Nossas histórias favoritas de Zero Trust de agosto de 2023

Estamos de volta com outro resumo de notícias da Zero Trust!  

Zero Trust continues to be top of mind for security practitioners and business leaders alike. It was a major focal point at this year’s Black Hat USA conference. And elsewhere, as more federal cybersecurity regulations and frameworks (like the White House’s National Cybersecurity Strategy Implementation Plan) are rolled out and updated, Zero Trust tenets – assume breach and least privilege – remain top of mind.

Aqui estão algumas das histórias e perspectivas da Zero Trust que se destacaram para nós neste mês.

Tech advocacy groups want a Zero Trust framework to protect the public from AI (CyberScoop, Tonya Riley)

Com o aumento do interesse e da adoção da IA, um grupo de grupos de tecnologia de interesse público resistiu a “uma abordagem cada vez mais autorregulatória” da inteligência artificial. Em vez disso, eles estão pedindo uma “abordagem de confiança zero para a governança da IA”. O grupo acredita que é preciso haver uma regulamentação e supervisão mais firmes da IA à medida que a tecnologia continua tomando forma no mercado.  

Tonya Riley, da CyberScoop, explica: “A estrutura [proposta] é apenas o mais recente impulso da sociedade civil para fazer com que a Casa Branca adote uma abordagem mais firme à regulamentação da IA enquanto o governo trabalha em uma ordem executiva antecipada de IA”.  

More on the highly awaited AI executive order can be found here.  

AI was also a core theme at this year’s Black Hat and DEF CON events – the latter of which hosted a dedicated “AI Village” where thousands of ethical hackers participated in various red-teaming exercises aimed at discovering vulnerabilities in the latest AI models.  

Você pode ler mais sobre os principais pontos abordados pela Illumio na Black Hat 2023 nesta postagem do blog.  

Designing for safety: 10 cybersecurity priorities for a Zero Trust data center (VentureBeat, Louis Columbus)

According to new research, VentureBeat’s Louis Columbus explains that the most vulnerable threat vectors for data centers “include customer support, customer service, and ticket management support portals running on data center servers.”  

Se uma violação não for descoberta ou corrigida rapidamente, os invasores podem roubar milhares (até milhões) de registros confidenciais de clientes e roubar as informações comerciais mais valiosas de uma empresa.

A chave para criar resiliência cibernética no data center, explica Louis, é começar com Zero Trust: ou “a crença de que o data center já foi violado e que danos adicionais devem ser contidos e interrompidos imediatamente”.

Ele continua compartilhando que “os invasores estão continuamente aprimorando suas habilidades para encontrar e explorar lacunas nas arquiteturas de segurança de data centers e nas pilhas de tecnologia. Essas lacunas geralmente aparecem quando plataformas de segurança locais de longa data são estendidas para a nuvem sem as configurações corretas, deixando os sistemas vulneráveis a violações.”

For organizations looking to fortify their security posture with a robust Zero Trust architecture, Louis shares that NIST recommends prioritizing microsegmentation, also called Zero Trust Segmentation, from vendors like Illumio, alongside other identity-based governance, authentication, and network and endpoint security management solutions.  

See why 60% of enterprises working toward Zero Trust will use more than one form of microsegmentation by 2026, according to Gartner research.  

A better definition of Zero Trust (LinkedIn, Don Yeske)

Gostei muito deste artigo do LinkedIn do Diretor de Segurança Nacional do Departamento de Segurança Interna (DHS). Nele, ele pede uma definição mais consistente e acessível de Zero Trust — uma que os líderes de todos os departamentos e tamanhos possam apreciar e traduzir em ações.  

Ele argumenta que os mandatos do Zero Trust não são apenas um grito de guerra para os profissionais de segurança cibernética, mas um imperativo para todos os líderes empresariais e organizacionais atuais.  

Ele explica: “O sucesso depende de uma visão compartilhada que todos não apenas entendam, mas também endossem, e pela qual todos estejam dispostos a trabalhar e se sacrificar. A confiança zero competirá com outras transformações, em termos de tempo, dinheiro e atenção. Em última análise, não serão os profissionais de segurança cibernética que determinarão o resultado dessa transformação plurianual. Serão líderes em todas as disciplinas, em todos os níveis, em todas as organizações, que devem se unir para esse propósito comum.”

Resumindo, ele propõe isso como um novo slogan para Zero Trust: “Zero trust é uma mudança em nossa abordagem à cibersegurança: da segurança centrada na rede para a segurança centrada nos dados”.

For more federal Zero Trust insights, check out this episode of Illumio’s The Segment: A Zero Trust Leadership Podcast.  

Isso é tudo para este mês. Voltaremos com mais histórias do Zero Trust em breve!