Adopter le Zero Trust : API et leçon d'histoire

Jan 07, 2024

Accueil » Réseau de blogueurs de sécurité » Adopter le Zero Trust : API et leçon d'histoire

Regardez cet épisode sur YouTube, Apple, Spotify, Amazon ou Google. Vous pouvez lire les notes de l'émission ici.

Au cours des dernières années, les attaques contre la chaîne d’approvisionnement et leurs impacts ont dépassé ou dépasseront bientôt ceux causés par les ransomwares. Il n'est donc pas surprenant que les API constituent un vecteur d'attaque critique que les acteurs malveillants aiment exploiter. Pourtant, de nombreuses organisations ne comprennent pas bien le nombre de portes qu'elles ont accès à leurs données.

Cette semaine, nous discutons avec le parrain du Zero Trust, le Dr Zero Trust, et un responsable de la sécurité de l'état actuel de la maturité de la sécurité des API. En pensant à nos invités, nous avons bien sûr également profité de l'occasion pour discuter un peu de l'histoire de Zero Trust.

Cette semaine, nous avons trois invités très spéciaux :

John Kindervag, le créateur (parrain) du Zero Trust

Chase Cunningham, alias Dr Zero Trust, et désormais vice-président des études de marché pour G2

Richard Bird, responsable de la sécurité de Traceable AI

Comme tout autre concept de cybersécurité, les API doivent disposer d’un inventaire des actifs

Il existe une marge d’erreur suffisante liée à l’utilisation prévue des API qui nécessitent une surveillance/vérification continue

Il existe actuellement un écart de maturité associé à la sécurisation de l’utilisation des API au nom de la rapidité et de l’innovation, et il n’existe souvent pas de propriétaire bien établi.

Nous prendrons une pause de publication pour le mois de septembre car ma fille est arrivée, et je devrai rattraper tout le sommeil que je peux obtenir. Nous devrions être de retour en octobre et continuer jusqu'aux vacances avant de terminer la saison deux. Je travaille également sur quelques séries de podcasts expérimentaux pendant mon congé parental, alors restez à l'écoute. Au moins un en particulier devrait intéresser notre public ici. De plus, si vous travaillez pour une organisation de cybersécurité et que vous souhaitez lancer un podcast, glissez-vous dans ma boîte de réception si vous avez besoin d'un coup de main.

Gagnant du concours

Si vous avez regardé notre dernier épisode avec Yubico, vous avez, espérons-le, vu le cadeau. Ils ont eu la gentillesse d'offrir deux Yubikeys aux auditeurs, et nous avons nos gagnants ! John C et Simon D, vous êtes nos gagnants. Nous vous mettrons en contact avec Yubico pour obtenir votre clé. Une fois de retour, je ferai probablement un cadeau Flipper Zero.

Message d'intérêt public rapide pour les utilisateurs de LinkedIn

Si vous n'avez pas MFA/2FA sur votre compte LinkedIn, activez-le dès maintenant. Il y a une campagne massive de piratage de compte en cours qui s’étend sur les 60 derniers jours, et c’est le meilleur moyen d’empêcher le gel de votre compte. Dites également aux gens d’arrêter de réutiliser les mots de passe.

Et maintenant, passons à notre épisode…

Malgré les innombrables outils dont nous disposons pour prévenir, détecter et atténuer les cybermenaces, nous savons tous qu’il n’existe pas de solution miracle pour protéger pleinement une organisation. Appelez-le Défense en profondeur, Sécurité dès la conception ou même Zero Trust, et chacun de ces concepts se concentre sur le développement d'une approche à plusieurs niveaux pour réduire la cible sur votre dos.

Mais voici le problème… outre les attaques Zero Day, dans la plupart des cas, nous savons comment les adversaires sont susceptibles de tenter de nous attaquer. Voici Chase qui explique pourquoi des concepts tels que Zero Trust sont bien plus essentiels pour une organisation que la simple tentative de résoudre des problèmes avec la technologie et les outils :

« Pourquoi devrais-je guérir la maladie alors qu'il y a plus d'argent à gagner quand je peux traiter les symptômes ? Je sais, voici une autre nouvelle fonctionnalité qui, je le sais, fera autre chose, mais cela ne résoudra pas tous les problèmes, même si je sais que je pourrais, mais cela prendra juste un petit avant-goût. C'est comme, c'est comme le crack ZT, non ?

Vous en reniflez juste un petit peu, et puis vous en voulez encore, et puis vous en voulez plus, et cela ne cesse de empirer, de pire en pire, et… Les principes fondamentaux, c'est ça, et John et moi parlons à ce sujet tout le temps, tout comme les principes fondamentaux de ce que nous devrions faire, sont bien connus. Cela m'étonne que les gens se demandent encore où ils devraient concentrer leurs efforts ou quoi que ce soit d'autre alors que nous avons des volumes de recherche et des organisations entières dédiées à cela, comme si c'était le seul endroit dans toute guerre, l'adversaire vous dit comment il " Si je vais venir vers vous et que les gens restent assis, je me demande comment cela va fonctionner.