O pânico e o verdadeiro problema

Sua organização vai entrar em pânico. Todo o setor de segurança da informação está em polvorosa com relação a vulnerabilidades de dia zero, microsegmentação e confiança zero.

Aposto que estão todos tão ocupados correndo de um lado para o outro, e supondo que a equipe da EA seja lenta, que ninguém sequer... pediu ajuda.

Os alertas de tsunami são um bom exemplo desse padrão. Eles são emitidos com antecedência — não para provocar pânico, mas para dar tempo para agir. Onde eu moro, Vitória, Colúmbia Britânica, Vi três alertas desse tipo este ano, cada um com 8 a 12 horas de antecedência. Portanto, se ninguém avisou, apresse-se. Não temos muito tempo e você não precisa esperar. Há vários pontos importantes a serem considerados. ADM da TOGAF onde o método formal suporta um Solicitação de serviços de arquitetura elaborada pelo próprio autor.. Aprecio o pragmatismo que está no cerne do TOGAF.

Deparamo-nos imediatamente com o primeiro desafio crítico da nossa metodologia: qual é o problema que estamos a arquitetar? A Fase A do ADM distinguiu o 'pedido' (Solicitação de Trabalho de Arquitetura) do problema arquitetônico real (Declaração de Trabalho Arquitetônico).

Vamos dedicar um minuto para desenvolver o conhecimento produzido na Fase A.

Começamos por expor a realidade de forma clara e concisa.

Glasswing é uma sala limpa. Os vilões não têm o roteiro para vulnerabilidades de dia zero. Ferramentas de código com IA são boas, mas ainda precisam de muito tempo para percorrer o código-fonte do universo. Principalmente se essa análise precisar ser feita localmente, ocultando-a do administrador de sistemas do fornecedor do LLM. Podemos presumir que os principais vilões estão esperando pelo patch.

Um fornecedor principal — aquele que cria as bibliotecas e os sistemas essenciais que todos usam — lança uma atualização, e o tiro de largada é disparado. O desenvolvimento com inteligência artificial reduz drasticamente o tempo entre o lançamento de uma atualização e a exploração da vulnerabilidade. Principalmente quando temos várias atualizações que facilitam o acesso à vulnerabilidade.

Podemos esperar "atualizações de segurança" vagas em vez de CVEs. Pelo menos os hackers mais preguiçosos não terão um roteiro definido. No entanto, podemos esperar que estaremos navegando às cegas. Não seremos capazes de avaliar riscos ou priorizar ações.

Depois temos os fornecedores secundários. Aqueles que não fazem parte do grupo Glasswing, mas usam os produtos do fornecedor principal para construir seus próprios produtos. Fornecedores comerciais, fornecedores de plataformas, provedores de bibliotecas e os fornecedores realmente assustadores — aqueles que fornecem sistemas de operação de TI. Nossos fornecedores secundários começam ao mesmo tempo que os fornecedores problemáticos.

Pelo menos alguns dos nossos fornecedores não poderão, ou não estarão dispostos, a fazer o backport. Receberemos notificações que, no final das contas, chegarão a A versão antiga está irremediavelmente comprometida; você precisa realizar uma atualização que quebre a compatibilidade..

Então, enfrentaremos uma cascata de patches em toda a nossa pilha. Lembra do Log4J? Todo mundo teve uma atualização do Log4J. Imagine 10 atualizações simultâneas do Log4J. Ou 100.

Nós enfrentamos exposição sincronizada, atraso garantido, e aplicação de patches em cascata em toda a pilha. Mesmo que conseguíssemos superar a velocidade de um adversário com capacidade de aplicar patches em um ambiente legado específico, o primeiro problema seria a existência de vulnerabilidades latentes à medida que os patches se propagassem pela pilha. Nosso problema crítico não é... como corrigir mais rápido. O problema é sobreviver a um atraso garantido.

Isso não é mais um problema de gerenciamento de vulnerabilidades — é um problema de arquitetura definido por tempo, atraso e sobrevivência sob velocidade assimétrica.

Sem correções falsas

Precisamos fornecer orientações sobre como sobreviver a ataques armados. atraso garantido.

Fase B, Fase C, e Fase D Todos começam com o mesmo passo: descobrir quais modelos de arquitetura e modelos de referência ajudarão você a entender o problema e encontrar uma solução.

Para ser sincero, na minha primeira manhã, o quadro branco estava cheio de coisas comuns. arquitetura de segurança materiais. Eu tinha NIST, MITRE ATT&CK, OWASP10. Eu tinha rabiscos e anotações.

Então olhei atentamente para sobrevivendo ao atraso armado. Balancei a cabeça. Em cada Workshop de Engajamento das Partes Interessadas Desafio nosso cliente com a pergunta: 'Quem disse que isso foi...?' a prioridade'?

Deixei-me levar pelo exagero. Presumi que, por ver um tsunami, todos precisávamos entrar em pânico. Projetei um conjunto de suposições, prioridades e preferências.

Então peguei meu material da SABSA e dei uma olhada. risco. Especificamente, analisamos o apetite ao risco e os Indicadores-Chave de Risco (KRIs). Precisávamos superar o erro fundamental da maioria das análises de risco: basear-nos no apetite ao risco das partes interessadas e analisar os KRIs. Os KRIs são... visão de futuro. O ponto a que chegaremos e aconselhá-lo-ão a tomar as medidas necessárias para Mantenha-se dentro da sua tolerância ao risco..

Não se proteja. Chegue perto. apetite ao risco.

É um detalhe sutil, mas é justamente nesses detalhes sutis que estruturas de melhores práticas consolidadas, como SABSA, DAMA e TOGAF, fazem a diferença. melhores práticas.

Aceitamos muitos riscos para fazer negócios. Vendemos a crédito para os clientes. Contratamos pessoas que nunca vimos. Defendemos projetos. Todos os dias, ando de bicicleta por uma zona turística movimentada.

Estar mais seguro

Como podemos saber se estamos mais seguros? Lendo DBIR da Verizon, Mandiant, e Relatório de Defesa Digital da Microsoft 2025 nos levou a três testes para mais seguro. Concluímos que a segurança é pragmaticamente melhorada por:

1. Reduzir o acesso não autorizado
   Atores maliciosos conseguem acesso através de credenciais comprometidas e configurações incorretas.
2. Reduzir o tempo de permanência não autorizada
   O acesso não detectado e a autoridade não autorizada criam riscos latentes e cumulativos.
3. Reduzir o potencial impacto ("raio de explosão") do acesso não autorizado.
   Acesso adicional (movimento lateral) geralmente fornecido por meio de descoberta mais acesso enquanto habitação.

O acesso e a permanência foram os fatores agravantes. A movimentação lateral parece ser particularmente sensível a credenciais comprometidas em sistemas de operações de TI.

Nossa tolerância ao risco

Então, aqui estamos. O primeiro relatório que li dizia: Confiança zero! Chegou a hora de levar a microsegmentação a sério. É sério. Temos um sinal de tsunami. Não temos ideia da dimensão da onda, nem de quando ela chegará. A recomendação é seguir um caminho no qual, em uma década de esforços, não fizemos nenhum progresso significativo.

Em qualquer discurso de um especialista no assunto, há a base de uma boa ideia. Mas precisamos confrontar essa boa ideia com a realidade.

Primeiro, nossos aplicativos web. Você conhece as inúmeras conexões HTTPS na porta 443, projetadas para permitir que estranhos enviem comandos para o nosso software empresarial? Ou as conexões internas, ainda mais assustadoras, em que nossa equipe conecta seus laptops e... aplicativos web internos que possuem uma identidade implícita. Sim, identidade implícita porque laptop da empresa Está sendo usado. Sabe aquele laptop, aquele que passou a semana navegando em redes Wi-Fi e usando aplicativos da web aleatórios? Veja os relatórios do Zscalar ou de phishing: esses laptops estão sendo usados por muitas pessoas desconhecidas. Mesmo assim, eles são a base da identidade corporativa.

Em segundo lugar, o ambiente legado. Os ambientes legados personalizados de 30 anos, que apresentam alta entropia. É como pedir à nossa equipe de segurança para encontrar os criminosos observando as imagens das câmeras de segurança da Estação de Tóquio. Lembre-se de que 5.000 pessoas irão aleatoriamente... esbarrar em alguém para cada passe de batedor de carteiras.

Agora, vamos encarar a dura realidade: o que acabei de descrever é dentro da nossa tolerância ao risco. Talvez seja. Amarelo, nos termos do KRI da SABSA. Provavelmente, Isto é Verde!

SABSA Matemática e Decisão das Partes Interessadas

Na última década, a maioria das empresas fez concessões e viveu em Laranja Por segurança e resiliência. Sistemas legados geram receita. Correções comprometem essas frágeis fontes de receita. As correções propostas, na verdade, não nos levam a lugar nenhum. Verde. Em vez disso, eles impulsionam nossa tolerância ao risco de resiliência para Vermelho. Ninguém escolhe o vermelho. Ninguém.

Então, minha primeira pergunta é: o choque do Glasswing simplesmente empurrou violentamente nossa postura de segurança para o centro das atenções? VermelhoSerá que estamos fora do nosso limite de tolerância ao risco? Meu treinamento na SABSA é claro. A regra é absoluta: você não pode escolher conscientemente permanecer na zona vermelha. Você deve largar tudo e correr direto para a zona verde.

Você está ultrapassando seus limites de tolerância ao risco. Eu posso andar de bicicleta. através zona turística de Victoria e descendo uma estrada principal com um ciclovia pintada. Não faço isso durante o horário de pico. Durante o horário de pico, alguém tenta me matar sem querer todos os dias. Aproveito que moro no fuso horário do Pacífico e trabalho no fuso horário do leste. Voltando para casa às 14h30 (17h30 no horário do leste), só há uma tentativa de assassinato contra mim. uma vez por semana. E isso é dentro da minha tolerância ao risco..

Nesse ponto, a análise deixa de agregar valor — apenas uma recomendação limitada, dentro da tolerância ao risco, o faz.

E daí nos leva ao Verde?

Recomendamos três ações:

• Implementar um WAF com atualização automática em todas as interfaces web é coisa do passado.
  Os fornecedores comerciais de WAF estão em estado de alerta. Esperamos que eles coordenem atualizações a cada minuto.
• Coloque todas as APIs voltadas para parceiros de negócios por meio de um gateway de API.
• Coloque um canário dentro de cada perímetro—um sistema sem qualquer possível uso legítimo que nos dirá, de forma incontestável, que algo ruim é procurando acesso simplesmente buscando acesso. Mesmo que estejam usando uma credencial de administrador comprometida ou uma identidade de laptop implícita, detectar um alerta é incontestável — um criminoso está tentando se infiltrar em sistemas legados.

Fizemos duas perguntas difíceis:

• Tem algum problema se aplicativos legados pararem de funcionar quando...? assinaturas ilegítimas conhecidas São utilizadas para transações normais e o WAF com atualização automática as bloqueia?
• Você autorizará a suspensão imediata da autoridade de rede para qualquer sistema que tente interceptar uma conexão? Nosso pior cenário é um badnick oculto que, ao perceber que foi detectado, passa de um observador silencioso para um destruidor implacável.

Aí está você de volta ao Verde. Indo para o trabalho silenciosamente de bicicleta e aceitando uma tentativa de assassinato por semana.

Assim que voltarmos ao nível Verde, poderemos analisar outras medidas para aprimorar nossa postura de segurança e a resiliência dos aplicativos. Afinal, queremos que esses clientes tradicionais, que geram receita de forma sustentável, continuem injetando dinheiro na empresa. Temos problemas reais de negócios — tarifas, concorrência, confiança do consumidor — e precisamos do dinheiro. Há mudanças pendentes que melhorarão nossa posição competitiva e de custos, além de aprimorar gradualmente a segurança e a resiliência.

Conclusão da arquitetura do choque Glasswing

Em termos de TOGAF, acabamos de saltar de arquiteto isso para um meta recomendada. Assim como Claude Mythos, não temos julgamento moral. Você me conta o contexto da sua empresa, seus objetivos, expectativas de desempenho, restrições e apetite ao risco e eu criarei seu melhor alvo. Aquilo é melhores práticas de EA—nossos acionistas arcam com os lucros e as perdas. Como um arquiteto corporativo Eu dou ótimos conselhos. Digo-lhes verdades incômodas. Quando tomam uma decisão, assumo a responsabilidade por ela como se fosse minha. Afinal, a decisão deles é a decisão oficial da organização, tomada por um responsável autorizado.

Espero que tenha gostado da jornada. Minha equipe percorreu esse caminho em alguns dias. Ao longo do processo, tivemos que voltar atrás algumas vezes para... sem julgamentos. Sim, acabei trabalhando até tarde um dia e pedalei durante o horário de pico. Tenho as imagens da câmera do painel da bicicleta registrando as tentativas de assassinato que se seguiram. Sério, invadir a ciclovia é perigoso!

Então, aqui está o seu desafio. Eu sei que você quer ser o melhor. arquiteto corporativo Na sua empresa. Sei que você quer ter as histórias inspiradoras de transformação que eu conto. Francamente, elas estão aí, esperando que você siga as melhores práticas da nossa profissão. Dê um passo à frente, faça o trabalho. Diga a verdade aos seus stakeholders. Sei que isso exige atos de coragem pessoal.

Ao fazer as contas, você deixa de lado os especialistas obcecados por assuntos específicos e Cassandras Do lado de fora do escritório do líder. Cassandras apontando para o desastre total, trabalho gratuito na internet. Sua tarefa é fazer os cálculos e apresentar uma recomendação que coloque sua empresa em uma posição melhor. Pode ser. voltar ao verde. Pode ser que estejamos entrando em um novo mercado.

Acredite em mim. Eles estão esperando por um bom conselho.

Para concluir, vamos olhar para o futuro. Se Claude Mythos é que Bom em ler código e criar sistemas que funcionam — desviando de APIs inesperadas e escrevendo código funcional sem nenhum julgamento moral... nossa, eu quero isso! Quero esse assistente virtual do meu lado. Adoraria impor algumas restrições a ele e ver sua segurança, resiliência e modularidade comprovadas. Quero um pipeline de CI/CD moderno, de alta velocidade e com testes automatizados. O desenvolvimento com IA está mudando para sempre o jogo dos testes e da resiliência. Minha próxima geração de produtos digitais será... renascido seguro.

Faça as contas. Conduza a mudança.

Tenha um ótimo dia!

Cumprimentos,

Dave

Dave Hornford
Conexiam

PS: Se você estiver com pressa, dê uma olhada em nosso Workshop de Governança de Arquitetura Ou então, que tal falarmos sobre a criação de um plano dinâmico? Chegar à contenção não precisa levar muito tempo.