Uma Introdução ao ThreatTank – Episódio 2: Tendências de Ataque Trimestral
Tom Gorip: Bem-vindo ao ThreatTank, um podcast que cobre a mais recente inteligência de ameaças. Resposta a ameaças e insights sobre o cenário de segurança em todo o mundo. Sou o seu anfitrião, Tom Gorip, Vice-Presidente de Serviços de Segurança da Edgio, e hoje me juntei Richard Yew, Diretor Sênior de Gestão de Produtos da Edgio Security Solutions, e Michael Grigshaw, Diretor de Engenharia de Plataformas da Edgio.
Tom Gorip: Bem-vindo, Richard, Michael.
Richard Yew: Obrigado por me ter aqui novamente.
Tom Gorup: Isso pode se tornar um tema recorrente, Richard. Então, da última vez eu abri com uma pergunta quebra-gelo e senti que tínhamos que continuar, mas encontrar uma não é fácil, certo?
Porque eu acho que nós estabelecemos uma barra sólida da última vez. Então, aqui está o meu quebra-gelo. E pelo que vale a pena, eu não dei tempo para pensar sobre isso também. Então, eu vou me juntar a este. Mas aqui está uma pergunta. Eu vou te perguntar primeiro, Michael. Vou colocá-lo no local. Se você tivesse que ficar preso em um programa de TV por um mês, um mês inteiro, qual programa você escolheria e por quê?
Michael Grimshaw – Eu tenho que admitir a primeira coisa que vem à minha mente e eu não estava nem vivo na primeira execução desta seria provavelmente a Ilha de Gilligan porque a ideia de passar um mês inteiro em uma ilha tropical, mesmo que você tenha que usar o professor para descobrir como obter água corrente ou qualquer outra coisa assim. Uma ilha tropical agradável por um mês não soa muito ruim.
Tom Gorup: Que resposta. Eu amo isso. Não, eu não vi a Ilha de Gilligan em muito tempo, e eu nem vou dizer isso em voz alta faz muito tempo desde que eu assisti. Essa é uma boa resposta. E você?
Richard Yew: Ah, uau, isso é difícil. Você sabe, eu estive pensando bem, eu quero dizer que eu disse uma Peppa Pig como é lá qualquer outro programa de TV que tem porcos, você sabe que eu vou manter o mesmo tema de porco em andamento, mas eu acho que vou parar com isso.
Acho que para mim, como o Hands Down Game of Thrones, como, quero dizer, eu ficaria preso dentro de Game of Thrones, mas talvez eu vou ter o primeiro dia ou o último dia, quem sabe? Mas, sim, quero dizer, vamos com isso.
Tom Gorip: Isso é isso. Sim. Isso é corajoso.
Richard Yew: Sim. Isso é muito corajoso. Sim. Eu sou muito ousado, cara.
Richard Yew: Eu provavelmente vou colocar minha capa preta e apenas ficar em uma parede e ver o que acontece.
Michael Grimshaw: Bem, Tom, deixe-me também dar-lhe o inverso. Qualquer Game of Thrones e qualquer programa de cinema com tema zumbi seria para não fazer parte de uma lista.
Tom Gorup: Essa é uma boa resposta. Você quer sobreviver, certo? Isso é justo.
Richard, homem, ousado. Game of Thrones. Então, eu estava doente na semana passada, infelizmente. Eu tive COVID, que era miserável. Mas eu fiz o acompanhamento em alguns reruns antigos da Casa. Então eu acho que eu iria, eu escolheria House. Eu definitivamente quero sentar em algum diagnóstico e provavelmente dizer que não é lúpus. Eu só preciso dizer pelo menos uma vez.
Não é lúpus. Nunca é lúpus. Esse seria o meu show por um mês. Eu acho que seria um bom momento, pelo menos eu sei que minha taxa de sobrevivência seria muito alta em comparação com a escolha de Richard lá.
Tom Gorup: Tudo bem. Então não estamos aqui para falar sobre programas de TV.
Estamos aqui para falar de um novo relatório de tendências com o qual o Edgio está a sair, com o qual estou super entusiasmada. Estou a tirar um instantâneo do Q4 e a analisar todos os tipos de tendências. Esta é a primeira vez em muito tempo, em anos, eu diria que é uma espécie de renascimento deste relatório.
E estamos cobrindo todos os tipos de pontos de dados de métodos de solicitação, tendências ao longo do tempo, uh, tipos MIME, todos os tipos de geolocalização, uh, e isso é bem, eu meio que trouxe vocês dois aqui hoje para falar sobre porque eu acho que há muitas ideias interessantes de olhar para os dados dessa maneira, eu acho que às vezes você pode olhar para conjuntos de dados.
Você é como, bem, então o quê? O que importa? Por quê? Por que eu estou olhando para isso? Como podemos olhar para esta informação e extrapolar algum valor dela? E então eu estou muito animado para conseguir ambos o seu trabalho. Insights. Então, para tipo de categorias de alto nível de tópicos que tipo de veio à mente que estaria novamente interessado em suas perspetivas sobre uma era arquitetura de aplicativos, certo?
Arquitetura de aplicativos – O que você observa importa
Tom Gorip: Se estamos olhando para estes, este relatório, pensando na nossa arquitetura, nossas aplicações, como estamos aproveitando nossas ferramentas para ser devidamente configuradas com base na arquitetura do nosso aplicativo e talvez também alguma conformidade. Aspectos de, uh, como podemos usar essas informações para começar a pensar novamente, nossos aplicativos de uma maneira diferente.
Então, para começar, acho que a arquitetura de aplicativos. Então, tipo de obter um quadro de referência aqui. Há dois pontos de dados neste relatório. Veja os métodos de solicitação em tipos de mente, e há mais. Nós podemos definitivamente sentir-se à vontade para, você sabe, vocês viram que os relatórios têm acesso. Você pode puxar o que você tem lá.
Mas primeiro, o quê? Por que é importante olhar? Esses tipos de coisas como métodos de solicitação em tipos de mente. Quero dizer, quando eu olho pela primeira vez para o relatório, era como nove mais de 98 por cento dos pedidos para obter posts. O quê? Bem-vindo à Internet, certo? Como, por que é importante olhar para esses dados dessa maneira? O que vocês acham?
Michael Grimshaw: Não, eu chamaria para fora, você sabe, algumas das coisas grandes que vem à minha mente é o que você observa importa, o que você está olhando importa. Então, lá, podemos falar de arquitetura e construção como novos aplicativos greenfield e toda a arquitetura sobre isso de um lado.
Mas a primeira coisa que eu obteria, e é o poder de relatórios como este e dados e informações como este, obviamente inteligência de ameaças. Eu sou um grande crente em fazer sua arquitetura em torno de sua conformidade, suas necessidades de segurança, e realmente os requisitos não-funcionais é, você sabe, a lógica de negócios de seu aplicativo não é um pequeno pool, mas longe estão os dias em que você pode apenas se concentrar em apenas lógica de negócios e uma coisa, você tem que estar olhando para várias dimensões, como como você pode ajustar sua observabilidade, como você pode tomar abordagens mais avançadas de infraestrutura e plataforma, como pavimentação e rotação de credenciais.
Eu posso falar, podemos falar por dias sobre isso, mas o grande que se resume a isso é ter inteligência acionável para saber o que você está procurando. Então, a partir de um aplicativo, de suas ferramentas mencionadas, essa é uma das primeiras coisas que eu chamaria, entendendo onde você estava, você sabe, quais são os vetores. O que os atores estatais estão aproveitando o que as crianças de script e todos os outros estão aproveitando que precisam informar o que você está olhando para o que você sabe, se você está fazendo, trimestralmente, você sabe varreduras, espero que você esteja fazendo varreduras mais do que apenas trimestralmente, obviamente. Dependendo do seu perfil de conformidade, você precisa fazê-los em um mínimo trimestral, mas espero que você esteja passando para mais um modelo DevSecOps SHIFT Right, onde você está digitalizando continuamente ou onde você está monitorando continuamente para a segurança de construção e mobilidade.
Então, a primeira coisa que eu chamaria é esses dados. Esta informação é importante saber. O que você precisa estar observando mais de perto, o que você precisa para ajustar sua pilha de observabilidade para procurar sua pilha de observabilidade de segurança e, em seguida, inversamente no turno, certo? Ele está prestando atenção a mais coisas e mais vulnerabilidades potenciais que você poderia introduzir em seu código para garantir que você não faça isso.
Você tem que ter um olho em seu horizonte. Sempre que tivermos uma dessas conversas, você ouvirá muitas analogias, mas é como se você estivesse correndo se estiver em uma maratona ou se estiver fazendo corridas cross country ou algo parecido, você mantenha os olhos no horizonte para que depois de ter que mudar taticamente. De uma forma ou de outra por causa de um buraco, você conhece um rio ou algo assim. Você não está perdendo de vista os horizontes em que está correndo.
Richard Yew: Quero dizer, do outro jeito, como você olha para isso, certo?
É também quando se trata de arquiteturas de aplicativos, sabe, quando olho para os dados, como Tom disse, a maioria das solicitações pode ser imposta, mas você sabe, é internet, certo? Mas eu acho que uma das coisas que você quebra, é também quando você olha para os dados, como quantas solicitações, porque ele conta as histórias do tipo, quais são as conversas do conteúdo que estamos recebendo, certo?
Obviamente. Se você está executando um monte de espaço de aplicação, você sabe, especialmente como, digamos que você tem um spa, certo? Como suas arquiteturas primárias, certo? Você vai ver um monte de posts. Você vai ver muitos métodos diferentes, certo? Se você pegar um monte de conteúdo gerado pelo usuário, você pode ver um monte de posts e colocar, certo? Por isso, é um bom colapso para ver. E também, dado que são dados de segurança, isso significa que esses dados vêm de um firewall de aplicativo da Web, certo? Ele realmente vê o quanto das cargas úteis que inspecionamos que realmente trips muito.
Então, neste caso, muitas vezes eu acerto. Mas você também vê uma quantidade bastante significativa dessas coisas vindo do post porque é aí que os payloads, então é muito, e realmente conta uma história sobre a superfície. As áreas de superfície do seu ataque, e ele lhe diz que se você apenas olhar para as distribuições do seu método de solicitação, certo, qualquer coisa que receba qualquer endpoint em oposição, certo, você vai ter uma área de superfície muito maior porque, você sabe, o post é como, eu uso uma analogia e as pessoas me dizem que é burro, está na casa, como o pedido do post, é como o seu lixo e seus banheiros e, você sabe, seu, seu público, uh, alguém, como apenas enviar-lhe um payloads, você sabe o que eu estou dizendo?
Tipos MIME
Tom Gorip: Eu amo o que você está dizendo, no entanto, é que coisas como o método Just Request começam a pintar uma imagem. Conte uma história sobre seu aplicativo, como ele está sendo usado, como ele está sendo atacado, onde ele pode ser vulnerável. Dá-lhe uma boa perspetiva. E isso leva diretamente para o tipo de MIME também.
Uma coisa que eu pensei que era interessante, eu adoraria ter os pensamentos de seus caras sobre isso, é o que nós vimos isso acontecer é um, é uma grande quantidade, 76 por cento desses blocos. Novamente, esta atividade WAF é, era tipo MIME JSON de aplicativo. Então, muita prevenção ao redor. Tipo de solicitação JSON, e o que isso nos diz sobre a Internet como um todo, como os aplicativos estão sendo desenvolvidos e arquitetados?
Richard Yew: Quero dizer, vou começar com isso. Como ele basicamente diz a você de onde seus junks vêm, certo? Em certo sentido, JSON faz sentido porque, como, a maioria do endpoint da API, uh. UH, como RESTful, mesmo nem mesmo RESTful, como GraphQL, você o nomeia, certo? Contém como cargas úteis JSON. Um, certo. Então isso é par para o curso, na minha opinião, não deve ser nada que seja surpreendente para muitas organizações, certo?
Obviamente você também vê como payloads vindo de como tipo de conteúdo HTML, uh, você vê um monte como do XML, certo? Então, você definitivamente quer uma coisa quando se trata de projetar e mecanismos de segurança, certo? Você não quer apenas olhar para JSON, mas você só quer, porque eu vi certos produtos de segurança, eles só podem analisar Say XML.
Que eles não têm capacidade de analisar JSON. É como, se você não puder analisar JSON, você não pode olhar para os payloads. Então você quer ter certeza de que você tem a capacidade de JSON. Você tem que se certificar de que seu analisador está até a velocidade. Quero dizer, adivinhe? Porque a maior parte disso passou para, para um WAV é gostar de explorar o analisador.
Então eles estão enviando payloads através de um formato de codificação especial ou como eles, eles iriam enviá-lo em um formato como. Mesmo às vezes apenas mudar. Este é um JSON, mas mudou o formato para multi-parte, seja qual for. E a web parou de analisá-lo porque ele apenas olhou para cabeçalhos. OH, isso não é JSON. Então eu não estou analisando isso.
Então, é assim que você obtém a carga útil para deslizar. Então, é definitivamente algo que você quer ser capaz de, fazer anotações de como, uau, JSON, é o mais popular. Você também quer olhar para o que são alguns dos mais obscuros. Aqueles e itens lá que eu quero apontar, mas eu vou salvá-lo para mais tarde.
Michael Grimshaw: Eu acho que Richard fez um grande ponto é que apenas um X e nenhum analisador não o cobre na era moderna do desenvolvimento web. Eu não acho surpreendente que o aplicativo JSON e JSON payloads representam uma porcentagem tão grande porque no desenvolvimento web moderno, JSON está no mundo, você sabe, e não é apenas desenvolvimento web.
Você olha, por exemplo, alguém deve nuvem. UH, se você está falando, sobre o CloudFormation e a AWS e outros, você sabe, deixe-me usar porque a AWS é grande lá fora. Não foi há muito tempo, quatro ou cinco, talvez um pouco mais anos atrás. Não me lembro da data exata, mas o CloudFormation era inteiramente XML e depois movido para JSON-based e isso assumiu totalmente.
Portanto, é infraestrutura de desenvolvimento web, JSON. Sim, você tem que ser capaz de analisar em JSON, bem como XML, mas o ponto de Richard também é até mesmo o mais esotérico e o outlier é que você tem que ser capaz de analisar todos os dados.
Richard Yew: Sim. Falando em outliers quando olho para os dados, certo, eu sempre olho para os pontos de dados menores, como os 1 por cento ou os 0,5 por cento ou algo que se destacou diretamente do relatório é que temos 0,14. Assim, 0,14 por cento da quantidade de rastreamento semelhante de dados. Outras informações não caraterizadas, certo? Mas pode parecer estranho, mas quando você está falando sobre bilhões de bilhões de pontos de dados por mês, quero dizer, 0,14 por cento dos bilhões, é bastante. E alguns desses tipos de conteúdo se parecem com imagens. JavaScript e outros, como você historicamente pensaria que, oh, esses são conteúdos estáticos, você sabe, como aqueles são altamente cacheáveis. Por que você colocaria WAV na frente de seus JPEGs?
Você sabe, como por que você tem muitas imagens, certo? O que você faz isso? Bem, deixe-me te dizer isso, certo? Há essa coisa chamada movimento lateral em segurança, certo? É como se esses JPEGs. Como, a menos que você esteja colocando-os no armazenamento, como na borda, direita, armazenamento na rede, e onde ele é apenas 100% servir, qualquer uma dessas solicitações vai de volta para seus níveis da web, você sabe, como em seus ambientes, se mesmo apenas 0,1% dessas solicitações remontam às suas origens, isso significa que o invasor pode realmente enviar cargas úteis, seja na forma de cabeçalhos, cookies, strings de consulta, argumentos, etc. et cetera, a partir da solicitação para um arquivo JPEG e enviar essas coisas para o seu backend. Então, se você está usando o mesmo backend para o seu, digamos, seu, você sabe, seu HTML e seu JPEG, como JPEG, certo?
Você pode ser suscetível a movimentos laterais porque eles estão dizendo: Ei, você sabe, como, este é apenas domínio de imagem. Como, talvez você não precise proteger isso. Muitas pessoas são como, por que eu colocaria um WAF? Desperdiça meu dinheiro, você sabe, gosta de colocar as proteções em uma coisa principalmente estática. E, novamente, isso é algo a notar.
Você sempre quer encontrar falhas porque como defensor, como alguém que é equipe azul, certo, você tem que estar certo o tempo todo. O atacante só precisa estar certo uma vez, certo? Você sabe, quem sabe, como os primeiros payloads na primeira solicitação JSON que acontece de ser encaminhada para as origens criou o backdoor. Isso pode acontecer.
Tom Gorup: Sim. 100 por cento e o que eu amo tipo de onde você está indo com isso, também, é, ele falou primeiro sobre pintar uma foto ou contar uma história sobre sua aplicação. Então, obter uma boa compreensão da arquitetura do seu aplicativo. E então onde você está aplicando seus controles?
Porque ao seu ponto em que você acha que talvez seja o menos vulnerável pode ser aquela avenida de abordagem quando estamos olhando, um, e outra vez, isso está dentro do relatório também. Mas quando estamos olhando para as categorias de ataques mitigados, 45% eram regras de controle de acesso, o que significa prevenção de solicitações de postagem.
Se o aplicativo não aceitar postagens, como Limitar seu cenário de ameaças, limite onde os invasores podem fazer cutucadas e prod em seu aplicativo aplicando regras de controle de acesso. Se você não aceitar o aplicativo, Jason, bloqueie-o. Direita. Evite-o. Não há razão para permitir que isso aconteça em 1º lugar.
E então você traz um bom ponto do tipo, olhando para o tipo de outliers, as porções menores do aplicativo. Eu amo esse processo de pensamento lá. Então, ao longo dessas linhas, vamos continuar a puxar esse fio um pouco. Assim, 45% são regras de controle de acesso onde bloqueamos 37%. UH, nós somos conjuntos de regras gerenciados.
Então isso é toda a sua inteligência de ameaças e seu cross-site scripting esses tipos de impostos. E então 19% eram regras personalizadas vendo isso e pensando como defesa de camada. Isso é o que eu pensei que aqui era que, à medida que os pedidos entram, eles estão passando por esses filtros que você precisa estar contemplando, certo?
Uma abordagem de defesa em camadas
Tom Gorip: Quando você implementa WAF ou controles de segurança em seu aplicativo, você precisa entender sua arquitetura e ajustar suas ferramentas de segurança para corresponder a isso. Para, novamente, limitar seu cenário de ameaças, mas então você também precisa de camadas, certo?
Michael Grimshaw: Você precisa de camadas. E uma das coisas que eu quero, e vamos, e eu quero falar com camadas, mas eu acho que isso é o que estamos falando aqui é apenas realmente brilha uma luz sobre a importância do ciclo de feedback entre seu desenvolvimento, seus desenvolvedores de recursos, seu SDLC, seus arquitetos, e sua equipe de segurança, porque se sua equipe de segurança ou seu WAF ou seu SOC ou o que quer que esteja voando cego, você sabe, eles não sabem, ok, devemos aceitar cargas JSON aqui?
Não postamos? O que, o que fazemos? É essa, essa comunicação, esse loop de feedback? Você pode economizar dinheiro até que a FTE perca tempo, economizar dinheiro em ferramentas, apenas um ciclo de feedback apertado entre seus desenvolvedores, seus arquitetos e seu, e sua equipe de segurança faz toda a diferença no mundo.
Richard Yew: Quando se trata das camadas, eu sempre digo, não, eu vou trazer meta buzzword, você sabe, como defesa em profundidade. Você sabe, como, eu realmente acho que precisamos, temos que ter uma mentalidade que, realmente tem ordem para seus termos. Mas talvez eu esteja errado.
Talvez haja um filtro de água de camada única, você sabe, eles estão usando carbonos de coco extravagantes, qualquer que seja, como você o nomeia. Direita. Mas geralmente, em geral, quando olhamos para valores mobiliários, certo? Nenhuma única camada pode ser assumida como uma bala mágica. Como, por exemplo, só porque você tem gerenciamento de bots não significa que você quer esperar que o gerenciamento de bots capture tudo, desde aplicativos, como DDoS até aquisições de contas.
Cada mecanismo funciona em conjunto. E da maneira que você está tentando colocá-lo, como você sabe, como. OK. Eficiente quanto possível. Por exemplo, estamos a tomar regras de excesso de 45%. Eu gosto de chamá-lo de ACL. Quero dizer, isso é apenas, é ACL, certo? É que a ACL geralmente é executada em nossa primeira camada. E há uma razão por trás disso, porque é barato correr.
É apenas um monte de como IPs, país, o que quer que seja. UH, ASN, assinaturas JA3, certo? Você os corre para trás porque é uma assinatura estática que qualquer coisa que viole esses dados. Imediatamente se afasta do futuro, como estamos em segundo sub milissegundos, sabe, certo? São as nossas camadas inteiras, plural corre em sub-milissegundos.
Mas você sabe, como você quer ser capaz de se livrar de tanto de seu lixo, certo? E eu costumava ter um amigo trabalhando na indústria é como se ele me dissesse, certo, isso é o que chamamos de encolhimento do palheiro. Você quer que você queira receber um monte de pedidos semelhantes, certo? E você tenta encontrar o ataque.
É como, bem, você está tentando encontrar aquela única solicitação HTTP que está carregando essa carga útil ruim e que resulta em uma violação. Então você está procurando uma necessidade de um palheiro. Então, seja capaz de rapidamente encadear o palheiro, remover o máximo possível desses lixo das camadas frontais para que as camadas mais sofisticadas possam processar.
Por dados adicionais, o que seria muito útil novamente, isso remonta ao fato de que não estamos apenas executando a defesa do perímetro, certo? É só porque você cruza, você quebra a parede. Não significa que haja, você deveria ter torres de vigia, certo? Na verdade, todo o conceito de defesa em profundidade é uma estratégia militar que veio dos romanos à medida que expandiram seus territórios ao ponto de se tornar um império.
Não é possível apenas ser paredes ao redor e certifique-se de que você só confia nos outros perímetros para derrotar o ataque. É por isso que. Temos uma defesa em camadas.
Michael Grimshaw: Absolutamente. E eu acho que poderíamos ter mencionado isso, nós cobrimos isso em uma discussão anterior, Richard. Eu gosto do exemplo de imunologia aqui é se sua saúde é dependente de um ambiente estéril, você é um homem morto.
Você sabe, não se trata de evitar, não se trata de ter um ambiente de isolamento e tudo dentro de seu estéril. Trata-se de construir imunidade. E a única maneira de você entender que é assim que você está livre de patógenos é desenvolver imunidade a eles e uma abordagem em camadas defensivas é necessária para isso.
É como você. Sim, você precisa dos melhores firewalls de rede. Você sabe, você precisa de um perímetro forte. Mas adivinhe o quê? Isso vai ser violado. Quero dizer, no mundo dos atores estatais e onde o mundo inteiro está, é potencialmente uma ameaça. Efetivamente, você precisa apenas planejar que seu perímetro será violado.
Então, uma vez que eles fazem isso, então qual é a próxima camada? E a próxima camada depois disso, e a próxima camada depois disso. E então como você está monitorando isso e fingerprinting esses tipos de violações para que você saiba o que eles estão indo atrás. Sim, é imperativo
Arquitetura distribuída
Tom Gorip: Isso é interessante, e por alguma razão, há pensando em como uma arquitetura distribuída joga nisso? Porque eu posso ver uma espécie de duas extremidades do espetro aqui. Você pode olhar para ele e olhar para o risco, você está adicionando entorse, mas então você também pode. UH, olhe para isso e, uh, trazendo mais valor. Distribuindo as cargas de trabalho entre, uh, várias regiões ou locais, permitindo mais disponibilidade.
Então, onde vocês veem isso jogando?
Michael Grimshaw: Absolutamente. Vivemos no mundo da arquitetura distribuída. Quando você tem uma pegada global, bem. Você sabe, mais de 300 pontos de presença em todo o mundo. Estamos em uma era de computação paralela distribuída em massa, e não somos apenas nós. Quero dizer, hum, isso remonta bem mais de 20 anos, mas esta é a essência do desenvolvimento web. Infra-estrutura da Web. Você tem que assumir que você está distribuído. Que você está correndo massivamente em paralelo e onde, a coisa que move a agulha aqui de uma segurança, de um suporte, e de um suporte de custo é a primeira coisa que eu chamaria para fora é evitar a evasão de flocos de neve, e isso também se relaciona com a conformidade, o que vamos chegar aqui em um pouco é que, se você estiver executando massivamente paralelo, distribuído massivamente, você precisa que sua infraestrutura seja o mais semelhante possível com o maior número de variâncias nessa arquitetura distribuída e distribuída. Um, um, um, porque quando você está falando com seus auditores, você pode afirmar, você pode atestar.
Michael Grimshaw: Sim, nós só temos que realmente olhar em um deles porque este é um cortador de biscoitos em cada, você sabe, nós temos que olhar, você sabe, e seus auditores vão prová-lo. Eles não vão apenas tomar um exemplo e correr com isso. Você pode dar uma olhada em qualquer um dos nossos pontos globais de presença e eles são basicamente exatamente o mesmo cortador de cookies um após o outro que ajuda a segurança.
Então você tem basicamente o mesmo modelo que você está indo como você está, como você está trabalhando em suas camadas e lançando suas camadas um, mas também como você está rastreando, digitalizando e observando. Essa seria uma das grandes coisas que eu falaria tanto quanto a arquitetura distribuída e a razão pela qual eu estava mencionando que com conformidade é porque se você está em um sistema distribuído massivamente, seus auditores não vão querer fazer teste de caneta e auditar cada um se eles puderem validar e verificar e você pode afirmar que eles estão corretos. Exatamente a mesma arquitetura, eles são concorrentes uns dos outros.
Tom Gorip: Isso tem que ser mais fácil dizer do que fazer, certo? Especialmente em falar de uma arquitetura distribuída em nosso cenário, certo? Não estamos falando de implantar um monte de instâncias do EC2 que estão vindo de uma imagem dourada em algum lugar.
Estamos falando como hardware. Direita. Em certo sentido. E como você operacionaliza algo assim?
Michael Grimshaw: Esse é um excelente ponto. E onde isso vem a um lá, é uma abordagem multi-camada para isso também. Não apenas a segurança que vem de você, de sua aquisição e de sua equipe de gerenciamento de ciclo de vida, você precisa estar alinhado nisso porque um bom exemplo, a razão pela qual me permite obter o Kubernetes é um ótimo exemplo.
Ele é distribuído em paralelo, não distribuído globalmente, mas você não estará executando um cluster do Kubernetes em todo o mundo. Mas o Kubernetes recebe um ótimo exemplo disso é que você encontra problemas no Kubernetes. Se você tem um monte de servidores que têm drivers diferentes ou diferentes, você sabe, nick cards diferentes ou hardware diferente, você basicamente não pode executar o Kubernetes.
É por isso que, como eu disse, trabalhar com sua gestão do ciclo de vida e sua equipe de compras para comoditizar sua infraestrutura. Essa é a ponta da lança na ponta da lança sobre isso. Você quer obter o seu hardware o mais semelhante possível um ao outro. Agora, deixe-me chamar para fora um grande risco que nós experimentamos recentemente durante o COVID é o problema que encontramos com a logística e o choque maciço para o espaço de distribuição global o fez para onde você, mesmo que você estivesse executando hardware de cortador de cookies commoditizado antes da COVID com os atrasos no envio com os choques para o transporte e transporte e logística.
Michael Grimshaw : De conseguir obter o mesmo tipo de chipsets ou qualquer outra coisa assim e não é apenas você, são as pessoas que você compra hardware de seus fornecedores, etc. É uma espécie de bola de curveball grande em que, de modo que levanta a segunda camada onde você tem que se adaptar e que está sobre quando você começa à imagem e o software real que você está executando nele, em primeiro lugar, como seu hypervisor ou seu sistema operacional ou seu hypervisor?
Essa é a próxima camada de onde, mesmo que não seja completamente uniforme por baixo, no entanto, você quer chegar lá o mais perto possível. A próxima camada é torná-lo tanto cortador de biscoitos e uniforme em sua imagem e na camada de hipervisor do sistema operacional. E então, a partir daí, uma abordagem semelhante com as aplicações.
Você quer obter isso o mais padronizado possível de segurança para custos por um monte de razões.
Richard Yew: Você sabe, eu vou te dizer como quando se trata de aplicativos. Certo, você sabe, disputado, eu sei que provavelmente é contrário à crença popular, e isso pode ser um pouco contra-intuitivo porque estamos pensando em arquitetura bem distribuída.
Por isso, estamos a tirar de servidores soft centralizados, ambientes cloud e estamos distribuídos em todo o mundo. E se eu lhe disser que ter uma arquitetura distribuída realmente torna sua superfície de ataque menor? Parece meio estranho. Parece meio, mas, mas pense assim, certo?
Ao ter distribuído, e é por isso que eu acho que é muito importante quando você está projetando aplicativos, especialmente estamos falando de site, certo? Você não, projete e o que eu acho um erro comum, e isso é segurança limítrofe. Então, se eu me desviar do tópico um pouco é que eu acho que há um erro em que eu vi pessoas, clientes, organizações, eles vão projetar os aplicativos com base em uma arquitetura centralizada e, em seguida, tentar executá-lo na plataforma distribuída como A, CDN, então você tem que criar um monte de otimização ainda como, Oh, o que precisa ser enviado, você sabe, depois do fato para as lógicas, mas você sabe, o moderno, é chamado de um design moderno, certo?
É realmente projetar aplicativos com arquiteturas distribuídas em mente. Seria como, por exemplo, você está acostumado a processar um monte de lógicas em um local centralizado. Você só usa CDN para armazenar em cache seu JPEG e seus arquivos estáticos, etc. Mas que tal você enviar algumas das lógicas?
Como, digamos que você apenas tome um exemplo realmente simples, como suas redirecionamentos, certo? Você como sua infraestrutura centralizada original vai fazer redirecionamentos para um cliente. E se você tiver dezenas de milhares de redirecionamentos ligados? Direita. HUM, que tal você mudar essas lógicas para a borda?
Que tal mudar essas coisas? E ao fazer isso, certo, quando eu digo Attack Surface, certo, você está, mudando essa lógica para a borda, certo, você está reduzindo as cargas, você está reduzindo a probabilidade de falha em um centralizado, como, como arquiteturas por, ter descarregando parte disso, você sabe, segurança ao ar livre é o que CIA, certo?
Richard Yew: Estamos falando sobre a parte de disponibilidade disso. É muito importante. Então eu diria movendo muitos deles, incluindo mecanismos de segurança. Então, se você for capaz de filtrar novamente, encolher o palheiro do ataque na borda externa dos perímetros, certo, você é suscetível, menos vulnerabilidade no seu centralizado, você sabe, uma nuvem ou hardware semelhante, espero que não mais.
Richard Yew: Vocês 2024, vocês sabem, mas hardware, mas basicamente chamamos de infraestrutura de origem e isso é muito importante. Posso dizer que há tantas outras coisas que você pode fazer porque estamos obviamente na borda do que estamos implementando muitas tecnologias e eu vou dizer a você, cara, como apenas fazer contagem distribuída.
Em cerca de 1 milissegundo e tendo todos os servidores, como, por exemplo, coisas, certo, que os dados, é uma dor, você sabe, quando você está tentando sincronizar o número de pedidos contagem por segundos em todas as suas infraestruturas, uh, dentro de um pop, certo? HUM, mas eu, eu acho que é algo que você quer fazer uso.
Richard Yew: Então, então, em vez de ter apenas um cérebro central, como, uh, lógicas em sua, em sua arquitetura centralizada. Começou talvez dividi-lo assim como os humanos, sabe, os cérebros humanos são arquiteturas tecnicamente distribuídas. Você tem seu cérebro e você tem seu cérebro de lagarto. E adivinha o quê? Porque, porque quando você toca algo quente, você não terá tempo para reagir.
Richard Yew: Se essas coisas têm que passar por um cérebro central. Você tem que se queimar antes de puxar para trás, certo? É por isso que assim gosta, começar a pensar sobre o que é um novo design de arquitetura. Talvez, em vez de fazer aprendizado de máquina e treinamento e tudo no centralizado, você faz uma conferência na borda e, em seguida, você faz um treinamento em locais centralizados.
Mais uma vez, ele volta a gostar. De certa forma, você está reduzindo um pouco a vulnerabilidade e tornando todo o seu sistema mais robusto do ponto de vista da segurança.
Michael Grimshaw: Sim. Sim, e esse material diz perfeitamente o que estávamos falando apenas sobre camadas é porque ao nos afastarmos de uma abordagem centralizada, um, um, ou do que estávamos falando com imunologia também, afastando-se de uma abordagem centralizada, um, um, um.
Você, se, quando você for atacado e você for pewned, um, o, a quantidade de dados ou, ou, ou a exposição que você tem é tremendamente limitada, então não é um booleano completo, um, eu estou protegido ou eu não sou? Quando tudo está centralizado. Tudo bem. Se eles estiverem dentro e tiverem acesso aos dados, eles terão acesso aos dados, torná-los distribuídos.
OK. Talvez, talvez uma região ou um subconjunto ou um subsistema. Um, um, um atacante pode aproveitar um dia zero ou o que quer que seja e entrar, mas eles não têm todo o seu sistema. E também é uma coisa de resiliência porque você não está perdendo todo o seu córtex cerebral em um só golpe.
Richard Yew: A propósito, como, o bot Lindsay apenas me verificou e, uh, eu acho que eu usei uma analogia ruim. UH, humano é, eu acho, eu acho que nós, nós não temos cérebros e em outros lugares, mas eu deveria ter, eu deveria ter dito que é um polvo. Um polvo tem como cérebros e todos os braços. Sim. Ou seja, essa é uma verdadeira arquitetura distribuída.
Geolocalização – Onde estamos bloqueando a maioria dos ataques?
Tom Gorup: Sim, isso é justo. Isso é bom. Então, ficar ao longo das linhas da arquitetura distribuída, talvez puxando em conformidade um pouco aqui. Uma das estatísticas que eu pensava era. Isso foi muito interessante para mim, pelo menos para ver no papel, eu estava olhando para geolocalização. Então, onde estamos bloqueando ataques dos cinco principais países?
Tudo bem. Eu recebo este top cinco países foram nós, França, Alemanha, Rússia e Chechénia. O que eu achei super interessante aqui é pelo que vale a pena saber que há um monte de APTs que ficam sem a China. Eles não estão na lista. Não na lista, o que eu achei interessante quando pensamos em geolocalização.
Acho que muitas pessoas se voltam para o geofencing. Ei, deixe-me bloquear em países que eu sei que são suscetíveis de ser atacados, mas 26%. O hater número um lá era dos EUA. Como, o que isso te diz? Eu também acho que estou pensando nisso do ponto de vista da conformidade também. Como é que o que está geofencing como em, você sabe, 2023, 2024, é aí que estamos agora.
Richard Yew – Quero dizer, minha opinião, certo, eu sei que temos, como, cada cliente, você sabe, quando chegamos a bordo, falamos sobre controle de exportação, e temos que, gostar, fazer, curtir, controlar com, como, geofencing, eu sinto como algumas dessas coisas, alguns desses requisitos para ser revisitado, já que eu sei que pode não ser algo que todo mundo quer ouvir, especialmente se você executar GRC, peço desculpas com antecedência se eu estou lhe dando uma dor de cabeça, mas acho que estamos em um dia e uma idade em que é como se todo mundo estivesse usando VPN e tudo, certo? E tão fácil de apenas girar a VM em todos os lugares. Como, eu me lembro quando estávamos olhando para a Black Hat no ano passado, estávamos olhando para distribuições como o ISP para ataque DDoS anônimo no Sudão, certo?
Richard Yew: Há como, eles estão usando um provedor de hospedagem. Em todos os lugares. Sabemos de onde vêm, como eles vêm deste país específico, Europa Oriental, você sabe, como é aí que a organização está, certo? Mas, então o ataque vem de qualquer lugar, como hoje em dia. Então é como, não, você então bloqueia um hacker chinês por Joe esgrima a China? Isso funciona até hoje? Certo?
Michael Grimshaw: Não, mas você está absolutamente certo. E, historicamente, a China é bem conhecida por usar essa mesma, muito abordagem de VPNs e, e realmente ofuscando a origem de onde está o ataque, hum, obviamente com a Rússia, eles usam lá é muito de um homegrown, você sabe, quase o estado, quase incentivando atores individuais na Rússia a participar dele.
A estrutura de comando e controle da China é um pouco menos do que dizer mob ou, ou, um, um, um, orientado que você vê em como Rússia ou, ou, ou Cheshire e coisas assim foram descentralizadas. Exatamente. Um, boa chamada. HUM, mas sim, e, e Richard, eu absolutamente acho que você está certo. Precisamos revisitar isso, mas haverá clientes e haverá segmentos de mercado.
E verticais que têm requisitos regulatórios. Então, e um dos grandes que você não mexe com é o Office of Foreign Asset Control, OFAT. E é aí que o geofencing e com, como especialmente qualquer um dos serviços financeiros, indústria bancária, um, certificando-se de que, você sabe, certificar-se de que seus serviços bancários ou financeiros não estão disponíveis para a Coreia do Norte, por exemplo, ou Irã e outros lugares nas listas da lista.
A delimitação geográfica ainda é importante, especialmente no que diz respeito aos requisitos regulamentares. Precisamos revisitar esses. E, e nós precisamos, um, de fato, isso, isso recentemente surgiu na Ucrânia, onde, um, um, uh, foi chamado que, o forte russo, enquanto [00:39:00] Starlink usa geolocalização. Para evitar que ele seja usado na Rússia, a Rússia opera soldados russos e operadores estão, estão utilizando-o, uh, provenientes de outros países em, dentro, uh, território ucraniano ocupado.
A lista é longa sobre uso duplo. Materiais de dupla utilização, coisas como essas que poderiam ser usadas para fins civis e militares e como isso é muitas vezes proveniente de países terceiros e isso é a mesma coisa é verdade aqui, mas ainda há linhas regulatórias absolutamente duras. Alguns clientes têm que lidar com ou geofencing muito.
Richard Yew: Você tem razão. É, é apenas uma corrida armamentista. Acho que o ponto é que, enquanto estamos falando de arquitetura distribuída, falamos sobre como é importante para os nossos clientes usar isso para nos proteger. Mas, como Mike e eu dissemos, ambos os atacantes estão usando arquiteturas distribuídas.
Richard Yew: Quer dizer, eles são, bem, quero dizer, é meio engraçado, esse foi o ponto de DDoS. Certo? Quer dizer, é de onde vem o D.
Tom Gorup: Sim, isso é bom. Sabem, estou desapontado por estar a ficar sem tempo porque acho que podemos gastar provavelmente mais 20 minutos neste tópico sozinho.
Considerações finais e recomendações
Tom Gorip: Mas como estamos correndo um tempo, eu estou, eu adoraria ouvir apenas tipo de, você sabe, pensando sobre este relatório, pensando em alguns dos pontos de dados sobre os quais falamos aqui. Da arquitetura de aplicativos, você sabe, conformidade, geofencing, todo o gambit. Adoro ouvir seus pensamentos e recomendações para o público.
Como, o que devemos estar olhando? Como eles podem se proteger melhor?
Michael Grimshaw: Sim, eu amo este relatório. Sabem, quero trazê-lo de volta e falar sobre o relatório. Falamos de muitas coisas, mas uma das coisas que, e talvez isso seja porque eu estou passando. O que uma auditoria de PCI neste momento é uma das coisas que eu amo neste relatório é em duas coisas que só vêm à mente, um, em torno de onde este relatório e essas abordagens ajudam com sua segurança e, especialmente, sua estatura de conformidade está em PCI. Um dos requisitos do PCI é estabelecer um processo para identificar vulnerabilidades de segurança de vulnerabilidade usando fontes externas confiáveis para obter informações e atribuir uma classificação de risco. Agora, isso, este relatório não dá exatamente um CVEs, mas isso é parte novamente para colocar em camadas sua abordagem de auditoria é que eu, você sabe, eu amo tomar um relatório como este com detalhes de vulnerabilidades talvez do sistema operacional ou mudança para a esquerda como banco de dados de vulnerabilidade nesse segundo plano.
Michael Grimshaw: E ser capaz de montar uma imagem inteira para nossos auditores, por um lado, e então outra exigência PCI é garantir que você e eu estamos apenas focados em PCI. ISO meia para um monte de outros regimes. Mas a outra coisa é que é importante ter seus funcionários treinados e atualizados sobre o cenário de segurança e como evitar isso.
E sim, você faz treinamento anualmente. Você sabe, você precisa fazer treinamento quando alguém é contratado. OK. Todos os anos depois disso, mas relatórios como este, isso é absolutamente algo que eu iria passar por todos os meus funcionários e em toda a empresa apenas para aumentar a consciência de segurança, ajuda com a sua conformidade, ajuda com a sua segurança. Sou um grande fã.
Tom Gorip: Esse é um ótimo conselho. Adoro isso. E você, Richard?
Richard Yew: Eu vou dizer definitivamente como, você sabe, às vezes ter a visibilidade é muito importante. E eu diria para tornar as coisas mais fáceis, certo? Seria bom ter esse tipo de visibilidade em todos os aplicativos, pelo menos o que estamos falando de aplicativos voltados para o público, porque não vamos olhar para todos os seus endpoints no gerenciamento, como seus laptops e Macs, mas, pelo menos, podemos ver como o que está acontecendo, porque eu sou um crente firme de que você precisa ter um único painel de visão para basicamente tudo como a internet que está entrando e saindo daqui.
Como estamos falando de todas as solicitações HTTP, cada solicitação externa, dentro e fora da rede precisa ser catalogada e ser ótima. Como, se todos eles são coletados e podem ser relatados sob uma visão consolidada como o que falamos aqui, eu acho que também vai ajudar a facilitar sua conformidade, especialmente quando se trata de fornecer evidências, etc.
SO. OK. Mais uma vez, a visibilidade é importante, certo? Você sabe, se você olhar para as três, bem, na verdade cinco fases de como uma estrutura de segurança NIST, certo? Quero dizer, que há que no lado esquerdo, há apenas um texto como prevenções e então você tem que responder, certo? Mas, você sabe, tendo a capacidade de ter visibilidade, a deteção é muito importante.
Você não pode mitigar o que você pode ver.
Tom Gorup: Sim, sim. Eu sempre igualo postura de segurança, visibilidade, exposições e ameaças. Eu não posso proteger o que eu não posso ver. Eu preciso entender onde minhas fraquezas estão, e eu preciso entender como estou sendo atacado. São os três que realmente se reúnem para definir sua postura de segurança.
E ficou um pouco interessante também sobre como compartilhar isso com outras pessoas no negócio. Um dos mergulhos profundos que fazemos no relatório, bem como a escavação de uma passagem de diretório, que na verdade foi praticamente o tipo número um de ataque que vemos ainda muito proeminente na Internet hoje.
Agora estamos protegendo contra ele, mas isso não significa que os aplicativos não sejam vulneráveis a ele. E garantir que seus engenheiros ou desenvolvedores entendam como esse ataque pode ser usado contra você é uma ótima maneira de garantir que você esteja criando código seguro desde o início. E o que eu amo sobre o que falamos hoje é pensar na arquitetura de aplicativos, não apenas na arquitetura de aplicativos, mas também no seu negócio e como ela opera.
Então, ao usar isso para informar suas ferramentas de segurança, certo? Então você tem sua arquitetura de aplicativo de que tipos de solicitações eu espero ver? Que tipos de MIME, mas também onde minha empresa é capaz de operar e aplicar esses tipos e colocá-los todos como parte dos controles em suas ferramentas de segurança?
Então, acho que é isso que me excita sobre o relatório não é apenas olhar para os dados, mas também tomando tempo para pensar, como, como posso usar essa informação para pensar sobre o mundo um pouco diferente e talvez usar isso para informar minhas ferramentas de segurança para colocar mais controles, restrições, impedir que meu negócio seja derrubado. Você sabe, no final do dia, que é o que estamos aqui para fazer é proteger o negócio, permitir que ele lhe dê a liberdade de manobra para ganhar dinheiro para f constituintes e trazer valor para nossos clientes. Tão bom material. Então, isso é tudo o que temos para hoje. Obrigado a todos por se juntarem no ThreatTank.
Se você quiser se manter atualizado com a mais recente inteligência de ameaças do Edgio, vá para edg.io. Isso é edg dot io e inscreva-se, você sabe, você vai ter mais Intel à medida que ele sai. Michael, Richard adorou a conversa. Sinto que, novamente, poderíamos ter ido pelo menos mais 45 minutos. Isso foi ótimo.
Tom Gorip: Eu realmente aprecio o seu tempo.
Richard Yew: Sim. Sim. Obrigado por nos ter aqui. Obrigado pelo grande engajamento e discussões.
Michael Grimshaw: Obrigado pela grande informação, Tom. Sim. Aprecie. E sempre divertido conversar com você, Richard. Excelente.
Richard Yew: Da mesma forma, homem. Até vocês.
Tom Gorup: Até a próxima vez.
