Restate aggiornati sulle minacce informatiche con le informazioni più recenti fornite dai nostri esperti di sicurezza.
Iscriviti subito per ricevere:
- Nuovi episodi di ThreatTank al lancio
- Attacchi di tendenza per settore
- Informazioni utili e strategie di risposta
- E di più!
Un’introduzione a ThreatTank – episodio 6: Trend degli attacchi trimestrali Q2 2024
Tom Gorup: Benvenuti in Threat Tank, un podcast che tratta le informazioni più recenti sulle minacce, la risposta alle minacce e le informazioni sul panorama della sicurezza in tutto il mondo.
Sono il vostro ospite, Tom Gorup, Vice Presidente dei servizi di sicurezza di Edgio, e oggi faremo un’analisi approfondita del rapporto trimestrale sulle tendenze degli attacchi di Edgio.
C’è una tonnellata da coprire. Prima di iniziare, presentiamo gli ospiti di oggi.
Quindi, oggi, insieme a me ci sono Andrew Johnson e Kenneth Thomas.
Benvenuto, Andrew, Kenneth.
Andrew Johnson: Ehi, grazie, Tom. E’ bello essere qui.
Tom Gorup: Quindi, prima di iniziare e abbiamo molto da coprire qui, ma prima di iniziare, diamo un po’ di introduzione. Allora, Andrew, raccontami di te. Dite alla gente chi e’ Andrew Johnson.
Andrew Johnson: Oh, Dang, ovviamente. Beh, si’, Andrew Johnson. Dirigo il marketing di prodotto qui a Edgio per le nostre soluzioni di sicurezza che coprono WAF, bot , DDoS, sicurezza API , Gestione dei servizi di attacco e tutto il resto.
Ho circa 8 anni di esperienza nel settore della cybersicurezza in ruoli di marketing e gestione dei prodotti per la sicurezza delle applicazioni Web e in origine sono entrato nel settore della sicurezza degli endpoint.
Tom Gorup: Fantastico. Beh, benvenuto nei podcast, e sono entusiasta di approfondire questo.
Allora, Kenneth, che ne dici? Chi è Kenneth Thomas?
Kenneth Thomas: Ehi Tom, Andrew, grazie per avermi qui. Sono nuovo di zecca nell’organizzazione. Sono qui per lavorare nell’intelligence delle minacce e principalmente per funzionare, svolgendo il compito quotidiano di trovare tendenze e emergere tali tendenze in modo che i clienti possano agire su di loro.
Negli ultimi dieci anni ho fatto un perno sia nell’intelligenza artificiale che nel cyber. E quindi, venendo da un sistema, e’ stato un po’ un drink, da una manichetta antincendio, ma e’ cosi’ che mi piace.
Tom Gorup: Quindi sì, in effetti, e la quantità di dati da versare per questo rapporto era una manichetta antincendio in sé. Quindi, sono felice che siate entrambi qui. Sarà molto divertente.
Ma prima di iniziare, c’e’ una domanda obbligatoria per rompere il ghiaccio. E ancora una volta, ho per tutti gli altri che ascoltano, non ho detto loro cosa è perché è molto più divertente ottenere la risposta tipo “fuori dal bracciale”.
Quindi, ecco la domanda. Siete pronti?
Se gli animali potessero parlare, quale specie sarebbe la più maleducata di tutte? Quindi, se gli animali potessero parlare, chi sarebbe il più maleducato di tutti?
Kenneth Thomas: Il mockingbird.
Tom Gorup: Il mockingbird? E’ perché prendono in giro le persone? Come se fosse il loro stato naturale?
Kenneth Thomas: No, sono molto territoriali. Lo so solo perché li vedo di solito nel mio cortile, ma ho assolutamente visto un mockingbird attaccare uno scoiattolo e andare in, sai, epica battaglia. Ho anche avuto una mosca mockingbird alla mia testa, proprio prima che qualcuno chiamasse e gli ho detto: “Quella è la testa per la suoneria, sai, sono io.
Tom Gorup: Ho avuto un uccello che mi ha attaccato anche una volta. Era come un uccellino che cadde da un nido e si incastrò nell’albero e stavo cercando di far uscire l’uccello, ma credo che questi fossero passeri. Erano come bombardamenti in picchiata su di me, sono tipo, amico, sto solo cercando di aiutare, ma non ho potuto fare a meno perché questi uccelli mi stavano letteralmente attaccando mentre cercavo di salvare il loro bambino. E’ stato un giorno triste.
Andrew Johnson: Oh, amico, mi stai dando anche una cattiva memoria. Sono stato attaccato da un’oca egiziana qui fuori. Abbiamo queste oche in California sul campo da golf e sono estremamente brutte e territoriali, e letteralmente avevo la mia borsa sulla schiena e mi è venuta da dietro e ho dovuto tuffarmi. Devo essere stato troppo vicino a un nido o qualcosa del genere. Quindi, ho un po’ di PTSD a riguardo. Ma comunque, quale animale penso sia il più maleducato, non sono un grande fan dei barboncini, mi sento come se fossero i cani più noiosi. Non so perché la gente li prenda. O forse Chihuahuas, CE ne sono molti qui intorno. Non sono fan super grandi, anche se sono un cane. Quindi si’, non voglio sapere cosa pensano.
Tom Gorup: Sì, gatti. Super maleducato. Non hanno nemmeno bisogno di parlare e sono maleducati.
Andrew Johnson: Sì. Era il mio numero due sulla lista.
Tom Gorup: Buone cose. Bene, possiamo entrare nell’argomento in discussione. Non e’ molto legato al cyber, ma speriamo un po’ come rompere il ghiaccio.
Quindi, stiamo esaminando questo rapporto sulle tendenze degli attacchi , e un tema che ha davvero risalto credo sia stato quello delle interazioni guidate dagli esseri umani e dalle macchine con i vostri siti web e le vostre applicazioni web.
Quindi, non lo so, Andrew, raccontami un po’ di questo. Tipo cosa vediamo, cosa vediamo lì? Che tipo di punti salienti hai tratto?
Andrew Johnson: Sì, voglio dire, penso che in questo rapporto, una delle cose più sorprendenti è stato il numero di blocchi di intelligenza artificiale aperta da parte dei nostri clienti, quasi il 3000% su base trimestrale.
E credo che questo segnali davvero un cambiamento nel modo in cui le aziende stanno pensando, l’intelligenza artificiale e le loro applicazioni e i dati e le informazioni che vivono sulle loro applicazioni.
Questo numero non significa che l’intelligenza artificiale aperta stesse facendo, 3000 volte più scraping o richieste ai siti dei nostri clienti, ma piuttosto che molto probabilmente, come gli amministratori web, pensa molto all’intelligenza artificiale e ai dati o alle informazioni, il valore delle informazioni sul loro sito. Quindi, questa era una delle cose più interessanti che penso.
Tom Gorup: Sì, è interessante perché quello che vediamo lì quel tipo di tendenza è che le persone prendono i loro dati più seriamente. Quindi, i bot e i bot ai in generale stanno costantemente scacciando Internet cercando di ottenere informazioni. Ma di solito, è, credo, più per i tuoi bot buoni come Googlebot e Bingbot e che stanno aiutando con il tuo SEO, rendendo il tuo sito più altamente disponibile. Ma con l’intelligenza artificiale, stiamo esaminando potenziali modelli di formazione che poi vengono monetizzati. Quindi, in un certo senso, i vostri dati vengono monetizzati e forse ad alcuni non piace. Allora, credo che Kenneth, l’intelligenza artificiale che raschia il tuo sito sia una cosa negativa? Come se fosse qualcosa che dovremmo bloccare o cosa ne pensi?
Kenneth Thomas: Dipende davvero da quello che stai facendo. E so che e’ un termine doloroso per gente al di fuori della tecnologia che sente che dipende da qualsiasi cosa, ma davvero lo fa. E la ragione è che, per esempio, se sto facendo un sito web e voglio essere scoperto, allora voglio che l’intelligenza artificiale sappia dei miei servizi. Perché in breve, l’intelligenza artificiale è in grado di scansionare il mio sito e, potenzialmente, anche io posso avere il mio sito preparato in modo che sia più facilmente digerito o compreso dall’intelligenza artificiale. Ma dall’altra parte, se sono un privato o un gruppo privato di entità e opero, come tale, probabilmente non vorrei avere i miei dati privati come parte di un insieme pubblico di dati monetizzati. Per quanto riguarda Andrew, queste aziende stanno sicuramente riconsiderando il valore prop su ciò che i dati che hanno a che fare con il pubblico stanno dicendo su di loro e anche su come possono essere sfruttati dal punto di vista della formazione e dell’utilizzo del fango. Quindi, sai, dipende davvero dal sito, dall’operatore, e anche in una certa misura dalla loro propensione al rischio.
Tom Gorup: Sì, è interessante. Quindi, credo che a questo fine, stiamo vedendo un cambiamento nel modo in cui le persone navigano sul web? Come se cambiasse?
Kenneth Thomas: Penso di sì, proprio come un avvertimento sul lato ai, dentro, diciamo che OpenAI è una piattaforma ChatGPT , hai la possibilità di usarla quasi come un concierge per Internet. Quindi, mentre siete seduti lì a fare la conversazione, potrebbe comparire qualcosa in cui, oh beh, non si trova all’interno del set di dati dell’intelligenza artificiale, ma può fare una richiesta al Web per voi e poi recuperare quei dati. E come tale, trasforma il web in un’esperienza molto più ricca o più completa per queste persone. Ma d’altra parte, i siti da cui ottengono questi dati dovranno operare all’interno dello stesso parametro. Dovranno sapere che i loro siti vengono potenzialmente raschiati e utilizzati in questo modo. E così, ancora una volta, si tratta di comprendere realmente la vostra applicazione, il vostro cliente e infine la proposta di valore dei dati che avete a disposizione per il consumo generale.
Andrew Johnson: Assolutamente. E per aggiungere, non so voi ragazzi, ma direi che il modo in cui cerco è molto diverso oggi nel marketing dei prodotti. Facciamo molte ricerche, io uso Google, ovviamente, proprio come le ricerche di chiunque altro ancora oggi. Quindi, di solito è la prima cosa sotto i risultati. Ora, si chiama Search Labs ai Overview. Ed è una specie di snippet basato su LLM che ti dà una panoramica e poi i link ai siti web e cose sottostanti. Utilizzo anche Copilot, tramite Microsoft Bing. Quindi si’, e’ praticamente il modo in cui cerco oggi.
Tom Gorup: Sento che questo è il futuro verso cui probabilmente stiamo andando è l’intelligenza artificiale. Ho bisogno di un nuovo frigorifero. Il frigorifero sta andando male. Quindi, prima di tutto, cosa c’è che non va? Forse l’intelligenza artificiale può aiutarti a risolvere questo problema. Altrimenti, voglio solo un frigo nuovo. Ed ecco i miei requisiti, giusto? E poi l’IA popolerà, “Ehi, ecco i primi cinque frigoriferi che potresti voler acquistare e uno è disponibile presso il Best Buy più vicino.
Vuole che lo ordini per lei, vero? Ho potuto vedere l’intero flusso che viene rilevato dal tuo bot ai preferito. Quindi, come cambia il modo in cui le aziende dovrebbero guardare il loro sito o valutare la loro applicazione di questi casi d’uso?
Kenneth Thomas: Una cosa che viene subito in mente è, e forse non lo è, diciamo conoscenza comune, ma per quelli di noi che hanno familiarità con la ricerca su Google, siamo assolutamente consapevoli che la ricerca si è evoluta nel tempo. Ma una cosa che potrebbe non essere un conoscente per tutti è che circa 2018 circa, la ricerca di Google inizia a incorporare quelli che sono noti come encoder bidirezionali per rappresentare i trasformatori.
So che e’ una specie di mischia di parole, ma…
Tom Gorup: Deve esserci un acronimo lì dentro da qualche parte.
Kenneth Thomas: L’acronimo è Bert esattamente. Ed è divertente perché c’era Elmo. Dimentico cosa significasse Elmo, ma Bert è effettivamente una rappresentazione codificata dei trasformatori, il che significa che quello di esso è codificare i dati e decodificare. E così facendo, si può fare lo stesso tipo di confronto delle frasi, dicendo quali hanno una struttura simile, o per dire, mostrarmi parole che corrispondono a questo tipo di frase. O forse fare come un’analisi dei sentimenti per dire che questa frase è buona o cattiva? Ma il punto e’ che questa tecnologia di Bert e’ racchiusa in ogni ricerca che fate su Google, sia che la alimentino da un LLM o meno. E quindi è una di queste cose in cui, anche ben prima dell’attuale rivoluzione dell’intelligenza artificiale, è successo un paio di volte. Ma prima di questa, molte delle società di ricerca, anche Bing, hanno sfruttato questa idea di: “Oh, beh, forse dovremmo, dovremmo servire meglio i nostri clienti di ricerca codificando i loro dati in modo diverso e in modo migliore e più rappresentativo”. E quindi è molto interessante vedere tutto questo giro completo in cui la gente ora deve considerare come posso assicurarmi che i siti siano individuabili come voglio che siano?
Tom Gorup: È quasi come una versione leggibile da una macchina del tuo sito rispetto a quella leggibile dall’uomo. È un sacco di contenuti sprecati quando si pensa a un umano che interagisce con un sito web piuttosto che con una macchina, giusto? Alla macchina non importa della grafica o dell’aspetto del logo, ma l’uomo lo fa, giusto? Quindi, sapere che il futuro risiede davvero nel modo in cui gli utenti interagiscono con l’intelligenza artificiale per acquistare o rendersi conto del tuo prodotto è un problema piuttosto importante, vero?
Andrew Johnson: Penso che lo sia e lo sarà soprattutto nel marketing. Sto ancora cercando di avvolgermi intorno, come se vedessi questi articoli tutto il tempo come se SEO fosse morto. E ho bisogno di stringermi la testa in fretta, perche’ penso che sia qui.
Tom Gorup: È un’ottima domanda. Allora, pensi, Andrew, che ci sarà come un SEO ai qualcosa?
Andrew Johnson: Sono sicuro che ci sia. Non sono nemmeno riuscito a dirti come sembra, ma credo di sì, sì.
Tom Gorup: Sì, perché scoprire un nuovo marchio potrebbe essere semplificato o amplificato un po’ con un’IA o come quelli che sono i primi cinque marchi in particolare prodotto con, sai, forse almeno una consegna di nicchia. Ma come fai a sapere, come interagiamo con l’intelligenza artificiale in futuro? Diventerà un tipo di scenario pay-to-play in cui dovrai pagare Claude per salire in cima al loro proverbiale motore di ricerca o motore di ricerca ai o come andrà a finire? Qualche idea su questo? Perché è un argomento interessante, forse divertente da esplorare.
Andrew Johnson: sembra logico che nel marketing, facciamo offerte su Google Ads. Google incorporerà sempre di più l’intelligenza artificiale anche nella loro ricerca. Quindi, presumibilmente, andra’ cosi’.
Tom Gorup: Voglio dire, cambia anche l’intera dinamica quando pensiamo ai tassi di click-through, probabilmente ci sono molte cose che nel marketing misurate intorno al valore di un sito web o all’efficacia di un sito web. Cosa succede quando non siete più in grado di misurare l’interazione umana con il vostro sito, ma invece c’è un componente ai, giusto? C’è un aspetto macchina. Quindi, come convalidare che il tuo sito sia efficace come lo era prima se gli esseri umani non lo stanno navigando?
Kenneth Thomas: Stai essenzialmente facendo vendite perché se vengo pagato dall’agente di una persona o da loro stessi, è un po’ irrilevante per me. Finché il pagamento è stato effettuato, hanno ottenuto il loro prodotto e sono soddisfatti. E a tal fine, penso che potremmo facilmente vedere l’ascesa, diciamo, dell’influencer digitale. Quello che intendo dire è che abbiamo già persone che influenzano dal punto di vista del marketing. Tuttavia, non abbiamo necessariamente visto il connubio di questi sistemi semi-autonomi e poi di intelligenza artificiale in un modo che vi sta sostenendo perché potete andare lì e dire che sto cercando il prodotto X o sto cercando un servizio Y. ma siete voi a dirlo, e quindi ci sono così tanti modi diversi in cui questo potrebbe arrivare dove, in realtà, siamo ancora molto affezionati a un modello legacy di pubblicità e a ricevere efficacemente l’attenzione di monetizzazione. E non vedo questo tipo di etica sparire presto. Ma in termini di come l’attenzione viene sfruttata e anche come si può arrivare a questa, vedo che c’è molto spazio per migliorare e opportunità nel mercato per creare nuovi modi per convincere i clienti a parlare dei prodotti e di tutte queste cose diverse. In definitiva, questo è uno dei nostri maggiori ostacoli all’interno della tecnologia. Ed e’ come se fosse significativo per te.
Tom Gorup: Sì, è interessante. Avanti, Andrew.
Andrew Johnson: Sì, credo che una delle prime cose di cui Kenneth ha parlato, stai ottenendo vendite? E’ una misurazione. Come se creassi contenuti là fuori e vedessi un aumento, sarai in grado di misurarlo. Ma penso che la chiave sia misurare e capire quale parte proviene dagli esseri umani che arrivano direttamente al tuo sito e che sta passando attraverso un motore di ricerca basato sull’intelligenza artificiale. OK, quindi, per quanto riguarda la monetizzazione o l’aumento delle vendite, Kenneth può farlo. Ovviamente, è necessario, per qualsiasi campagna o pagina Web creata. Penso che la gente guarderà più da vicino. Oggi esistono soluzioni che distinguono i bot dal traffico umano, e anche queste sono alimentate dall’intelligenza artificiale, che fanno diversi modi di rilevare le impronte digitali dei clienti per capire se sono scraper di intelligenza artificiale o umani. Quindi potete categorizzare ed esaminare chi sta guardando la vostra pagina web, magari fare delle conclusioni, e ci possono essere modi per legare gli acquisti a quei clienti.
Tom Gorup: È un buon punto. Voglio dire, da dove fai gli acquisti. Anthropic inizia a sfruttare un certo mercato o metodo con cui possono fare acquisti, sono questi Hooks che è così che posso lasciare che la mia IA parli con la tua intelligenza artificiale in un certo senso, giusto? Come facciamo a collegare i punti? Ma alla fine della giornata, penso che secondo te, Andrew è lì dove sento che mi stavo dirigendo: Questo è un costo per le aziende per questi bot di intelligenza artificiale o per qualsiasi bot che raschiano il tuo sito. E dobbiamo mitigare un po’ questo perché potrebbe sfuggirci di controllo se ci sono migliaia di bot là fuori che versano nel tuo sito più e più volte. Allora, come possiamo controllarne un po’? Quali sono alcuni aspetti più tattici che un’azienda rispetta?
Andrew Johnson: Sì, sicuramente. Prima di tutto, si tratta di una vecchia tecnologia, ma il file robots.txt è una cosa a cui gli amministratori web dovrebbero pensare almeno con le startup di intelligenza artificiale più grandi, OpenAI, Anthropic e altre, pubblicano effettivamente i loro intervalli IP o le informazioni sugli agenti utente. E potete scegliere di bloccarli se non volete che vedano il vostro sito o lo raschiino o permettano agli utenti di scoprirvi attraverso la loro ricerca. È possibile impostare limiti di velocità in modo che non possano farlo spesso e esaurire le risorse o costare risorse e larghezza di banda. Non tutte le aziende lo seguiranno, ma penso che le più grandi stiano dicendo che lo faranno, e quelle più grandi sono quelle che hanno le risorse per fare molte richieste. Quindi, c’e’ un costo dalla loro parte.
Tom Gorup: Ricordo che c’era come un giro. C’era un campo che avete scoperto mentre stavamo indagando su questo rapporto. E’ come un valore da giro.
Andrew Johnson:Crawl-delay.
Tom Gorup: E file robots.txt. Non ne ho mai sentito parlare prima.
Andrew Johnson: Sì, questo era nuovo per noi quando stavamo facendo ricerche su questo. Ma si’, penso che anche Antropico abbia detto che lo rispetterebbero.
Tom Gorup: Quindi, hai i controlli tecnici di una soluzione di limitazione del tasso per essere più intenzionale con essa. E poi c’è la richiesta educata tramite il file robots.exe come, “Ehi, puoi limitare il tuo tasso di crawl?” che è fantastico.
Andrew Johnson: Inoltre, le soluzioni di gestione dei bot sono progettate per rilevare il traffico automatizzato e i client automatizzati. Quindi si’, potete organizzarli. È possibile impostare mitigazioni come CAPTCHA. Ricordo che Anthropic ha anche detto che avrebbero rispettato non cercando di risolvere o bypassare CAPTCHA. Anche questa è una considerazione.
Tom Gorup: Altre cose tattiche che pensi che le aziende potrebbero fare per controllare un po’ questo? Kenneth?
Kenneth Thomas: Un’idea, non so se ne avessimo parlato prima, ma un’idea sarebbe quella di avere porzioni specifiche del sito in cui sono destinate all’IA per atterrare, diciamo. E in una sorta di eredità non necessariamente, ma il modo in cui questa è una BEST practice è la mappa del sito. Il file XML è destinato a indicare la mappatura, il sito e le risorse in cui si trovano. Ma allo stesso tempo, questo tipo di mostra dove c’è ancora una volta spazio per il miglioramento e come implementarlo meglio. Quindi, in effetti, immaginate di avere una porzione sicura del vostro sito web per bot ai o LLMS diversi che sono là fuori a cercare. In questo modo, non devono necessariamente scaricare tutta la grafica, tutto lo stile, ecc. Hanno solo il contesto del sito in termini di testo ed è quasi che trasforma il sito Web in un servizio basato su testo per loro. Tuttavia, tutte queste cose devono essere inventate e poi concordate, prima di essere attuate con successo.
Tom Gorup: È un buon punto. Quindi, sto qui riunendo e rivalutando il vostro sito e pensando ai diversi tipi di interazioni che il vostro sito potrebbe sperimentare. Ci sono interazioni guidate da persone in cui il vostro sito deve mostrare una buona esperienza utente. E poi c’è l’aspetto guidato dalla macchina in cui deve essere analizzato facilmente, giusto? Tali dati devono essere altamente disponibili e analizzati facilmente. E idealmente, non ti costa molto servire, giusto? Quindi, qui ci sono degli standard che possono essere presi in considerazione, ma penso che il tuo punto, Kenneth, sia che non sono ampiamente d’accordo al momento. Giusto?
Kenneth Thomas: Qualcosa che è venuto subito in mente è che questo sta quasi costringendo i provider, come i provider di siti web ad avere una mentalità programmatica. Mentre, ad esempio, gestisco un sito e il sito ha un’API collegata, sto già pensando a queste cose. Sto già esaminando le cose necessarie per capire. OK, chi si collega qui? Come arrivano ai nostri servizi? Cosa stiamo dicendo loro e cosa è disponibile quando si connettono? E questo è un po’ come la pietra angolare per assicurarsi che l’API non sia solo disponibile, ma anche sicura. Che le persone non possono semplicemente entrare e fare una richiesta e poi ottenere tutti i dati, diciamo. E viceversa, lo stesso dovrà essere fatto su questi siti. E diciamo che gestisco semplicemente, non lo so, un sito di tipo boutique di moda basato su Shopify. Ora, devo entrare nella mentalità di un programmatore, dove è quasi come se il mio sito web dovesse trasformarsi in una sorta di API, forse non per condurre vendite dirette, ma per elencare le informazioni e assicurarmi che siano disponibili. Come vogliamo che sia, o come questo desiderio di essere per LLMS e tutte le cose diverse che potrebbero consumare quei dati.
Tom Gorup: Sì, è interessante mentre parli; stavo pensando come questa battaglia tra rispettare l’agente utente in un certo senso. E questo e’ il rispetto su entrambi i lati dello spettro. I creatori di bot si identificano come tali tramite l’agente utente, ma anche gli amministratori o gli sviluppatori Web, creando un metodo per utilizzare tale agente utente per indirizzarlo verso un risultato più leggibile da un computer, giusto? E’ come se il mondo in cui ci stiamo dirigendo rispettasse l’agente utente potrebbe essere un futuro hashtag o qualcosa su cui poter saltare. Quindi, ogni altra cosa viene in mente con il mondo dell’intelligenza artificiale guidato dalle macchine e guidato dagli umani. So che ci siamo imbattuti in questo argomento.
Andrew Johnson: Ho visto un articolo l’altro giorno. È correlato alle informazioni sul tuo sito web e dove va. E voglio solo avere i pensieri dei vostri ragazzi. So che non ne abbiamo parlato, ma queste grandi aziende di intelligenza artificiale hanno bisogno di dati di formazione, giusto? E il posto perfetto per ottenere molti dati di formazione gratuiti sarebbe il tuo sito web o solo Internet. E sono preoccupati che queste aziende di intelligenza artificiale mettano questi dati di formazione nel cloud. E spesso non sarà nemmeno nella tua geografia o regione. Quindi, le sue informazioni potrebbero davvero lasciare la sua regione. Quanto è grande questo problema? Per me, e’ come se quello che hai messo sul tuo sito web, non metterai troppa PII. Sto cercando di pensare a casi d’uso in cui questo potrebbe davvero danneggiare.
Tom Gorup: È un grande pensiero. Come quello che era, oh, il recente fornitore di controlli sui precedenti che è trapelato, che cos’era centinaia di milioni o milioni, diremo milioni perché non ho i numeri di numeri e identità di previdenza sociale davanti a me. In sostanza. A dire il vero, ho ricevuto un’e-mail o, scusami, una lettera da Home Depot che mi ha rifiutato, la mia carta di credito Home Depot perché non riuscivano a identificarmi. Quindi, ovviamente, il mio numero di previdenza sociale viene tentato di essere sfruttato da Stuff Out Home Depot. Ma a tal fine, penso che sia stato scoperto e Kenneth, correggetemi se sbaglio, che la password o le credenziali per accedere al database erano disponibili sul sito web in testo normale. Oh si’, questi errori succedono continuamente, giusto? E non necessariamente il database era disponibile in modo semplice, ma avrebbe potuto essere scartato anche da un bot ai e che i bot ora in memoria hanno un mucchio di numeri di previdenza sociale, sapete, forse in attesa di essere eliminati. Non lo so. Cosa ne pensi? Come si può usare una cosa del genere?
Kenneth Thomas: No, questo è un ottimo punto qui, Andrew, e francamente uno, che non credo sia stato davvero ben fatto e pensato. Ma l’idea è che spesso le organizzazioni, se adottano un approccio lassista alla sicurezza o proteggono la propria azienda, anche un determinato pirata informatico, indipendentemente dalle proprie competenze, potrebbe trovare quei segreti e sfruttarli per i propri scopi. E beh, non credo che da un punto di vista dell’intelligenza artificiale, questa sia la preoccupazione. In altre parole, non credo che dovremmo preoccuparci, almeno a questo punto, del fatto che l’intelligenza artificiale trovi una combinazione di password di accesso e poi ci provi, anche se assolutamente potrebbe. Penso di più, la preoccupazione è quando gli esseri umani lo scoprono, e spesso con l’aumento delle dimensioni di organizzazioni o progetti, l’attenzione alla sicurezza spesso non si ridimensiona allo stesso ritmo. E per questo motivo, si possono avere queste lacune nella sicurezza, lacune nell’elaborazione che porterebbero a un maggiore sfruttamento o a un maggiore compromesso della sicurezza. Quindi, non ho una buona risposta per la domanda, ma è sicuramente una considerazione, soprattutto se avete, diciamo, leggi localizzate sulla protezione dei dati. Per esempio, il CCPA fornisce certe protezioni ai cittadini californiani che non dovrebbero, diciamo, essere estesi a noi in Texas, sai, cose del genere. E quindi, a tal fine, se siete un fornitore di dati o un broker in California, che opera in California, ci sono alcune protezioni che devono essere in atto per poter fare questo tipo di cose. Quindi, penso, ancora una volta, che abbiamo così tanto sviluppo e cose davanti a noi per costruire questa economia, costruire questo futuro del software. Ma allo stesso tempo, molti degli standard e delle BEST practice da cui trattiamo sono in realtà dai primi giorni del web come la metà e la fine degli anni ’90 Quindi, è interessante come tutte queste forze diverse si stiano combinando e dobbiamo pensare anche a questo in tempo reale.
Andrew Johnson: Questo aiuta molti ragazzi, ci stavo pensando da un punto di vista del sito web perfettamente funzionante. E Tom, mi hai aiutato a pensare a una configurazione sbagliata o a un punto di vista di sicurezza lassista e a come potrebbe essere un problema. Ma anche, quando si parla di diverse leggi sulla privacy, penso che le richieste di questi motori di ricerca di intelligenza artificiale o scraper di intelligenza artificiale possano uscire dalla vostra regione locale da un nodo, giusto? Potrebbero provenire da server nella vostra regione, ma prenderanno quei dati. Non rimarrà necessariamente nella vostra regione. Di solito si rivolge a un cloud più centralizzato che probabilmente si trova al di fuori della vostra regione.
Tom Gorup: È un’ottima domanda. Ottimo argomento da esplorare. Il tempo a nostra disposizione è molto di più in questa relazione. Abbiamo parlato di un argomento e il rapporto è DDoS spidering, vediamo che gli autori degli attacchi attraversano vari endpoint all’interno dell’applicazione per trovare quello più debole e quindi alcuni controlli e raccomandazioni all’interno del rapporto. Ecco i cinque punti deboli principali che ti porteranno al telegiornale. Stiamo sfruttando l’intelligenza artificiale per analizzare le notizie per ottenere più informazioni sulle minacce e individuare non solo i principali CVE, ma anche i punti deboli identificati nelle notizie. E un po’ di spoiler, alcuni dei modelli che abbiamo eseguito contro le proiezioni per la crescita della CVE quest’anno. Questo potrebbe essere l’anno più importante per i CVE identificati che abbiamo visto dal 2017, il che non è necessariamente una cosa negativa, ma penso che ci sia molto di più da raccogliere dal rapporto. Quindi, detto questo, c’è ancora molto da aggiungere. Avete qualche idea di chiusura sull’intelligenza artificiale, lo spidering DDoS, i punti deboli? Qualcosa intorno al rapporto?
Andrew Johnson: Pensavo che il rapporto fosse piuttosto interessante dove le persone oggi sentono parlare di CVE ogni giorno, ma come impedirlo nel tuo codice? Ritengo che la relazione faccia un buon lavoro nel sottolineare la debolezza, le debolezze di fondo. Voglio dire, ci sono molti degli stessi colpevoli, nel corso degli anni, ma si concentrano davvero sulla costruzione di software più sicuro. Penso che ci siano molte idee al riguardo nel rapporto.
Tom Gorup: Sì, è un ottimo punto. Continuo a scherzare e spesso le persone della sicurezza si arrabbiano con me quando lo dico, ma dovrebbe essere abrasivo in quanto la sicurezza è solo una patch. E’ una patch per un’errata configurazione. E’ una patch per una codifica scadente. E’ una patch per francamente, ignoranza, giusto? Qualcuno che fa clic su qualcosa che non capisce, giusto? La sicurezza e’ una patch. E più ci avviciniamo, più in basso possiamo arrivare alla radice del problema. Al suo punto di vista, software scritto male e non è intenzionale, giusto? Nessuno lo fa apposta. In genere si tratta della velocità di immissione sul mercato o semplicemente non si sa che si tratta di un problema. Più riusciamo ad arrivare alla radice, meglio saremo.
Andrew Johnson: Esatto. Ci sono molti sviluppatori che non hanno un background di codifica sicuro. Probabilmente la maggior parte degli sviluppatori CE l’ha fatta.
Tom Gorup: Quindi sì, anche come addetto alla sicurezza, sono sicuro di aver scritto codice non sicuro a un certo punto. Succede, vero? E molte cose devono fare solo ignoranza, sai, consapevolezza. Lo sapevo che poteva succedere?
Kenneth qualche riflessione conclusiva sul rapporto nel suo complesso o sull’intelligenza artificiale, a quale delle due?
Kenneth Thomas: Certo. Mi sono divertito molto a esaminare e a fare questa relazione e, in particolare, a scoprire alcune cose, come il ritardo della corsa. Prima ho detto che molti dei nostri standard provengono da quei tempi, provengono dagli anni ’90 e quant’altro. robots.txt è sicuramente uno di questi. Tuttavia, il ritardo nella crescita indica che, anche se è un po’ come uno standard legacy, le persone continuano a innovare al suo interno. E ci sono anche attori dall’altra parte del mercato che rispettano questa innovazione. Quindi, tutto questo, il rapporto contiene una serie di informazioni attuabili all’interno del reparto IT, in cui, in qualità di operatore del sito, è possibile sfruttare immediatamente intel per prendere una decisione su ciò che è necessario fare in relazione a questo nuovo traffico e a questi modelli che vengono visti. Ma detto questo, l’intelligenza artificiale è sicuramente qui per rimanere. Incoraggerei assolutamente tutti a seguire qualsiasi cosa li interessi al suo interno. Ma in particolare, state alla ricerca di nuovi sviluppi e nuovi protocolli relativi all’IA e al web. Perché penso che abbiamo ancora molta strada da percorrere nello sviluppo della tecnologia. E in particolare, anche qualcosa che avevi postato l’altro giorno, Tom, il Semantic Web, che è uno dei miei tipi di, sai, voglio vedere il Semantic Web prendere davvero piede, ma sono solo io.
Tom Gorup: Sì, è fantastico. Penso che tu stia dicendo che non dobbiamo necessariamente reinventare la ruota, giusto? Possiamo sfruttare la tecnologia già disponibile oggi. E anche il Web semantico, come se fosse in circolazione da un po’. Forse possiamo sfruttarlo per lanciarci in un futuro pazzo, specialmente quando contempli l’intelligenza artificiale e cosa assomiglia nei prossimi 5-10 o anche 50 anni, sai che il mondo cambierà.
Ma vi apprezzo entrambi. E’ stata una conversazione eccezionale. Ancora una volta, indico a tutti di andare a controllare il rapporto sulle tendenze degli attacchi Q2. E’ molto importante in questo, e queste sono alcune delle rock star che ci hanno contribuito.
Quindi, fino alla prossima volta, resta ghiacciato.
