ThreatTank – Episodio 6 – Tendencias de ataque trimestral Q2 2024

Introducción a ThreatTank – Episodio 6: Tendencias de ataque trimestral Q2 2024

Tom Gorup: Bienvenido a Threat Tank, un podcast que cubre lo último en inteligencia contra amenazas, respuesta ante amenazas e información sobre el panorama de la seguridad en todo el mundo.
Soy su anfitrión, Tom Gorup, vicepresidente de Servicios de Seguridad de Edgio, y hoy, vamos a hacer una profunda inmersión en el informe trimestral de Edgio Attack Trends.
Hay una tonelada que cubrir. Antes de empezar, presentemos a los invitados de hoy.
Así que, junto a mí hoy están Andrew Johnson y Kenneth Thomas.
Bienvenidos, Andrew, Kenneth.

Andrew Johnson: Oye, gracias, Tom. Es genial estar aquí.

Tom Gorup: Así que, antes de empezar y tenemos mucho que cubrir aquí, pero antes de empezar, vamos a tener un poco de introducción. Así que, Andrew, háblame de ti mismo. Cuéntale a la gente quién es Andrew Johnson.

Andrew Johnson: Oh, dang, por supuesto. Bueno, sí, Andrew Johnson. Dirijo el marketing de productos aquí en Edgio para nuestras soluciones de seguridad que cubren WAF, Bot, DDoS, seguridad API, gestión de servicios de ataque, y todas esas cosas buenas.
Tengo alrededor de 8 años en la industria de la ciberseguridad en puestos de marketing de productos y gestión de productos en la seguridad de aplicaciones web, y originalmente entré en la industria en seguridad de endpoints.

Tom Gorup: Impresionante. Bueno, bienvenidos a los podcasts, y estoy emocionado de profundizar en esto.
Entonces, Kenneth, ¿qué tal usted? ¿Quién es Kenneth Thomas?

Kenneth Thomas: Oye Tom, Andrew, gracias por tenerme aquí. Soy completamente nuevo en la organización. Estoy aquí trabajando en inteligencia de amenazas y principalmente funcionando, haciendo la tarea diaria de encontrar tendencias y sacarlas a la luz para que los clientes puedan actuar sobre ellas.
Recientemente he hecho un giro en la inteligencia artificial y cibernética dentro de la última década más o menos. Y viniendo de un sistema, ha sido un poco una bebida, de una manguera contra incendios, pero así es como me gusta.

Tom Gorup: Así que sí, de hecho, y la cantidad de datos que tuvieron que verter para este informe fue una manguera contra incendios en sí misma. Así que estoy feliz de que ambos estén aquí. Esto va a ser muy divertido.
Pero antes de empezar, hay una pregunta obligatoria para romper el hielo. Y de nuevo, lo tengo para todos los demás escuchando, no les he dicho qué es porque es mucho más divertido obtener la respuesta tipo ‘fuera del brazalete’.
Así que aquí está la pregunta. ¿Están listos?
Si los animales pudieran hablar, ¿qué especie sería la más ruda de todas? Entonces, si los animales pudieran hablar, ¿cuál sería el más rudo de todos?

Kenneth Thomas: El mockingbird.

Tom Gorup: ¿El mockingbird? ¿Es porque se burlan de la gente? ¿Así que ese es su estado natural?

Kenneth Thomas: No, son muy territoriales. Solo sé esto porque los veo rutinariamente en mi patio trasero, pero he visto absolutamente a un pájaro sinuoso atacando a una ardilla y entrar en, ya sabes, una batalla épica. También he tenido una mosca en mi cabeza, justo antes de que alguien me llamara y le dije que, esa es la cabeza para el tono de llamada, ya sabes, ese soy yo mismo.

Tom Gorup: Tuve un pájaro que me atacó una vez también. Era como un pájaro bebé que se cayó de un nido y se quedó atrapado en el árbol y yo estaba tratando de sacar al pájaro bebé, pero creo que estos eran gorriones. Eran como un bombardeo de buceo en mí. Estoy como, hombre, solo estoy tratando de ayudar, pero no pude evitar porque estos pájaros literalmente me estaban atacando cuando estaba tratando de salvar a su bebé. Fue un día triste.

Andrew Johnson: AW, hombre, me estás dando una mala memoria también. Fui atacado por un ganso egipcio aquí. Tenemos estos gansos en California en el campo de golf y son extremadamente desagradables y territoriales, y literalmente tenía mi maleta en mi espalda y me vino por detrás y tuve que bucear. Debo haberme acercado demasiado a un nido o algo así. Entonces, tengo un poco de TEPT sobre eso. Pero de todos modos, qué animal pienso que es el más rudo, no soy un gran fan de los caniche, siento que son los perros más escabrosos. No estoy seguro de por qué la gente los consigue. O tal vez Chihuahuas, tenemos un montón de los que hay por aquí. No soy super grandes fans, a pesar de que soy una persona de perro. Así que sí, no quiero saber lo que están pensando.

Tom Gorup: Sí, gatos. Súper grosero. Ni siquiera necesitan hablar y son groseros.

Andrew Johnson: Sí. Ese fue mi número dos en la lista.

Tom Gorup: Cosas buenas. Todo ahí mismo, podemos saltar al tema en cuestión. No está muy relacionado con cibernética, pero espero que sea un poco un rompehielos.
Así que, estamos viendo este informe de tendencias de ataque , y un tema que realmente destacó, creo, fue las interacciones dirigidas por humanos frente a las dirigidas por máquinas con sus sitios web y sus aplicaciones web.
Así que, no sé, Andrew, cuéntame un poco sobre eso. ¿Qué es lo que nosotros, qué vemos allí? ¿Qué tipo de aspectos destacados recogiste de eso?

Andrew Johnson: Sí, quiero decir, creo que en este informe, una de las cosas más sorprendentes fue el número de bloques de IA abierta por parte de nuestros clientes, casi el 3000% trimestre sobre trimestre.
Y creo que eso realmente indica un cambio en la forma en que las empresas piensan, la inteligencia artificial y sus aplicaciones y los datos y la información que viven en sus aplicaciones.
Este número no significa que la IA abierta estaba haciendo, 3000 veces más raspado o solicitudes a los sitios de nuestros clientes, sino más bien que lo más probable es que los administradores web estén pensando mucho en la IA y los datos o, la información sobre el valor de la información en su sitio. Así que, esa fue una de las cosas más interesantes que creo.

Tom Gorup: Sí, eso es interesante porque lo que estamos viendo allí es que la gente toma sus datos más en serio. Por lo tanto, los bots de IA y los bots en general están constantemente raspando Internet buscando obtener información. Pero, por lo general, es, supongo, más para tus buenos bots como tu Googlebot y tu Bingbot y que están ayudando con tu SEO, haciendo que tu sitio esté más disponible. Pero con la IA, estamos viendo modelos potencialmente de entrenamiento que luego están siendo monetizados. Así que, en cierto sentido, sus datos están siendo monetizados y tal vez a algunos no les gusta eso. Entonces, supongo Kenneth, AI raspar su sitio es algo malo? ¿Es algo que deberíamos estar bloqueando o qué piensas?

Kenneth Thomas: Realmente depende de lo que estés haciendo. Y sé que es una especie de término doloroso para personas fuera de la tecnología que escuchan eso, depende de lo que sea, pero realmente lo hace. Y la razón es que, por ejemplo, si estoy haciendo un sitio web y quiero que me descubran, entonces quiero que la IA sepa sobre mis servicios. Porque en resumen, la IA puede raspar a través de mi sitio e incluso potencialmente puedo tener mi sitio diseñado para que sea más fácil de digerir o entender por la IA. Pero luego, por otro lado, si soy un individuo privado o un grupo privado de entidades y opero, como tal, probablemente no querría tener mis datos privados como parte de un conjunto de datos monetizados públicos. Para el punto de Andrew, estas empresas definitivamente están reconsiderando el valor de lo que los datos que han enfrentado públicamente están diciendo ahora sobre ellos e incluso cómo se puede aprovechar desde un punto de vista de capacitación y uso de lodo. Entonces, ya sabes, realmente depende del sitio, del operador, e incluso hasta cierto punto de su apetito por el riesgo.

Tom Gorup: Sí, es interesante. Así que, supongo que con ese fin, ¿estamos viendo un cambio en la forma en que la gente navega por la web? ¿Cómo está cambiando eso?

Kenneth Thomas: Creo que sí, al igual que una advertencia en el lado de la IA, digamos que OpenAI es una plataforma ChatGPT , tienes la capacidad de usarla casi como un conserje para Internet. Así que, mientras estás sentado allí teniendo tu conversación, algo puede aparecer donde, oh bueno, no está dentro del conjunto de datos de la IA, pero puede hacer una solicitud a la web para ti y luego recuperar esos datos. Y como tal, convierte la web en una experiencia mucho más rica o más completa para estas personas. Pero por otro lado, los sitios de los que obtienen estos datos tendrán que operar dentro de ese mismo parámetro. Necesitarán saber que sus sitios están siendo potencialmente raspados y utilizados de esta manera. Y así, de nuevo, va a todo el ethos de, entender realmente su aplicación, su cliente y luego, en última instancia, el valor de los datos que tiene disponibles para el consumo general.

Andrew Johnson: Totalmente. Y para agregar a eso, no sé ustedes, pero yo diría que la forma en que busco es muy diferente hoy en día en el marketing de productos. Hacemos mucha investigación, yo uso Google, por supuesto, al igual que la búsqueda de cualquier otra persona incluso hoy en día. Por lo tanto, generalmente es lo primero bajo los resultados. Ahora, se llama Search Labs AI Overview. Y es una especie de fragmento impulsado por LLM que te da una visión general y luego los enlaces a sitios web y cosas subyacentes. También uso Copilot, a través de Microsoft Bing. Así que sí, esa es básicamente la forma en que busco hoy.

Tom Gorup: Siento que ese es el futuro al que probablemente nos dirigimos es la IA. Necesito un refrigerador nuevo. La nevera se está poniendo mal. Así que, en primer lugar, ¿qué hay de malo en esto? Tal vez la IA puede ayudarte a resolver ese problema. Si no, solo quiero una nevera nueva. Y aquí están mis requisitos, ¿verdad? Y luego la IA va a poblar, ‘Oye, aquí están los cinco mejores refrigeradores que usted puede querer comprar y uno está disponible en la Best Buy más cercana.
Quieres que lo ordene para ti, ¿verdad? Pude ver todo el flujo siendo tomado por su robot de IA de elección. Entonces, ¿cómo cambia eso la forma en que las empresas deben mirar su sitio o evaluar su aplicación de esos casos de uso?

Kenneth Thomas: Una cosa que viene a la mente inmediatamente es, y esto puede no ser, digamos de conocimiento común, pero para aquellos de nosotros que estamos familiarizados con la búsqueda de Google, somos absolutamente conscientes de que la búsqueda ha evolucionado con el tiempo. Pero una cosa que puede no ser consciente para todos es que aproximadamente alrededor de 2018, aproximadamente, la búsqueda de Google comienza a incorporar lo que se conoce como codificadores bidireccionales para representar transformadores.
Sé que es una especie de mezcla de palabras, pero.

Tom Gorup: Tiene que haber un acrónimo en There Somewhere.

Kenneth Thomas: El acrónimo es exactamente Bert. Y es gracioso porque solía haber Elmo. Me olvido de lo que Elmo representaba, pero Bert es efectivamente una representación de los transformadores del codificador, lo que significa que el uno de ellos es codificar datos, así como decodificar. Y al hacerlo, puedes hacer el mismo tipo de oraciones de comparación, diciendo cuáles tienen una estructura similar, o para decir, mostrarme palabras que coincidan con este tipo de oración. O incluso tal vez haciendo como un análisis de sentimiento para decir ¿es esta frase buena o mala? Pero el punto es que esta tecnología de Bert está envuelta en cada búsqueda que haces en Google, ya sea que la estén impulsando un LLM o no. Y es una de estas cosas donde, incluso mucho antes de la revolución actual de la inteligencia artificial, ha sucedido varias veces. Pero antes de esta actual, muchas de las compañías de búsqueda, Bing también, han aprovechado esta idea de, ‘Oh, bueno, tal vez necesitaríamos, serviríamos mejor a nuestros clientes de búsqueda codificando sus datos de manera diferente y de una manera mejor, más representativa’. Así que es muy interesante ver todo este círculo completo donde la gente ahora tiene que considerar ¿cómo me aseguro de que los sitios sean descubiertos de la manera que yo quiero que sean?

Tom Gorup: Es casi como una versión legible por máquina de tu sitio en comparación con la legible por humanos. Es un montón de contenido desperdiciado cuando piensas en un ser humano que interactúa con un sitio web que con una máquina, ¿verdad? La máquina no se preocupa por sus gráficos o lo bien que se ve su logotipo, pero el humano sí, ¿verdad? Entonces, saber que el futuro reside realmente en cómo los usuarios interactúan con la IA para comprar o tomar conciencia de su producto es un gran problema, ¿verdad?

Andrew Johnson: Creo que es y será especialmente en marketing. Todavía estoy tratando de envolver mi cabeza alrededor de él, como si yo veo estos artículos todo el tiempo como si el SEO estuviera muerto. Y necesito envolver mi cabeza alrededor de esto rápido porque creo que esto es aquí.

Tom Gorup: Es una gran pregunta. Entonces, ¿crees, Andrew, que va a haber algo como un AI SEO?

Andrew Johnson: Estoy seguro de que sí. Ni siquiera podría decirte cómo se ve, pero creo que sí.

Tom Gorup: Sí, porque el descubrimiento de una nueva marca podría simplificarse o amplificarse un poco con una IA o como cuáles son las cinco mejores marcas en un producto en particular con, ya sabes, tal vez al menos más nicho de entrega. Pero como, ¿cómo sabes, cómo interactuamos con la IA en el futuro? ¿Va a convertirse en un tipo de escenario de pago por juego en el que vas a tener que pagar a Claude para subir a la cima de su proverbial motor de búsqueda o motor de búsqueda de IA o cómo va a suceder eso? ¿Alguna reflexión sobre eso? Porque es un tema interesante, tal vez divertido para explorar.

Andrew Johnson: Parece lógico que en marketing, pujemos por Google Ads. Google va a incorporar la IA cada vez más en su búsqueda también. Así que, presumiblemente, esa es la forma en que va a ir.

Tom Gorup: Quiero decir, también cambia toda la dinámica cuando pensamos en las tasas de clics, probablemente hay muchas cosas que en marketing se mide en torno al valor de un sitio web o la efectividad de un sitio web. ¿Qué sucede cuando ya no puedes medir la interacción del ser humano con tu sitio, sino que hay un componente de IA, verdad? Hay un aspecto de máquina. Entonces, ¿cómo validar que su sitio es tan efectivo como lo era antes si los humanos no están navegando hasta él?

Kenneth Thomas: Esencialmente estás haciendo ventas porque si me pagan el agente de una persona o ellos mismos, es algo inmaterial para mí. Siempre y cuando el pago se llevó a cabo, obtuvieron su producto y están satisfechos. Y con ese fin, creo que fácilmente podríamos ver el auge de, digamos, el influencer digital. Lo que quiero decir con eso es que ya tenemos personas que influyen desde el punto de vista del marketing. Sin embargo, no hemos visto necesariamente el matrimonio de, digamos, estos sistemas semiautónomos y luego la inteligencia artificial se combinan de una manera que lo defienda porque puedes ir allí y decir que estoy buscando el producto X o estoy buscando un servicio Y. Pero eres tú quien dice eso, y así hay tantas maneras diferentes de que esto podría suceder donde, en realidad, todavía estamos muy peculiares de un modelo legado de publicidad y obtener efectivamente la atención monetizada. Y no veo ese tipo de ethos desaparecer pronto. Pero en términos de cómo se aprovecha la atención e incluso cómo se puede llegar a ella, veo que hay mucho espacio para mejorar y oportunidades dentro del mercado para construir nuevas formas de llegar a los clientes para hablar sobre el producto y todas estas cosas diferentes. En última instancia, ese es uno de nuestros mayores obstáculos dentro de la tecnología. Y es como si fuera significativo para ti.

Tom Gorup: Sí, es interesante. Adelante, Andrew.

Andrew Johnson: Sí, creo que una de las primeras cosas que Kenneth mencionó, ¿estás obteniendo ventas? Esa es una medida. Al igual que si creas contenido por ahí y ves elevación, vas a ser capaz de medirlo. Pero creo que la clave es medir y ser capaz de averiguar qué parte es de los humanos que vienen directamente a su sitio que está pasando por un motor de búsqueda impulsado por IA. Bien, para el punto de Kenneth sobre monetizar o mirar el aumento de ventas, puedes hacer eso. Obviamente, tienes que hacerlo, para cualquier campaña o página web que crees. Creo que la gente mirará más de cerca. Hay soluciones que distinguen a los bots frente al tráfico humano hoy en día, y esas también están impulsadas por la IA, haciendo diferentes formas de huellas dactilares para averiguar si son scrapers de IA o humanos. Así que puedes categorizar y profundizar en quién está mirando tu página web, tal vez hacer algunas inferencias, y puede haber maneras de vincular las compras a esos clientes.

Tom Gorup: Ese es un buen punto. Quiero decir, desde donde estás haciendo las compras. Anthropic empieza a aprovechar un determinado mercado o método por el cual pueden hacer compras, son estos ganchos que así es como dejo que mi IA hable con tu IA en cierto sentido, ¿verdad? ¿Cómo conectamos los puntos? Pero al final del día, creo que a su punto, sin embargo, Andrew es como allí donde siento que me dirigía es que este es un costo para las empresas de estos bots de IA o cualquier bot que raspe su sitio. Y tenemos que moderarlo un poco porque podría salirse de control si hay miles de bots por ahí vertiendo a través de su sitio una y otra vez. Entonces, ¿cómo podemos controlar algo de eso? ¿Cuáles son algunas cosas más tácticas que una empresa cumple?

Andrew Johnson: Sí, definitivamente. En primer lugar, esta es una tecnología antigua, pero el archivo robots.txt es una cosa en la que los administradores web deberían pensar al menos con las startups de IA más grandes, OpenAI, Anthropic y otros, en realidad publican sus rangos de IP o información de agente de usuario al menos. Y podrías optar por bloquearlos si no quieres que vean tu sitio o que lo rasquen o que los usuarios te descubran a través de su búsqueda. Puedes establecer límites de tarifa para que no puedan hacerlo con frecuencia y agoten tus recursos o te cuesten los recursos y el ancho de banda. No todas las empresas van a seguir eso, pero creo que las más grandes están diciendo que lo harán, y las más grandes son las que tienen los recursos para hacer muchas solicitudes también. Entonces, hay un costo de su lado.

Tom Gorup: Recuerdo que había como un gateo. Había un campo que ustedes habían descubierto mientras investigábamos este informe. Es como un valor de rastreo.

Andrew Johnson:Crawl-delay.

Tom Gorup: Y archivo robots.txt. No he oído hablar de eso antes.

Andrew Johnson: Sí, eso era nuevo para nosotros cuando estábamos investigando esto. Pero sí, creo que incluso las menciones antrópicas que respetarían eso.

Tom Gorup: Entonces, tienes los controles técnicos de una solución de limitación de velocidad para ser más intencional con ella. Y luego está la solicitud educada a través del archivo robots.exe como, ‘oye, ¿puedes limitar tu tasa de rastreo?’, eso es genial.

Andrew Johnson: Y también las soluciones de gestión de bots están diseñadas para detectar tráfico automatizado y clientes automatizados. Así que sí, puedes configurarlos. Puedes, configurar mitigaciones como Captchas. Recuerdo que Anthropic también dijo que respetarían al no tratar de resolver o eludir Captchas. Eso es una consideración también.

Tom Gorup: ¿Alguna otra cosa táctica que creas que las empresas podrían hacer para controlar esto un poco? ¿Kenneth?

Kenneth Thomas: Una idea, no sé si habíamos hablado con ella antes, pero una idea sería tener porciones específicas del sitio donde están destinadas a que la IA aterrice, digamos. Y en una especie de legado no necesariamente, pero la forma en que es una mejor práctica es el mapa del sitio. Usted sabe ese archivo XML que está destinado a indicar la asignación, de su sitio y los recursos en los que se encuentra. Pero, por el mismo lado, este tipo de espectáculos donde una vez más hay espacio para mejorar y maneras de implementarlo mejor. Así que, en efecto, imagina que tienes una parte de puerto seguro de tu sitio web para bots de IA o diferentes LLM que están ahí fuera buscando. Y de esa manera, no necesariamente tienen que descargar todos los gráficos, todo el estilo, etcétera. Solo tienen el contexto del sitio en términos de texto y casi convierte el sitio web en un servicio basado en texto para ellos. Pero, sin embargo, todas estas cosas, por supuesto, tienen que inventarse y luego acordarse, antes de ser implementadas con éxito.

Tom Gorup: Ese es un buen punto. Por lo tanto, me estoy reuniendo aquí y reevaluando su sitio y pensando en los diferentes tipos de interacciones que su sitio podría experimentar. Hay interacciones dirigidas por humanos donde su sitio necesita mostrar una buena experiencia de usuario. Y luego está el aspecto impulsado por la máquina donde efectivamente necesita ser analizado fácilmente, ¿verdad? Esos datos deben estar altamente disponibles y ser fácilmente analizados. E idealmente, no te cuesta mucho servir, ¿verdad? Así que, aquí hay estándares que pueden ser recogidos, pero creo que su punto, Kenneth, es que no están ampliamente acordados en este momento. ¿Verdad?

Kenneth Thomas: Algo que inmediatamente vino a la mente es que esto casi está obligando a los proveedores, como los proveedores de sitios web, a tener una mentalidad programática. Mientras que, como, digamos que ejecuto un sitio y el sitio tiene una API adjunta a él, ya estoy pensando en estas cosas. Ya estoy pasando por las cosas necesarias para averiguarlas. OK, ¿quién se conecta aquí? ¿Cómo llegan a nuestros servicios? ¿Qué les estamos diciendo y qué está disponible cuando se conectan? Y eso es como la piedra angular de asegurarse de que su API no solo esté disponible, sino que sea segura. Que la gente no puede simplemente entrar y hacer una solicitud y luego obtener todos los datos, digamos. Y por el contrario, lo mismo tendrá que hacerse en estos sitios. Y digamos que simplemente corro, no lo sé, un sitio de moda tipo boutique impulsado por Shopify. Ahora, tengo que entrar más en la mentalidad de un programador donde es casi como si mi sitio web se convirtiera en una especie de API, tal vez no con el propósito de realizar ventas directamente, sino para el listado de información y asegurarse de que está disponible. Como queremos que sea, o como este deseo de ser para los LLM y todas las cosas diferentes que podrían estar consumiendo esos datos.

Tom Gorup: Sí, es interesante mientras estás hablando; estaba pensando en esta batalla entre respetar al agente de usuario en cierto sentido. Y eso es respeto en ambos extremos del espectro. Los creadores de bots se identifican a sí mismos como tales a través de su agente de usuario, pero también los administradores web o desarrolladores, creando un método para usar ese agente de usuario para dirigirlos en un resultado más legible por máquina, ¿verdad? Eso es algo parecido al tipo de mundo al que nos dirigimos para un tipo de respeto que el agente de usuario podría ser un hashtag futuro o algo en lo que se puede saltar. Por lo tanto, cualquier otra cosa viene a la mente con el mundo de la IA dirigido por la máquina, dirigido por los humanos. Sé que definitivamente nos sumergimos en este tema.

Andrew Johnson: Vi un artículo el otro día. Está relacionado con la información en su sitio web y a dónde va. Y solo quiero obtener los pensamientos de sus chicos. Sé que no hemos hablado de esto, pero estas grandes compañías de IA necesitan datos de entrenamiento, ¿verdad? Y el lugar perfecto para obtener una gran cantidad de datos de entrenamiento gratis sería su sitio web o simplemente Internet. Y les preocupa que estas compañías de IA pongan estos datos de entrenamiento en la nube. Y muchas veces no va a ser ni siquiera en su geografía o región. Por lo tanto, su información podría salir de su región. ¿Qué tan grande es ese problema? Para mí, es como, OK, lo que pones en tu sitio web, no vas a poner demasiada PII. Estoy tratando de pensar en casos de uso en los que esto realmente podría dañar.

Tom Gorup: Esa es una gran idea. Como lo que fue, oh, el proveedor de verificación de antecedentes reciente que filtró, lo que fue cientos de millones o millones, diremos millones porque no tengo los números justo delante de mí de los números del Seguro Social y las identidades. En esencia. De hecho, recibí un correo electrónico o, discúlpeme, una carta de Home Depot en la que se me negó, mi tarjeta de crédito de Home Depot, porque no podían identificarme. Yo estaba como, bueno, sí, porque no era yo. Así que obviamente, mi número de Seguro Social está siendo intentado ser apalancado por Stuff Out Home Depot. Pero para ello, creo que se descubrió y Kenneth, corregirme si me equivoco, que la contraseña o las credenciales para acceder a la base de datos estaban disponibles en el sitio web en texto plano. Oh sí, estos errores ocurren todo el tiempo, ¿verdad? Y no necesariamente la base de datos estaba disponible en forma simple, pero eso podría haber sido raspado también, directamente por un bot de IA y que los bots ahora en la memoria tienen un montón de números de Seguro Social, ya sabes, tal vez esperando a ser arrancados. No lo sé. ¿Qué piensas? ¿Cómo se podría usar algo así?

Kenneth Thomas: No, este es un gran punto aquí, Andrew, y uno francamente, que no creo que realmente haya sido bien desarrollado y pensado. Pero la idea general es que a menudo las organizaciones, si toman un enfoque laxo de la seguridad o la seguridad de su empresa, que incluso un atacante determinado, independientemente de su habilidad, podría encontrar esos secretos y luego aprovechar esos secretos para sus propios fines. Y bueno, no creo que desde el punto de vista de la IA, digamos que esa es la preocupación. En otras palabras, no creo que tengamos que preocuparnos, al menos en este punto, de que la IA encuentre una combinación de contraseña de inicio de sesión y luego probarlo, aunque absolutamente podría. Pienso más que la preocupación es cuando los humanos encuentran eso, y a menudo a medida que las organizaciones o los proyectos aumentan en tamaño, el enfoque en la seguridad a menudo no se escala al mismo ritmo. Y debido a eso, puede tener estas brechas en la seguridad, brechas en el procesamiento que llevarían a una explotación mayor o un mayor riesgo de seguridad. Por lo tanto, no tengo una buena respuesta para la pregunta, pero definitivamente es una consideración, especialmente si tienes, digamos, leyes de protección de datos localizadas. Por ejemplo, la CCPA sí da ciertas protecciones a los ciudadanos californianos que, digamos, no se extenderían a nosotros en Texas, ya saben, algo así. Y así, para ese fin, si usted es un proveedor de datos o corredor en California, operando en California, hay ciertas protecciones que tienen que estar en su lugar para que usted haga ese tipo de cosas. Así que, creo, una vez más, tenemos mucho desarrollo y cosas por delante para construir esta economía, construir este futuro del software. Pero al mismo tiempo, muchos de los estándares y mejores prácticas de los que nos basamos son realmente de los primeros días de la web como mediados y finales de los 90 Así que, es interesante cómo se combinan todas estas fuerzas diferentes y tenemos que pensar en esto también en tiempo real.

Andrew Johnson: Eso ayuda a muchos chicos, estaba pensando en ello desde un punto de vista de un sitio web que funciona perfectamente. Y Tom, me ayudaste a pensar en algo más como una mala configuración o un punto de vista de seguridad laxo y cómo eso podría ser un problema. Pero también, cuando estás hablando de diferentes leyes de privacidad, pensaría que las solicitudes de estos motores de búsqueda de IA o scrapers de IA, pueden salir de tu región local desde un nodo, ¿verdad? Podrían provenir de servidores en tu región, pero van a tomar esos datos. No necesariamente va a permanecer en su región. Por lo general, va a una nube más centralizada que probablemente está fuera de su región.

Tom Gorup: Es una gran pregunta. Gran tema para explorar. Estamos corriendo sobre el tiempo es mucho más en este informe. Estábamos hablando de un tema y el informe es el spidering DDoS, estamos viendo a los atacantes atravesar varios puntos finales dentro de la aplicación para encontrar el más débil y por lo tanto algunos controles y recomendaciones dentro del informe. Ahí tenemos las cinco principales debilidades que te aterrizarán en las noticias. Estamos aprovechando la IA para analizar las noticias para obtener más inteligencia sobre amenazas y seleccionar no solo los principales CVE, sino también las debilidades que identificamos en las noticias. Y un poco de spoiler, algunos de los modelos que comparamos las proyecciones para el crecimiento de CVE este año. Este podría ser el año más grande en CVE identificado que hemos visto desde 2017, lo cual no es necesariamente algo malo, pero creo que hay mucho más que sacar del informe. Así que, con eso dicho, todavía hay más para espolvorear allí. ¿Tienen pensamientos finales sobre la IA, la araña DDoS, las debilidades? ¿Algo alrededor del informe?

Andrew Johnson: Pensé que el informe era bastante interesante donde la gente hoy oye hablar de CVE todos los días, pero ¿cómo prevenir eso en su código? Creo que el informe hace un buen trabajo al poner de relieve la debilidad, las debilidades subyacentes en sí. Quiero decir, hay muchos de los mismos culpables, a lo largo de los años, pero realmente se centran en la construcción de software más seguro. Creo que hay muchas ideas al respecto en el informe.

Tom Gorup: Sí, eso es un gran punto. Sigo bromeando y a menudo la gente de seguridad se molesta conmigo cuando lo digo, pero está destinado a ser abrasivo en que la seguridad es solo un parche. Es un parche para una mala configuración. Es un parche para una codificación deficiente. Es un parche para francamente, ignorancia, ¿verdad? Alguien haciendo clic en algo que no entienden, ¿verdad? La seguridad es un parche. Y cuanto más nos acerquemos más, más abajo podremos llegar a la raíz del problema. A su punto, el software mal escrito y no es intencional, ¿verdad? Nadie lo está haciendo a propósito. Por lo general, es velocidad de comercialización o simplemente no estás sabiendo que eso es un problema. Cuanto más podamos llegar a la raíz, mejor estaremos.

Andrew Johnson: Exactamente. Hay muchos desarrolladores que no tienen un fondo de codificación seguro. Probablemente la mayoría de los desarrolladores lo han tenido.

Tom Gorup: Así que sí, incluso como persona de seguridad, estoy seguro de que he escrito código inseguro en algún momento. Sucede, ¿verdad? Y mucho de esto tiene que ver con ignorancia, ya sabes, conciencia. ¿Sabía que eso podría suceder?
Kenneth ¿Algún pensamiento final en torno al informe en su conjunto o IA lo que sea?

Kenneth Thomas: Claro. Me lo pasé muy bien pasando y haciendo este informe y, en particular, enterándome de algunas de las cosas como el retraso de rastreo. Mencioné anteriormente, muchos de nuestros estándares vienen de antaño, vienen de los años 90 y demás. robots.txt es definitivamente uno de esos. Pero el retraso de rastreo indica que a pesar de que es como un estándar legado, la gente todavía está innovando dentro de él. Y también hay jugadores del otro lado del mercado que están respetando esa innovación. Así que todo eso para decir, el informe tiene un montón de inteligencia procesable dentro de él, donde como operador de sitio, puede aprovechar inmediatamente la inteligencia para tomar una decisión sobre lo que necesita hacer en relación con este nuevo tráfico y estos patrones que se están viendo. Pero dicho esto, AI definitivamente está aquí para quedarse. Animaría absolutamente a todos a seguir lo que les interese dentro de él. Pero, en particular, esté atento a nuevos desarrollos y nuevos protocolos relativos a la IA y la web. Porque creo que todavía tenemos mucho camino por recorrer en el desarrollo de la tecnología. Y en particular, incluso algo que habían publicado el otro día, Tom, la Web Semántica , que es uno de mis tipos de, saben, quiero ver a la Web Semántica tomar un punto de apoyo, pero ese soy solo yo.

Tom Gorup: Sí, eso es genial. Creo que estás planteando un gran punto de que no necesariamente siempre necesitamos reinventar la rueda tampoco, ¿verdad? Podemos aprovechar la tecnología que ya está disponible hoy en día. E incluso la Web Semántica, como si hubiera existido por un tiempo. Tal vez podamos aprovecharlo para lanzarnos a cualquier futuro loco, especialmente cuando contemplas la IA y cómo se ve en los próximos 5-10 o incluso 50 años, sabes que el mundo va a cambiar.
Pero les aprecio a los dos. Esta ha sido una conversación sobresaliente. Una vez más, señalo a todos que vayan a ver el informe de Tendencias de Ataque Q2. Es un montón de valor en eso, y estas son algunas de las estrellas de rock que contribuyeron a ello.

Así que, hasta la próxima vez, mantente helado.