O Security Rule Zero é um componente essencial do Zero Trust
Confiança zero é uma das palavras da moda (ou frases da moda) mais populares na tecnologia atualmente. Ela foi nomeada a terceira tecnologia mais empolgante em nossa pesquisa State of Application Strategy 2022 e conquista uma participação significativa em toda a organização.
Uma das verdades ignoradas da confiança zero é que ela é, na verdade, uma mentalidade , não uma tecnologia ou solução. É por isso que continuo a voltar à nossa crença fundamental sobre confiança zero:
“Acreditamos que a segurança de confiança zero é, em sua essência, uma mentalidade — um sistema de crenças — a partir do qual técnicas e táticas emergem e alavancam tecnologias específicas, que podem então ser aplicadas para lidar com um amplo espectro de ameaças à segurança.”
É por isso que é importante revisitar a Regra de Segurança Zero.
Para aqueles que não estão familiarizados com o conceito de “Regra Zero”, ele deriva de jogos de RPG nos quais as regras desempenham um papel significativo. As regras determinam a ordem de interação, a interpretação das jogadas de dados e o que você pode ou não fazer. Assim como no mundo real. Mas em jogos de RPG existe uma Regra Zero, que substitui todas as outras regras: “o Mestre é o árbitro final de todas as coisas no jogo”. Isso significa essencialmente que o Mestre pode alterar, adicionar e remover regras a qualquer momento. E acredite, muitas vezes isso acontece.
Pode surpreender algumas pessoas saber que a segurança tem uma Regra Zero, que é esta:
“Não confiarás na entrada do usuário. Sempre."
Esta não é uma regra nova; ela já foi mencionada muitas e muitas vezes e já escrevi sobre ela diversas vezes como um lembrete de que ela é essencial para as melhores práticas de segurança. O não cumprimento desta regra leva a vulnerabilidades que podem explodir em exploração generalizada e perigosa .
A Regra de Segurança Zero continua relevante hoje — talvez até mais do que nunca. Com a proliferação de APIs e a explosão de serviços digitais, há mais bots, scripts e agentes mal-intencionados do que nunca. E embora o credential stuffing continue sendo uma das principais técnicas de ataque, não faltam notícias sobre explorações que aproveitam serviços digitais e APIs que não seguem a Regra de Segurança Zero.
Confiar na entrada do usuário é um anátema ao próprio conceito de confiança zero. Nenhuma entrada do usuário — seja ele humano, software ou sistema — deve ser considerada segura para processamento sem inspeção. Período. Ponto final.
Um dos princípios fundamentais — as crenças — da confiança zero é assumir um compromisso. Comprometimento pode significar a presença de malware ou controle por um agente mal-intencionado. Esse é o estado do sistema. A consequência é que os dados — mensagens — provenientes desse sistema podem ser maliciosos.
Portanto, você nunca deve confiar em nenhuma informação de um usuário. Período.
Conforme declarado acima, essa regra básica leva a táticas (inspeção) e tecnologias (WAAP, WAF, NGF) que podem ser usadas para detectar e neutralizar uma ampla variedade de ataques.
A Regra de Segurança Zero é um componente essencial da confiança zero. Adotá-la levará a táticas mais eficazes e maior segurança para todos.
Fique seguro lá fora.