De la securitate la identitate

Posted on: 09/06/2022 By:Veracomp

In cei opt ani de cand F5 a lansat cercetarea anuala The State of Application Strategy Report, s-a inregistrat o crestere constanta a securitatii pe palierul superior al serviciilor de livrare si securitate a aplicatiilor.

Disponibilitatea, o categorie generala, cuprinzand tehnologii precum load-balancing si stocarea in cache si CDN-urile, s-a mentinut ca prioritate cam tot atata vreme cat dura ca un server web nou sa supravietuiasca intact si neatacat pe Internetul anilor 2003. Respectiv, nu prea mult.

Securitatea a ajuns, astfel, rapid in topul listei de prioritati si a ramas acolo, necontestata -aproximativ din 2017. Pana acum.

Anul acesta, pentru prima data, un serviciu de securitate non-core a urcat in topul „celor mai implementate”. Iar acest serviciu este identitatea. Nu numai ca identitatea si accesul au crescut in importanta si au devenit cele mai implementate tehnologii; exista dovezi ample de-a lungul cercetarii F5 care indica o schimbare semnificativa catre securitatea bazata pe identitate.

Ce tipuri de protectii sunt considerate valoroase de specialisti?

Traditional. Aceste protectii deriva, in mare parte, din protectiile bazate pe web incluse in firewall-urile aplicatiilor web de ani de zile. Aici sunt incluse limitarea ratei de atac, OWASP Top Ten si, bineinteles, criptarea/decriptarea.

Modern. Aceste protectii au aparut in ultimii ani si au devenit o sursa semnificativa de securitate pentru API-uri. Acest grup include inspectia sarcinii utile (continut), cum ar fi cautarea de programe malware si continut rau intentionat si autentificare/autorizare. Spoiler: aceasta este partea de identitate.

Adaptiv. Protectiile adaptive sunt o categorie noua, alimentata de capacitatea de a folosi inteligenta artificiala si invatarea automata pentru a efectua analize comportamentale care pot face diferenta intre utilizatorii umani si non-umani. Aceste tehnici tind sa formeze fundatia pentru serviciile antifrauda si de protectie impotriva botilor.

Cele mai valoroase protectii API

Bazate, in principal, pe analize comportamentale, metodele adaptative sunt foarte bine apreciate. Avand in vedere volumul de date si impactul unui atac, nu este surprinzator faptul ca intreaga industrie se indreapta catre metode de securitate mai avansate, capabile sa se adapteze pentru a proteja totul, de la infrastructura si aplicatii, pana la afacerea in sine.

Atat analiza identitatii, cat si analiza comportamentala sunt parti importante ale unei strategii complete de securitate, in special pentru API-uri, avand in vedere rolul pe care acestea il joaca in alimentarea economiei digitale. Inspectia ramane, de asemenea, esentiala, deoarece multe atacuri – in special programele malware si continutul rau intentionat – sunt adesea identificate cu usurinta printr-o semnatura unica care poate fi comparata cu sarcina utila a unei tranzactii API. Viteza de identificare este la fel de importanta ca si capacitatea de identificare a unui posibil atac, iar inspectia ramane o metoda rapida si fiabila de identificare a continutului rau intentionat.

Implementarea tehnologiei legate de identitate a fost accelerata de transformarea digitala masiva care s-a produs in urma pandemiei COVID. Dintre respondentii la studiu, vorbind despre modificari aduse strategiilor lor de securitate post-COVID, mai mult de un sfert (26%) au implementat o solutie de completare a acreditarilor si 34% au implementat cadre de securitate API.

Importanta API-urilor prevesteste necesitatea de a identifica mai precis „utilizatorul” API-urilor, in special cu importanta tot mai mare a API-urilor in automatizare, arhitecturi de aplicatii native cloud, ecosisteme digitale si, desigur, IoT. Protejarea API-urilor intr-o economie digitala nu este doar o preocupare tehnologica, ci si una de business.

Aceasta schimbare catre identitate revelata de cercetarile F5 este semnificativa, deoarece piata imbratiseaza principiul zero-trust ca abordare fundamentala a securitatii.

Principiul de incredere-zero a fost mentionat de 40% dintre respondenti drept „cea mai interesanta” tendinta sau tehnologie. Ca model arhitectural, increderea zero se concentreaza pe securizarea si protejarea aplicatiilor si a infrastructurii prin proiectarea retelelor cu micro-perimetre securizate si limitarea riscurilor prin restrictionarea privilegiilor si accesului utilizatorilor.

Va ramane de vazut in ce masura identitatea se va mentine in prim-plan, dar – avand in vedere ca tendintele emergente (precum Web3) pun un accent puternic pe identitate – este probabil ca mutarea centrului de greitate de la securitate catre identitate sa se afle abia la inceput.

Articol preluat din blog-ul F5.

Red Hat Global Tech Trends 2024: Securitatea ramane o prioritate in timp ce prioritatile de finantare ale managementului IT se schimba

Posted on: 11/04/2024
By: Veracomp

Cel mai recent raport al Red Hat privind tendintele tehnologice globale pentru 2024, Red Hat Global Tech Trends 2024, prezinta informatii cheie obtinute din cel de-al zecelea sondaj anual efectuat de Red Hat. Cu raspunsuri din partea a peste 700 de lideri IT din intreaga lume, raportul analizeaza aspectele cruciale ale transformarii digitale, prioritatile de finantare si adoptarea cloud.

Fortinet lanseaza o noua versiune a sistemului sau de operare: FortiOS 7.6

Posted on: 11/04/2024
By: Veracomp

Fortinet a dezvaluit imbunatatiri semnificative ale sistemului sau de operare de securitate in timp real, FortiOS, alaturi de imbunatatiri ale platformei sale Security Fabric. Cea mai recenta versiune, FortiOS 7.6, introduce mai multe caracteristici inovatoare menite sa ofere companiilor puterea de a-si consolida apararea retelei si de a eficientiza operatiunile.

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 month	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
ELOQUA	1 year 1 month	The domain of this cookie is owned byOracle Eloqua. This cookie is used for email services. It also helps for marketing automation solution for B2B marketers to track customers through all phases of buying cycle.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_154241828_1	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_154241828_3	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ELQSTATUS	1 year 1 month	This cookie is set by Eloqua. This cookie is used by PwC to track individual visitors and their use of site. This is set on the first visit of the visitor to the site and updated on subsequent visits.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
__Secure-YEC	1 year 1 month	No description
_ce.cch	session	No description
_ce.gtld	session	No description
_ce.s	1 year	No description
AnalyticsSyncHistory	1 month	No description
cebs	session	No description
cebsp	session	No description
li_gc	2 years	No description