Gardez une longueur d’avance sur les cybermenaces grâce aux dernières informations de nos experts en sécurité.
Abonnez-vous maintenant pour recevoir:
- Nouveaux épisodes de ThreatTank à leur lancement
- Attaques les plus tendances par secteur
- Informations exploitables et stratégies de réponse
- Et bien plus encore !
Introduction à ThreatTank – épisode 6 : tendances trimestrielles des attaques du 2e trimestre 2024
Tom Gorup : Bienvenue sur Threat Tank, un podcast couvrant les dernières informations sur les menaces, la réponse aux menaces et les informations sur le paysage de la sécurité dans le monde entier.
Je suis votre hôte, Tom Gorup, vice-président, services de sécurité chez Edgio, et aujourd’hui, nous allons étudier en profondeur le rapport trimestriel d’Edgio sur les tendances des attaques.
Il y a une tonne à couvrir. Avant de commencer, présentons les clients d’aujourd’hui.
Andrew Johnson et Kenneth Thomas se joignent à moi aujourd’hui.
Bienvenue Andrew, Kenneth.
Andrew Johnson : Hé, merci, Tom. C’est génial d’être ici.
Tom Gorup : donc, avant de commencer et que nous avons beaucoup à couvrir ici, mais avant de commencer, passons un peu à l’intro. Alors Andrew, parle-moi de toi. Dites aux gens qui est Andrew Johnson.
Andrew Johnson : Oh, dang, bien sûr. Eh bien, oui, Andrew Johnson. Chez Edgio, je dirige le marketing produit pour nos solutions de sécurité couvrant WAF, Bot, DDoS, API Security , Attack Service Management, et tout ce qui est bon.
J’ai environ 8 ans dans l’industrie de la cybersécurité dans des rôles de marketing de produits et de gestion de produits dans la sécurité des applications Web, et je suis à l’origine venu dans l’industrie de la sécurité des terminaux.
Tom Gorup : génial. Bienvenue aux podcasts, et je suis excité de creuser là-dedans.
Alors, Kenneth, et toi ? Qui est Kenneth Thomas ?
Kenneth Thomas : Hé Tom, Andrew, merci de m’avoir ici. Je suis tout nouveau dans l’organisation. Je travaille ici dans le domaine de la veille sur les menaces et je travaille principalement, en faisant la tâche quotidienne de trouver des tendances et de les identifier afin que les clients puissent agir sur elles.
J’ai récemment fait un pivot à la fois dans l’intelligence artificielle et dans la cyber au cours de la dernière décennie. Et donc, vu un arrière-plan de systèmes, ça a été un peu une boisson, à cause d’un tuyau d’incendie, mais c’est un peu comme ça que j’aime ça.
Tom Gorup : alors oui, en effet, et la quantité de données à débiter pour ce rapport était une lance d’incendie en soi. Donc, je suis heureux que vous soyez tous les deux ici. Ça va être très amusant.
Mais avant de commencer, il y a une question obligatoire sur le brise-glace. Et encore une fois, j’ai pour tout le monde à écouter, je ne leur ai pas dit ce que c’est parce que c’est beaucoup plus amusant d’obtenir la réponse genre « hors de la manchette ».
Voici donc la question. Vous êtes prêts ?
Si les animaux pouvaient parler, quelles espèces seraient les plus grossières de toutes ? Donc, si les animaux pouvaient parler, lequel serait le plus grossier d’entre eux ?
Kenneth Thomas : L’oiseau moqueur.
Tom Gorup : L’oiseau moqueur ? Est-ce parce qu’ils se moquent des gens ? Comme si c’était leur état naturel ?
Kenneth Thomas : non, ils sont très territoriaux. Je le sais seulement parce que je les vois régulièrement dans mon jardin, mais j’ai absolument vu un oiseau moqueur attaquer un écureuil et aller dans, vous savez, une bataille épique. J’ai aussi eu un oiseau moqueur à ma tête aussi, juste avant que quelqu’un appelle et je lui dise comme, c’est la tête pour la sonnerie, tu sais, c’est moi.
Tom Gorup : un oiseau m’a attaqué une fois aussi. C’était comme un bébé oiseau qui est tombé d’un nid et est resté coincé dans l’arbre et j’essayais de faire sortir le bébé oiseau, mais je pense que c’était des moineaux. Ils étaient comme des plongeurs qui m’attaquaient. Je suis comme, mec, j’essayais juste d’aider, mais je ne pouvais pas m’aider parce que ces oiseaux m’attaquaient littéralement quand j’essayais de sauver leur bébé. C’était un triste jour.
Andrew Johnson : Ah, mec, tu me donnes un mauvais souvenir aussi. J’ai été attaqué par une oie égyptienne ici. Nous avons ces oies dehors en Californie sur le terrain de golf et elles sont extrêmement méchantes et territoriales, et littéralement j’avais mon sac sur le dos et il m’est venu de derrière et j’ai dû plonger. J’ai dû m’approcher trop près d’un nid ou quelque chose comme ça. Donc, j’ai un peu de TSPT à ce sujet. Mais quoi qu’il en soit, quel animal je pense le plus grossier, je ne suis pas un grand fan de caniches, j’ai l’impression qu’ils sont les plus snootis des chiens. Je ne sais pas pourquoi les gens les obtiennent. Ou peut-être Chihuahuas, nous en avons beaucoup par ici. Je ne suis pas de super grands fans, même si je suis un chien. Alors oui, je ne veux pas savoir ce qu’ils pensent.
Tom Gorup : Oui, les chats. Super grossier. Ils n’ont même pas besoin de parler et ils sont grossiers.
Andrew Johnson : Oui. C’était mon numéro deux sur la liste.
Tom Gorup : bien. Très bien là, nous pouvons sauter dans le sujet à l’étude. Ce n’est pas très cyber-lié, mais j’espère un peu briser la glace.
Nous examinons ce rapport sur les tendances des attaques , et un thème qui s’est vraiment démarqué, je pense, était les interactions humaines et machines avec vos sites Web et vos applications Web.
Donc, je ne sais pas Andrew, parle-moi un peu de ça. Comme quoi faisons-nous, que voyons-nous là-bas ? Quel genre de faits saillants en avez-vous tirés ?
Andrew Johnson : Oui, je veux dire, je pense que dans ce rapport, l’une des choses les plus surprenantes était le nombre de blocs d’IA ouvertes par nos clients, près de 3000% trimestre après trimestre.
Et je pense que cela indique vraiment un changement dans la façon dont les entreprises pensent, l’intelligence artificielle et leurs applications et les données et informations qui vivent sur leurs applications.
Ce chiffre ne signifie pas que l’IA ouverte faisait, 3000 fois plus de scraping ou de requêtes à nos sites clients, mais plutôt que très probablement comme les administrateurs Web pensent beaucoup à l’IA et aux données ou, l’information la valeur prop de l’information sur leur site. Donc, c’était l’une des choses les plus intéressantes que je pense.
Tom Gorup : Oui, c’est intéressant parce que ce que nous voyons là-bas, c’est que les gens prennent leurs données plus au sérieux. Ainsi, les bots IA et les bots en général sont constamment en train de gratter l’Internet à la recherche d’informations. Mais typiquement, c’est, je suppose, plus pour vos bons bots comme votre Googlebot et votre Bingbot et qui aident avec votre SEO, rendant votre site plus hautement disponible. Mais avec l’IA, nous examinons des modèles de formation potentiels qui sont ensuite monétisés. Donc, dans un sens, vos données sont monétisées et peut-être que certains n’aiment pas ça. Donc, je suppose que Kenneth, ai gratter votre site est-ce une mauvaise chose ? Comme est-ce quelque chose que nous devrions bloquer ou qu’en pensez-vous ?
Kenneth Thomas : ça dépend vraiment de ce que vous faites. Et je sais que c’est un terme douloureux pour les gens en dehors de la technologie qui entendent ça, ça dépend de quoi que ce soit, mais c’est vraiment le cas. Et la raison en est que, par exemple, si je fais un site web et que je veux être découvert, alors je veux que l’IA connaisse mes services. Car en bref, l’IA peut gratter mon site et même potentiellement je peux avoir mon site outillé pour qu’il soit plus facilement digéré ou compris par l’IA. Mais d’un autre côté, si je suis une personne privée ou un groupe privé d’entités et que j’opère, en tant que tel, je ne voudrais probablement pas que mes données privées fassent partie d’un ensemble de données monétisées public. Selon Andrew, ces entreprises reconsidèrent sans aucun doute la valeur ajoutée de ce que les données dont elles disposent publiquement disent à leur sujet et même la manière dont elles peuvent être exploitées du point de vue de la formation et de l’utilisation de la boue. Donc, vous savez, cela dépend vraiment du site, de l’opérateur, et même dans une certaine mesure de leur appétit pour le risque.
Tom Gorup : Oui, c’est intéressant. Donc, je suppose que pour cela, voyons-nous un changement dans la façon dont les gens surfent sur le web ? Comme est-ce que ça change ?
Kenneth Thomas : je pense que oui, tout comme une mise en garde sur le côté IA, dans, disons OpenAI est une plate-forme ChatGPT , vous avez la possibilité de l’utiliser presque comme concierge pour Internet. Donc, pendant que vous êtes assis là à avoir votre conversation, quelque chose peut surgir où, oh eh bien, ce n’est pas dans l’ensemble de données de l’IA, mais il peut faire une requête sur le web pour vous et ensuite récupérer ces données. Et en tant que tel, il transforme le web en une expérience beaucoup plus riche ou plus complète pour ces gens. Mais d’un autre côté, les sites d’où ils obtiennent ces données devront fonctionner dans ce même paramètre. Ils devront savoir que leurs sites sont potentiellement raclés et utilisés de cette façon. Et là encore, il s’agit de comprendre réellement votre application, votre client et finalement la valeur des données que vous avez disponibles pour la consommation générale.
Andrew Johnson : tout à fait. Et pour ajouter à cela, je ne sais pas pour vous les gars, mais je dirais que la façon dont je recherche est très différente aujourd’hui dans le marketing produit. Nous faisons beaucoup de recherches, j’utilise Google, bien sûr, comme n’importe qui d’autre recherche même aujourd’hui. Donc, c’est généralement la première chose sous les résultats. Maintenant, il s’appelle Search Labs ai Overview. Et c’est une sorte d’extrait alimenté par LLM qui vous donne un aperçu, puis les liens vers les sites Web et les choses sous-jacents. J’utilise aussi CoPilot, via Microsoft Bing. Donc oui, c’est essentiellement comme ça que je cherche aujourd’hui.
Tom Gorup : J’ai l’impression que c’est l’avenir vers lequel nous nous dirigeons probablement, c’est l’IA. J’ai besoin d’un nouveau réfrigérateur. Le réfrigérateur va mal. Donc, tout d’abord, qu’est-ce qui ne va pas avec ça ? Peut-être que l’IA peut vous aider à résoudre ce problème. Sinon, je veux juste un nouveau frigo. Et voici mes exigences, n’est-ce pas ? Et puis l’IA va remplir, « Hey, voici les cinq meilleurs réfrigérateurs que vous pourriez vouloir acheter et l’un est disponible au Best Buy le plus proche.
Tu veux que je le commande pour toi, n’est-ce pas ? Je pouvais voir l’ensemble du flux être repris par votre bot IA de choix. Alors, en quoi cela change-t-il la façon dont les entreprises devraient regarder leur site ou évaluer leur application de ces cas d’utilisation?
Kenneth Thomas : une chose qui me vient immédiatement à l’esprit est, et ce n’est peut-être pas, disons de connaissance commune, mais pour ceux d’entre nous qui sont familiers avec disons la recherche Google, nous sommes absolument nous savons que la recherche a évolué au fil du temps. Mais une chose qui peut ne pas être un conscient pour tout le monde est que vers environ 2018 environ, la recherche Google commence à incorporer ce que l’on appelle des encodeurs bidirectionnels pour représenter les transformateurs.
Je sais que c’est un peu un mélange de mots, mais.
Tom Gorup : il doit y avoir un acronyme quelque part.
Kenneth Thomas : L’acronyme est exactement Bert. Et c’est drôle parce qu’il y avait Elmo. J’oublie ce qu’Elmo signifiait, mais Bert est effectivement une représentation encodeur de transformateurs, ce qui signifie que celui-ci est d’encoder des données aussi bien que de décoder. Et ce faisant, vous pouvez faire le même genre de comparaison de phrases, en disant lesquelles ont une structure similaire, ou pour dire, montrez-moi des mots qui correspondent à ce type de phrase. Ou même peut-être faire comme une analyse de sentiment pour dire si cette phrase est bonne ou mauvaise? Mais l’essentiel est que cette technologie de Bert est enveloppée dans chaque recherche que vous faites sur Google, qu’ils soient alimentés par un LLM ou non. Et donc c’est une de ces choses où, même bien avant le genre de révolution actuelle de l’intelligence artificielle, cela s’est produit plusieurs fois. Mais avant celle-ci, beaucoup de sociétés de recherche, Bing aussi, ont puisé dans cette idée de : « Oh, eh bien, peut-être que nous aurions besoin, nous serions mieux à même de servir nos clients de recherche en encodant leurs données différemment et de manière meilleure et plus représentative ». Et donc c’est très intéressant de voir tout ce cercle complet à venir où les gens doivent maintenant se demander comment puis-je m’assurer que les sites sont découvrables comme je veux qu’ils soient ?
Tom Gorup : C’est presque comme une version lisible par machine de votre site par rapport à la version lisible par l’homme. C’est beaucoup de contenu gaspillé quand on pense à un humain interagissant avec un site web plutôt qu’une machine, non ? La machine ne se soucie pas de vos graphiques ou de la qualité de votre logo, mais l’humain le fait, non ? Donc, savoir que l’avenir réside vraiment dans la façon dont les utilisateurs interagissent avec l’IA pour acheter ou prendre conscience de votre produit est assez important, n’est-ce pas ?
Andrew Johnson : je pense que c’est et sera surtout dans le marketing. J’essaie toujours d’enrouler ma tête autour de lui, comme je vois ces articles tout le temps comme SEO est mort. Et j’ai besoin d’enrouler ma tête autour de ça rapidement parce que je pense que c’est ici.
Tom Gorup : C’est une excellente question. Alors, pensez-vous, Andrew, qu’il va y avoir quelque chose comme une IA SEO ?
Andrew Johnson : je suis sûr que oui. Je ne pouvais même pas vous dire à quoi ça ressemble, mais je le crois, oui.
Tom Gorup : Oui, parce que découvrir une nouvelle marque pourrait être simplifié ou amplifié un peu avec une IA ou comme ce que sont les cinq meilleures marques en particulier avec, vous savez, peut-être au moins plus de livraison de niche. Mais comment savez-vous, comment interagissons-nous avec l’IA à l’avenir ? Va-t-il devenir un scénario de type pay-to-play où vous allez devoir payer Claude pour atteindre le sommet de leur proverbial moteur de recherche ou moteur de recherche IA ou comment cela va-t-il se passer? Des réflexions là-dessus ? Parce que c’est un sujet intéressant, peut-être amusant à explorer.
Andrew Johnson: il semble logique qu’en marketing, nous enchérions sur Google Ads. Google va intégrer l’IA de plus en plus dans leur recherche aussi. Donc, vraisemblablement, c’est comme ça que ça va se passer.
Tom Gorup : je veux dire, ça change toute la dynamique aussi quand on pense aux taux de clics, il y a probablement beaucoup de choses que dans le marketing on mesure autour de la valeur d’un site web ou de l’efficacité d’un site web. Que se passe-t-il lorsque vous n’êtes plus capable de mesurer l’interaction de l’humain avec votre site, mais qu’il y a plutôt une composante IA, n’est-ce pas ? Il y a un aspect machine. Alors, comment validez-vous que votre site est aussi efficace qu’il l’était avant si les humains ne surfent pas à elle.
Kenneth Thomas : vous faites essentiellement des ventes parce que si je suis payé par l’agent d’une personne ou par eux-mêmes, c’est un peu sans importance pour moi. Tant que le paiement a été effectué, ils ont obtenu leur produit et ils sont satisfaits. Et à cette fin, je pense que nous pourrions très facilement voir la montée, disons, de l’influenceur numérique. Ce que je veux dire par là, c’est que nous avons déjà des gens qui influencent d’un point de vue marketing. Cependant, nous n’avons pas nécessairement vu le mariage de, disons, ces systèmes semi-autonomes et l’intelligence artificielle combinés ensemble d’une manière qui vous plaide parce que vous pouvez aller là-dedans et dire que je cherche un produit X ou je cherche un service Y. mais c’est vous qui dites cela, et donc il y a tellement de façons différentes que cela pourrait jouer là où, en réalité, nous sommes toujours très attachés à un modèle hérité de publicité et de monétiser efficacement l’attention. Et je ne vois pas ce genre d’ethos disparaître de sitôt. Mais en ce qui concerne la façon dont l’attention est mise à profit et même comment vous pouvez y parvenir, je constate qu’il y a beaucoup de place pour l’amélioration et l’opportunité sur le marché pour créer de nouvelles façons d’amener les clients à parler du produit et de toutes ces choses différentes. En fin de compte, c’est l’un de nos plus grands obstacles technologiques. Et c’est comme si c’était significatif pour vous.
Tom Gorup : Oui, c’est intéressant. Vas-y Andrew.
Andrew Johnson : Oui, je pense que l’une des premières choses que Kenneth a mentionnées, est-ce que vous obtenez des ventes? C’est une mesure. Comme si vous créez du contenu là-bas et que vous voyez Lift, vous allez pouvoir le mesurer. Mais je pense que la clé est de mesurer et d’être en mesure de comprendre quelle partie provient d’humains venant directement sur votre site qui passe par un moteur de recherche alimenté par IA. OK, donc pour le point de Kenneth à propos de la monétisation ou de l’augmentation des ventes, vous pouvez le faire. Évidemment, vous devez, pour toute campagne ou page web que vous créez. Je pense que les gens vont regarder de plus près. Il y a des solutions qui distinguent les bots du trafic humain aujourd’hui, et celles-ci sont en fait alimentées par l’IA aussi, faisant différentes façons d’empreintes digitales des clients pour déterminer s’ils sont des scrapers d’IA ou des humains. Donc vous pouvez catégoriser et percer dans qui regarde votre page web, peut-être faire quelques inférences sur, et il peut y avoir des moyens de lier les achats à ces clients.
Tom Gorup : C’est un bon point. Je veux dire, où vous faites les achats. Anthropique commence à exploiter un certain marché ou une certaine méthode par laquelle ils peuvent faire des achats, ce sont ces crochets que c’est comment puis-je laisser mon IA parler à votre IA dans un sens, non ? Comment relier les points ? Mais à la fin de la journée, je pense à votre point, cependant, Andrew est comme là où je pense que je me dirigeais vers, c’est que c’est un coût pour les entreprises pour ces bots ai ou tout bot grattant votre site. Et nous devons tempérer un peu cela parce que cela pourrait devenir hors de contrôle s’il y a des milliers de bots là-bas déversant sur votre site encore et encore. Alors, comment pouvons-nous contrôler une partie de cela? Quelles sont les choses plus tactiques auxquelles une entreprise se conforme ?
Andrew Johnson : Oui, certainement. Tout d’abord, c’est une vieille technologie, mais le fichier robots.txt est une chose à laquelle les administrateurs web devraient penser au moins avec les plus grandes start-ups d’IA, OpenAI, Anthropic et autres, ils publient en fait leurs plages d’adresses IP ou des informations d’agent utilisateur au moins. Et vous pouvez choisir de bloquer ceux-ci si vous ne voulez pas qu’ils voient votre site ou grattent votre site ou permettent aux utilisateurs de vous découvrir par leur recherche. Vous pouvez définir des limites de débit afin qu’ils ne puissent pas le faire souvent et épuiser vos ressources ou vous coûter des ressources et de la bande passante. Toutes les entreprises ne vont pas suivre cela, mais je pense que les plus grandes disent qu’elles le feront, et ces plus grandes sont celles qui ont les ressources pour faire beaucoup de demandes aussi. Donc, il y a un coût de leur côté.
Tom Gorup : je me souviens que c’était comme un crawl. Il y avait un champ que vous aviez découvert pendant que nous creusions dans ce rapport. C’est comme une valeur de crawl.
Andrew Johnson :Crawl-delay.
Tom Gorup : et fichier robots.txt. Je n’en ai jamais entendu parler auparavant.
Andrew Johnson : Oui, c’était nouveau pour nous quand nous faisions des recherches. Mais oui, je pense que même Anthropic mentionne qu’ils respecteraient ça.
Tom Gorup : donc, vous avez les contrôles techniques d’une solution de limitation de débit pour être plus intentionnel avec elle. Et puis il y a la requête polie par le biais du fichier robots.exe comme, « hey, pouvez-vous limiter votre taux de crawl? » C’est cool.
Andrew Johnson : de plus, les solutions de gestion des bots sont conçues pour détecter le trafic automatisé et les clients automatisés. Alors oui, vous pouvez les mettre en place. Vous pouvez, mettre en place des atténuations comme Captchas. Je me souviens que Anthropic a également dit qu’ils respecteraient en n’essayant pas de résoudre ou de contourner Captchas. C’est une considération aussi.
Tom Gorup : D’autres choses tactiques que vous pensez que les entreprises pourraient faire pour contrôler un peu cela ? Kenneth ?
Kenneth Thomas : une idée, je ne sais pas si nous en avions parlé plus tôt, mais une idée serait d’avoir des parties spécifiques du site où elles sont destinées à l’IA pour atterrir, disons. Et en quelque sorte un héritage pas nécessairement, mais la façon qui est une meilleure pratique est la carte du site. Vous connaissez ce fichier XML qui est destiné à indiquer le mappage, de votre site et les ressources dans lesquelles ils se trouvent. Mais d’un autre côté, ce genre de choses montre qu’il y a encore une fois place à l’amélioration et des façons de mieux la mettre en œuvre. Donc, en effet, imaginez que vous avez une partie Safe Harbor de votre site Web pour les bots ai ou différents LLMS qui sont là à la recherche. De cette façon, ils n’ont pas nécessairement à télécharger tous les graphismes, tous les styles, etc. Ils ont juste le contexte du site en termes de texte et il est presque transforme le site Web en un service basé sur le texte pour eux. Mais néanmoins, toutes ces choses, bien sûr, doivent être inventées et ensuite convenues, avant d’être mises en œuvre avec succès.
Tom Gorup : C’est un bon point. Donc, je me rassemble ici et je réévalue votre site et réfléchis aux différents types d’interactions que votre site pourrait rencontrer. Il existe des interactions humaines où votre site doit montrer une bonne expérience utilisateur. Et puis, il y a l’aspect piloté par la machine où il doit être analysé facilement, n’est-ce pas ? Ces données doivent être hautement disponibles et facilement analysées. Et idéalement, cela ne vous coûte pas beaucoup à servir, n’est-ce pas ? Donc, voici des normes qui peuvent être reprises, mais je pense que votre point, Kenneth, est qu’elles ne sont pas largement acceptées en ce moment. N’est-ce pas ?
Kenneth Thomas : quelque chose qui vient immédiatement à l’esprit, c’est que cela force presque les fournisseurs, comme les fournisseurs de sites Web, à avoir un état d’esprit programmatique. Alors que, par exemple, disons que je dirige un site et que le site a une API attachée à elle, je pense déjà à ces choses. Je passe déjà par les trucs nécessaires pour comprendre. OK, qui se connecte ici ? Comment accèdent-ils à nos services ? Que leur disons-nous et ce qui est disponible lorsqu’ils se connectent ? Et c’est un peu comme la pierre angulaire pour s’assurer que votre API est non seulement disponible, mais qu’elle est sécurisée. Que les gens ne peuvent pas simplement entrer et faire une demande et ensuite obtenir toutes les données, disons. Et inversement, il faudra faire de même sur ces sites. Et disons que je dirige simplement, je ne sais pas, un site de type boutique de mode alimenté par Shopify. Maintenant, je dois entrer plus dans l’état d’esprit d’un programmeur où c’est presque comme si mon site Web devait se transformer en une sorte d’API, peut-être pas dans le but de faire des ventes directement, mais pour la liste des informations et s’assurer qu’elles sont disponibles. Comme nous le voulons, ou comme ce désir de l’être pour le LLMS et toutes les différentes choses qui pourraient consommer ces données.
Tom Gorup : Ouais, c’est intéressant en ce moment-là ; je pensais à cette bataille entre le respect de l’agent utilisateur dans un sens. Et c’est le respect aux deux extrémités du spectre. Les créateurs de bots s’identifient comme tels par l’intermédiaire de leur agent utilisateur, mais aussi des administrateurs web ou des développeurs, créant une méthode pour utiliser cet agent utilisateur pour les diriger vers un résultat plus lisible par machine, n’est-ce pas ? C’est un peu comme le genre de monde dans lequel nous nous dirigeons pour respecter l’agent utilisateur pourrait être un futur hashtag ou quelque chose sur lequel vous pouvez sauter. Donc, toutes les autres choses me viennent à l’esprit avec le monde de l’IA dirigée par des machines et des humains. Je sais que nous nous sommes vraiment plongés dans ce sujet.
Andrew Johnson : J’ai vu un article l’autre jour. Il est lié aux informations sur votre site Web et à leur destination. Et je veux juste obtenir les pensées de vos gars. Je sais que nous n’en avons pas parlé, mais ces grandes entreprises d’IA ont besoin de données de formation, n’est-ce pas ? Et l’endroit idéal pour obtenir beaucoup de données d’entraînement gratuites serait votre site Web ou simplement Internet. Et ils craignent que ces entreprises d’IA mettent ces données de formation dans le cloud. Et souvent, ce n’est pas même dans votre géographie ou région. Ainsi, vos informations pourraient réellement quitter votre région. Quelle est l’ampleur du problème ? Pour moi, c’est comme, OK, ce que vous mettez sur votre site, vous n’allez pas mettre trop de PII. J’essaie de penser à des cas d’utilisation où cela pourrait réellement nuire.
Tom Gorup : C’est une excellente idée. Comme ce qui était, oh, le récent fournisseur de vérification des antécédents qui a fuité, qu’était-ce que c’était des centaines ou des millions, nous dirons des millions parce que je n’ai pas les numéros de sécurité sociale et les identités devant moi. Essentiellement. En fait, j’ai reçu un e-mail ou, excusez-moi, une lettre de Home Depot me disant qu’on m’avait refusé, ma carte de crédit Home Depot, parce qu’ils ne pouvaient pas m’identifier. Donc évidemment, mon numéro de sécurité sociale est tenté d’être exploité par Stuff Out Home Depot. Mais à cette fin, je pense qu’il a été découvert et Kenneth, corrige-moi si je me trompe, que le mot de passe ou les identifiants pour accéder à la base de données étaient disponibles sur le site Web en texte brut. OH oui, ces erreurs arrivent tout le temps, non ? Et pas nécessairement la base de données était disponible en clair, mais cela aurait pu être gratté aussi, directement par un bot IA et ce bots maintenant en mémoire a un tas de numéros de sécurité sociale, vous savez, peut-être en attente d’être arraché. Je ne sais pas. Qu’en pensez-vous ? Comment une telle chose pourrait-elle être utilisée ?
Kenneth Thomas : non, c’est un excellent point ici, Andrew, et franchement, je ne pense pas que ça ait été vraiment bien étoffé et réfléchi. Mais l’idée est que souvent les entreprises, si elles adoptent une approche laxiste de la sécurité ou de la sécurisation de leur entreprise, qu’un attaquant, même déterminé, quelles que soient ses compétences, pourrait trouver ces secrets et les exploiter à leurs propres fins. Et bien, je ne crois pas que d’un point de vue comme, disons, IA, c’est ça le souci. En d’autres termes, je ne crois pas que nous aurions à nous inquiéter, du moins à ce stade, de l’IA trouvant une combinaison de mot de passe de connexion et l’essayant ensuite, même si elle le pouvait absolument. Je pense plus que la préoccupation est que lorsque les humains découvrent cela, et souvent à mesure que les organisations ou les projets augmentent en taille, l’accent mis sur la sécurité n’évolue pas au même rythme. Et à cause de cela, vous pouvez avoir ces failles de sécurité, des failles de traitement qui conduiraient à un exploit plus important ou à un plus grand compromis de sécurité. Donc, je n’ai pas de bonne réponse à la question, mais c’est certainement une considération, surtout si vous avez, disons, des lois localisées sur la protection des données. Par exemple, la CCPA donne certaines protections aux citoyens californiens qui ne nous seraient pas, disons, étendues au Texas, vous savez, quelque chose. Et donc, à cette fin, si vous êtes un fournisseur de données ou un courtier en Californie, opérant en Californie, il y a certaines protections qui doivent être en place pour que vous puissiez faire ce genre de choses. Donc, je pense, une fois de plus, que nous avons tellement de développement et de choses devant nous pour construire cette économie, construire cet avenir du logiciel. Mais en même temps, bon nombre des normes et des meilleures pratiques dont nous nous inspirons datent des premiers jours du web, comme du milieu à la fin des années 90 Donc, c’est juste intéressant de voir comment toutes ces différentes forces se combinent et nous devons y réfléchir en temps réel aussi.
Andrew Johnson : cela aide beaucoup les gars, j’y pensais d’un point de vue de site web qui fonctionne parfaitement. Et Tom, tu m’aidais à penser à une mauvaise configuration ou à un point de vue de sécurité laxiste et comment cela pourrait être un problème. Mais aussi, quand vous parlez de différentes lois sur la vie privée, je pense que les requêtes de ces moteurs de recherche ou scrapers d’IA peuvent sortir de votre région locale à partir d’un nœud, non ? Ils peuvent provenir de serveurs dans votre région, mais ils vont prendre ces données. Il ne restera pas nécessairement dans votre région. Il est généralement dirigé vers un cloud plus centralisé qui se trouve probablement en dehors de votre région.
Tom Gorup : C’est une excellente question. Excellent sujet à explorer. Le temps est beaucoup plus long dans ce rapport. Nous parlions d’un sujet et le rapport est l’araignée DDoS, nous voyons des attaquants traverser différents points de terminaison dans l’application pour trouver le plus faible et donc quelques contrôles et recommandations dans le rapport. Là, nous avons les cinq principales faiblesses qui vous feront entrer dans les nouvelles. Nous utilisons l’IA pour analyser les actualités afin de recueillir davantage de renseignements sur les menaces et de repérer non seulement les principales CVE, mais aussi les faiblesses que nous avons identifiées dans les actualités. Et un peu de spoiler, certains des modèles que nous avons utilisés contre les projections de croissance CVE cette année. Cela pourrait être la plus grande année dans les CVE identifiées que nous ayons vues depuis 2017, ce qui n’est pas nécessairement une mauvaise chose, mais je pense qu’il y a beaucoup plus à retirer du rapport. Donc, cela étant dit, il y a encore plus à saupoudrer là-dedans. Avez-vous des pensées de clôture sur l’IA, l’araignée DDoS, les faiblesses ? Quelque chose autour du rapport ?
Andrew Johnson : J’ai trouvé le rapport assez intéressant où les gens d’aujourd’hui entendent parler de CVE tous les jours, mais comment éviter cela dans votre code ? Je pense que le rapport met en évidence les faiblesses, les faiblesses sous-jacentes elles-mêmes. Je veux dire, il y a beaucoup des mêmes coupables, au fil des ans, mais en se concentrant vraiment sur la construction de logiciels plus sécurisés. Je pense qu’il y a plein d’idées à ce sujet dans le rapport.
Tom Gorup : Oui, c’est un point important. Je ne cesse de plaisanter et souvent les agents de sécurité se fâchent avec moi quand je le dis, mais c’est censé être abrasif car la sécurité n’est qu’un correctif. C’est un correctif pour une mauvaise configuration. C’est un correctif pour un codage médiocre. C’est un patch pour franchement, ignorance, non ? Quelqu’un clique sur quelque chose qu’il ne comprend pas, n’est-ce pas ? La sécurité est un correctif. Et plus nous nous rapprochons, plus nous arriverons à la racine du problème. À votre avis, un logiciel mal écrit et ce n’est pas intentionnel, non ? Personne ne le fait exprès. C’est généralement la rapidité de mise sur le marché ou vous ne savez tout simplement pas que c’est un problème. Plus nous pourrons descendre à la racine, mieux nous serons.
Andrew Johnson : exactement. Il y a beaucoup de développeurs qui n’ont pas de connaissances en codage sécurisé. Probablement la plupart des développeurs l’ont eu.
Tom Gorup : Oui, même en tant que responsable de la sécurité, je suis sûr d’avoir écrit du code non sécurisé à un moment donné. Ça arrive, n’est-ce pas ? Et une grande partie de cela ne doit faire que de l’ignorance, vous savez, de la conscience. Savais-je que cela pouvait arriver ?
Kenneth des pensées de clôture autour du rapport dans son ensemble ou de l’IA, peu importe ce qui est?
Kenneth Thomas : bien sûr. J’ai eu beaucoup de plaisir à parcourir et à faire ce rapport et en particulier à découvrir certaines choses comme le retard de crawl. Je le mentionnais plus tôt, beaucoup de nos normes viennent de l’époque, elles viennent des années 90 et ainsi de suite. robots.txt en est certainement un. Mais le retard de crawl indique que même si c’est un peu comme un standard hérité, les gens continuent d’innover en son sein. Et il y a aussi des acteurs de l’autre côté du marché qui respectent cette innovation. Tout cela pour dire, le rapport contient un tas d’informations exploitables, où en tant qu’opérateur de site, vous pouvez immédiatement tirer parti d’intel pour prendre une décision sur ce que vous devez faire par rapport à ce nouveau trafic et à ces modèles qui sont observés. Mais cela dit, l’IA est certainement là pour rester. J’encouragerais tout le monde à suivre tout ce qui les intéresse. Mais surtout, soyez à l’affût de nouveaux développements et de nouveaux protocoles relatifs à l’IA et au web. Parce que je pense que nous avons encore beaucoup de chemin à faire dans le développement de la technologie. Et en particulier, même quelque chose que vous aviez posté l’autre jour, Tom, le Web sémantique , qui est une de mes sortes, vous savez, je veux voir le Web sémantique prendre pied, mais ce n’est que moi.
Tom Gorup : Oui, c’est super. Je pense que vous soulevez un point important : nous n’avons pas nécessairement toujours besoin de réinventer la roue non plus, n’est-ce pas ? Nous pouvons tirer parti de la technologie déjà disponible aujourd’hui. Et même le Web sémantique, comme s’il existait depuis un certain temps. Peut-être que nous pouvons en tirer parti pour nous lancer dans un futur fou, surtout quand vous envisagez l’IA et à quoi cela ressemblera dans les 5-10 ou même 50 prochaines années, vous savez que le monde va changer.
Mais je vous apprécie tous les deux. Cette conversation a été exceptionnelle. Encore une fois, je conseille à tout le monde d’aller consulter le rapport sur les tendances des attaques du deuxième trimestre. C’est une grande valeur là-dedans, et voici quelques-unes des stars du rock qui y ont contribué.
Donc, jusqu’à la prochaine fois, restez gelé.
