roubados todos os dias. A análise da F5 conclui que 0,5%–2% de qualquer lista de credenciais violada será válida em um site ou aplicativo móvel alvo. Portanto, uma abordagem de confiança zero deve tomar medidas para verificar não apenas as credenciais, mas a própria identidade do usuário. Isso inclui descobrir bots se passando por usuários legítimos. Taticamente, isso faz com que a proteção contra bots — que também pode ser chamada de detecção de bots — desempenhe um papel importante em uma abordagem de confiança zero.
   
   
3. Uma abordagem de confiança zero pressupõe que a mudança seja constante . A confiança zero rejeita a suposição de que, uma vez que um usuário é verificado e o acesso a um recurso é autorizado, não há risco. Toda transação é considerada arriscada e avaliada em relação ao conteúdo que ela carrega e ao usuário que a envia. O sequestro de sessão é um método de ataque real, afinal. Vigilância constante é (ou deveria ser) o lema da confiança zero, o que implica estar constantemente à procura de conteúdo malicioso. Isso torna a segurança da web e da API, juntamente com a detecção de bots, componentes essenciais de uma abordagem de confiança zero.

Agora, essa abordagem também leva a outras ferramentas e tecnologias, como SDP e controle de identidade e acesso, firewalls de rede e CASB, e uma série de outras soluções que mitigam riscos conhecidos que fluem naturalmente dessas suposições. Mas você não pode implementar apenas uma delas e considerar sua iniciativa de confiança zero concluída. É como tomar um Tylenol para tratar uma perna quebrada em vez de ir ao médico. Sim, ajuda na dor, mas não faz nada para resolver o resto do problema.

Adotar a confiança zero como uma mudança de mentalidade que leva à mitigação não é perfeito — nenhum método é — mas o levará mais longe no caminho de se tornar mais adaptável e capaz de lidar com ataques novos e emergentes com mais rapidez e com mais sucesso.

Fique seguro lá fora.

Você pode aprender mais sobre como modernizar a segurança com uma abordagem de confiança zero no Capítulo 5 do nosso livro, Arquitetura empresarial para negócios digitais .