Transformar: o tema deste ano representou bem os últimos 2 anos, tanto no lado pessoal como profissional. Todos nós fomos desafiados e inspirados, frustrados e renascidos. Os sistemas e equipes mudaram, as prioridades passaram a ser outras e os ataques se tornaram ainda mais sofisticados.
Nesta segunda parte vou compartilhar a nossa análise sobre as tendências de segurança que observamos nas sessões de palestras do RSA Conference 2022.
Por: Akira Eguti
O risco assume o centro do palco
A discussão deste ano sobre risco superou a segurança enquanto analisamos o cenário geral. Os apresentadores exploraram a tecnologia operacional e os riscos específicos a ela, bem como o impacto positivo que os BISOs estão causando nas organizações, estimulando a inovação e uma melhor conexão de negócios para as equipes de segurança.
O risco de terceiros foi um tema-chave, assim como o impacto das considerações de privacidade, pois as propostas apresentaram estudos concretos com conclusões tangíveis, KPIs e métricas vinculadas aos resultados de negócios.
Não precisamos inventar a roda, existe uma estrutura para isso!
Admiramos muito os frameworks de segurança. Neste ano, os frameworks explodiram enquanto trabalhávamos no mapeamento de tudo para tudo, técnico e não técnico. Reconhecemos as estruturas como essenciais para ajudar grupos diferentes a se comunicar, priorizar, medir e relatar. Houve também o surgimento de novos paradigmas e um tom que parece encorajar mudanças de uma dependência excessiva da terminologia militar e do uso de termos de desenvolvimento que podem ser ofensivos para alguns.
De volta ao básico
Uma variedade de sessões exploraram um novo retorno ao básico, seja como os líderes se envolvem com suas equipes, alcançam segurança com ferramentas e tecnologias já existentes e estabelecem uma higiene clara e consistente. Observamos um aumento em inicitaivas de Zero Trust nos primeiros 90 dias de um novo gestor.
Desafios do Supply Chain
Os ataques contra a Colonial Pipeline e Kaseya foram os exemplos que mais escutamos, até pela proporção e extensão das suas consequências. O sentimento geral é de que “não é uma questão de se, mas quando um ataque ocorrerá com sucesso” principalmente relacionado a ataques de ransomware. Foram discutidos os desafios dos SMBs na cadeia de suprimentos e pontos de exposição que eles podem criar, além de relatos sobre experiências, desafios legais e de governança introduzidos por políticas de seguro relacionadas à questão “pague ou não”.
Ainda participamos de sessões bem interessantes falando sobre a segurança de software na cadeia de suprimentos. As complexas e dinâmicas estruturas dos softwares modernos criaram uma falta de visibilidade sistêmica da composição e funcionalidade desses sistemas, contribuindo substancialmente para o risco de segurança.
Nas sessões o tema SBOM (Software Bill Of Materials ou Inventário da Estrutura de Software) foi novamente trazido à discussão. O SBOM é uma lista de todos os componentes de código aberto e de terceiros presentes em uma base de código. Ele também lista as licenças que regem esses componentes, as versões dos componentes usados na base de código e seu status de patch, permitindo que as equipes de segurança identifiquem rapidamente quaisquer riscos de licença ou segurança associados.
Foram explorados os desafios que o SBOM cria, preocupações com o gerenciamento do ciclo de vida do aplicativo, a legalidade do que significa quando o código do parceiro falha e os desafios para realmente manter o código, seja comercial ou de código aberto. Também vimos discussões relacionadas a ameaças internas e abordagens por uma variedade de caminhos, desde DevSecOps, integridade de software, ferramentas de código aberto, proteção de dados e o ecossistema da cadeia de suprimentos.
Zero Trust: Será que está maduro?
Depois que a ordem executiva para melhorar a ciber segurança americana foi emitida pela Casa Branca em maio de 2021, isto impactou praticamente tudo dentro dos Estados Unidos e por tabela vários de seus parceiros comerciais. Se isto será superficial ou a longo prazo só o tempo dirá.
O que percebemos no geral, é que o tom das sessões e discurso dos fabricantes estavam voltados para “adotar os princípios de segurança do Zero Trust e ajustar as arquiteturas de acordo com a disciplina”. O foco das ofertas ainda parece enraizado em ferramentas primárias, como gestão de identidade e acesso, criptografia de dados, controle de rede e tecnologias voltadas aos endpoints. Alguns debates aconteceram para discutir sobre onde estamos na curva de maturidade, quais problemas podem ser atendidos de maneira única com esta abordagem e até mesmo o que realmente é o Zero Trust.
É nítido que não há ainda um consenso sobre as melhores abordagens, apesar do tema existir desde 2009.
A nuvem em constante expansão
O ano de 2021 foi definitivamente nublado, com uma tempestade perfeita de imediatismo do trabalho em casa e iniciativas de transformação digital colidindo com um choque estrondoso. As sessões exploraram novas abordagens de modelagem de ameaças, juntamente com um apelo criação de um banco de dados de vulnerabilidades comum, desafios de governança, ataques focados na nuvem com consequências sistêmicas e segredos guardados de CSPs emergentes. As abordagens de shift left e os sucessos dos Kubernetes são sinais positivos para a nuvem.
Inteligência Artificial e Machine Learning
As sessões focadas em IA/ML assumiram um foco comercial interessante este ano. Junto com os hacks orientados por IA (sim, a IA parece estar ficando mais inteligente), vimos mais sessões sobre ética e detecção de viés algorítmico. Além disso, aplicações práticas e tangíveis surgiram ao lado de discussões sobre como o cenário regulatório global está evoluindo.
Passwordless?
A gestão de credenciais e o tema passwordless também foram o centro das atenções. As estratégias e arquiteturas ultrapassaram conversas conversas de MFA e exploraram operações sustentáveis, interoperabilidade e desafios legados, além de vetores de ataque e problemas específicos para abordagens sem senha.