A defesa cibernética requer uma reforma de identidade, argumenta Tushar Kumar, do Codec.
Imagine um castelo com paredes imponentes, um fosso profundo e um exército de guardas. Durante séculos, essa fortaleza era impermeável a ameaças externas. Mas com o tempo, seus inimigos ficaram mais inteligentes e desenvolveram novas armas e tecnologias. Eles perceberam que não precisavam subir as paredes para derrotar seu inimigo no castelo, mas poderia assumir isso de maneiras diferentes.
Essa metáfora encapsula o estado atual da segurança cibernética. As defesas tradicionais, como firewalls e monitoramento de rede, uma vez que o padrão de proteção ouro não é mais suficiente diante de ataques cibernéticos cada vez mais complexos. E com as ameaças em evolução, é claro que é necessária uma nova abordagem.
Usando zero confiança como base
O crescente nível de sofisticação de ameaças cibernéticas, adicionado às limitações da segurança tradicional baseada em perímetro, levou as empresas a começar a adotar modelos de segurança fiduciária zero como resposta.
As defesas tradicionais baseadas em perímetro, que dependem de garantir os limites da rede, são cada vez mais ineficazes contra ameaças modernas, como ataques internos, roubo de credenciais e ameaças persistentes avançadas (APTs). Violações de alto perfil, como o ataque de 2020 Solarwinds, destacam como esses modelos não conseguem proteger contra ameaças que ignoram ou exploram a confiança implícita.
Várias violações de alto perfil aumentaram ainda mais a adoção de confiança zero em todo o mundo dos negócios. UM Relatório da Cisco Em 2023, indicou que quase 90pc de organizações em todo o mundo começaram a implementar algum aspecto do modelo de segurança fiduciária zero, refletindo um reconhecimento global de sua importância em face de evoluir as cibermeias.
No entanto, apenas a confiança zero não é suficiente para enfrentar todo o espectro dos desafios de segurança modernos. Sua eficácia depende da verificação precisa da identidade e do controle de acesso granular, que é onde a segurança baseada em identidade se torna essencial.
O papel da identidade na segurança cibernética moderna
Uma maneira eficaz de explicar por que a primeira segurança é essencial para qualquer empresa é com essas três estatísticas: 90pc de organizações experimentadas pelo menos um incidente relacionado à identidade no ano passado; 86pc de violações de dados envolvem o uso de Credenciais roubadas; E o custo médio de uma violação de dados atingiu uma alta de todos os tempos em 2024 de US $ 4,88 milhões, um aumento de 10 % em relação a 2023.
Essas altas porcentagens são difíceis de ignorar. Se essas tendências continuarem na mesma direção, a manchete lê que quase nenhuma organização estará a salvo de uma violação de identidade e as consequências serão caras.
Para combater essa ameaça, as empresas que implementaram a estrutura de confiança zero precisam aprimorá-la de uma perspectiva de identidade, com ferramentas como autenticação multifactor (MFA), controle de acesso baseado em funções (RBAC) e análise comportamental. Essa abordagem garantirá que apenas os indivíduos certos tenham acesso aos recursos certos nas circunstâncias certas.
Ao focar na identidade e não apenas no processo de verificação, reduz o risco de roubo de credenciais, acesso não autorizado e ameaças internas, que foram a causa de algumas das violações de segurança mais de alto nível nos negócios globais.
E como as ameaças estão evoluindo em complexidade, também são algumas das contramedidas, trazendo práticas que substituirão outras, as quais estamos acostumados há muitas décadas.
Adeus senhas
Agora que a maioria das empresas está operando na nuvem, a urgência para abordar a segurança baseada em identidade nunca foi maior. Os ambientes de nuvem, embora essenciais para escalabilidade e eficiência, são inerentemente expostos devido à sua vasta superfície de ataque, recursos compartilhados e dependência da identidade do controle de acesso. Se as empresas não tiverem uma estrutura de segurança apropriada, elas permanecem expostas a violações de dados que comprometem a confiança do cliente e ameaçarão sua própria sobrevivência.
Uma estratégia de identidade está se tornando cada vez mais crítica devido a várias tendências fundamentais. Um dos principais driver é a adoção generalizada de métodos de autenticação resistentes a phishing, como passagens, que estão substituindo gradualmente as senhas tradicionais. Sim, estamos no meio de experimentar o despedido lento do uso de senha. O uso de Passkeys visa garantir bilhões de contas de usuário contra ataques de phishing, afastando -se da dependência de credenciais facilmente comprometidas e em direção a soluções biométricas.
Olá Ai
A evolução da tecnologia de IA também é uma crescente ameaça de segurança cibernética. Os cibercriminosos estão agora implantando técnicas avançadas, como e-mails de phishing gerados pela IA, que podem ser difíceis de distinguir das comunicações legítimas. Com a segurança de identidade em vigor, você pode combater ameaças de phishing geradas pela IA com ferramentas avançadas, como autenticação resistente ao phishing, análise comportamental e controles de acesso dinâmico.
A IA é uma faca de dois gumes: enquanto alimenta ataques sofisticados, também equipa os defensores com ferramentas para prever e frustrar ameaças proativamente. Mas, à medida que a IA continua moldando a segurança cibernética, as implicações de manter sua empresa segura vão muito além da mera eficiência e tecnologia.
Impacto nos negócios
As apostas para a segurança cibernética se estendem muito além dos departamentos de TI e da simples conformidade. Os custos financeiros e de reputação de não garantir identidades são dolorosamente reais. Em 2019, a Capital One viu seus dados violados por um hacker que expôs as informações de mais de 100 milhões de clientes. As consequências? Uma multa de US $ 80 milhões por negligência e uma queda de 15 % em seu valor de mercado de ações.
Marriott, Uber, Yahoo e Equifax são apenas uma pequena amostra das empresas que sofreram uma violação de dados caros na última década. Mas isso está longe de ser um problema que afeta apenas as principais empresas do mundo.
Pesquisa sobre fraude de identidade Por Regula, em 2023, revelou que 90pc de pequenas e médias empresas encontraram incidentes de fraude de identidade no ano passado, com uma média de 10 por empresa. As empresas de nível corporativo podem parecer uma perspectiva mais gratificante para hackers, mas seria míope considerar a fraude de identidade algo com o qual apenas empresas multimilionárias deveriam se preocupar. Com o custo médio de uma violação de dados quase 5 milhões, é claro que a segurança dos dados não pode ser ignorada.
Controles de identidade ineficazes têm repercussões além das finanças: eles prejudicam a confiança do cliente.
Você colocaria seus dados pessoais nas mãos de uma empresa que acabou de experimentar uma violação de dados grave?
A confiança, uma vez perdida, é difícil de recuperar.
As empresas não devem apostar com sua sobrevivência e devem priorizar as medidas de segurança baseadas em identidade para proteger seus clientes e sua reputação. Chegou a hora de proteger o castelo de dentro.
Por Tushar Kumar
Tushar Kumar é o líder da equipe de segurança em nuvem no Codec. Ele é um arquiteto de soluções em nuvem certificado do Azure e Microsoft MVP. Ele é especializado em planejar, projetar e proteger aplicativos no Azure, com profunda experiência em migrar arquiteturas corporativas de instalações para a nuvem.
Não perca o conhecimento necessário para ter sucesso. Inscreva -se para o Breve diariamenteDigest de Notícias de Sci-Tech da República de Silício.
