Fique à frente das ameaças cibernéticas com as últimas informações dos nossos especialistas em segurança.
Inscreva-se agora para receber:
- Novos episódios do ThreatTank à medida que são lançados - o episódio de estreia já está disponível!
- Os principais ataques da indústria
- Percepções e estratégias de resposta acionáveis
- E mais!
Uma Introdução à Nova Série de Podcast de Edgio: ThreatTank
Tom Gorip: Bem-vindo ao ThreatTank, um podcast que aborda a mais recente inteligência de ameaças, resposta a ameaças e insights sobre o cenário de ameaças em todo o mundo. Sou o seu anfitrião, Tom Gorip, Vice-Presidente de Serviços de Segurança da Edgio.
E hoje, juntar-se a mim estão Richard Yew, diretor sénior de Gestão de Produto para a Edgio Security Solutions, e Andrew Johnson, diretor sénior de marketing de produtos também para a Edgio SecuritySolutions . Bem-vindos Richard e Andrew.
Richard Yew: Olá, obrigado por me ter aqui.
Andrew Johnson: Obrigado Tom.
Tom Gorip: Isso é emocionante. O nosso primeiro podcast sobre o tanque de ameaças. E eu tenho dois fortes hitters como vocês mesmos, e sinto que preciso de me abrir com um quebra-gelo, uma boa pergunta.
Eu costumava perguntar aos entrevistados da entrevista. E quando parece que fico nervoso, mas acho que esta é uma boa introdução. Então, vou perguntar a ambos e responder apenas quando o obtiver. Se fosse uma árvore, qual seria o seu animal favorito? Se fosse uma árvore, qual seria o seu animal favorito?
Richard Yew: Sabe quando se fala de árvores, certo? Começo a pensar na bolota e depois, e depois, sabem, o que imediatamente me lembra, sabem, há este porco em Espanha. Chama-se porco ibérico. É preto. Produz o melhor bacon ou presunto, o que quer que lhe chamem, no mundo, é o mais caro. Provavelmente são algumas centenas de dólares por onça.
Então, eu acho que neste caso a escolha para mim. Porque faz uso de tudo o que eu cair e, oh, tudo bem.
Tom Gorip: Isso é interessante. Sim. Não, isso é bom. Isso é bom. Primeiro, eu estava tipo, onde é que vais com isto?
Richard Yew: Vai levar a minha bolota para ir.
Tom Gorup: Sim, sim, sim. Não, o porco está a usar-se disso. E então para não mencionar a venda por milhares de dólares por libra. É como um porco Wagyu.
Andrew Johnson: Isso é muito bom. Vamos ver. Então, eu estava pensando talvez numa perspetiva de segurança do que eu não queria como animal, se eu fosse uma árvore, eu não sei, talvez eu não quisesse fungos. Eu não queria nada disso… não queria um pica-pau ou algo que me vá dar um buraco e fazer um buraco em mim.
Richard Yew: Ei, cara, vou parar-vos aqui. Ei, fungo não é animal, último que verifiquei. O que é isso? OH, talvez seja. Depois de observarmos o último de nós, o fungo torna-se um animal.
Andrew Johnson: Então é isso que eu não gostaria. Então, eu teria que dizer talvez alguns pássaros ou algo que só saem depois de eles pousar em mim.
Tom Gorip: Novamente, fazendo uso. Isso é bom. Uma das respostas que eu tinha respondido fazendo essa pergunta era que um tubarão. E quando perguntei porque é que eles são, bem, o tubarão nunca me incomodava. OK. Fala um pouco sobre a personalidade lá, mas eu gosto de como vocês dois escolheram um animal que vocês sabem, é útil para outros animais.
Isso é muito legal. Sim. Fala muito. Portanto, não estamos aqui a falar hoje de animais ou árvores.
Será que a IA irá fazer a ponte entre o fosso das competências em cibersegurança?
Tom Gorip: Vamos analisar três previsões de segurança cibernética até 2024. Há um post no blog do Edgio onde estamos a falar novamente, três previsões. Um ser – a IA colmatar a lacuna de competências em cibersegurança, depois a cultura de segurança e o aumento dos ataques. Não vamos fazê-lo nessa ordem, mas essas são as três previsões. Então, saltando para a IA. Quero dizer, neste momento, a previsão aqui novamente, vou reiterar que a IA está a construir irá colmatar a lacuna de competências em cibersegurança em 2024. Veremos muito disso.
Agora, pensando nisso, você pode ficar bem. Provocativo aqui e olhar para o mundo da IA e ver que toda a gente tem, vocês sabem que eu acho que vi um tweet no outro dia. A IA tem todos a ver estrelas. Todos estão entusiasmados e todos estes diferentes casos de uso. Podemos, vocês sabem, ver aquele novo telefone ou pseudo-telefone coelho, coelho R, ou algo assim, como todas essas coisas loucas a sair. Mas será que realmente pensamos que a IA está onde está para preencher eficazmente a lacuna? Será que vemos isso a acontecer em 2024 ou teremos mais cinco anos de I& D por trás da IA antes de chegar ao ponto de causar impactos significativos na ponte dessa lacuna?
Richard Yew: Bem, sabem, isso certamente colou a lacuna para o atacante.
Tom Gorip: Sim, é um bom ponto.
Richard Yew – Sim, quero dizer, hoje em dia só penso no meu trabalho diário, ei, quero executar um script que quero, ei apenas escrever um script que executa um loop que me ajuda a fazer um pedido, fazer ou receber um pedido ou enviar um pedido para apenas um URL específico e fazê-lo cem vezes repetidamente.
Quer dizer, obviamente não se diz à IA para tentar gerar um ataque DDoS , mas funciona o mesmo, certo? Basta contornar os termos e condições. Eu, acho que é, vai fazer equipas vermelhas… vai fazê-lo saber; qualquer leigo pode fazê-lo. Como qualquer um pode decidir, sabem o quê, vou colocar o meu chapéu preto, que tenho comigo, e começar a brincar com isso.
Agora, obviamente também há muitos benefícios para as organizações, para a equipa azul, para um defensor também.
Andrew Johnson: Penso, quer dizer, obviamente vai ajudar o problema. Será que vai fechar em 2024? É claro. Quer dizer, não sei. Penso que não. Mas já está a começar a ser, sabem, implementado em, sabem, em, software de segurança.
Vocês sabem, também tem desafios, quero dizer, em vez de pessoas preocupadas com falsos positivos, vocês têm que se preocupar com falsas recomendações que, sabem, o software baseado em IA vai dar às equipas. Então, eu acho que, sabem, o nível de experiência ainda vai ser extremamente importante.
Tom Gorip: Sim, é interessante quando olho para algumas estatísticas como o ISC2. Diz que há cerca de quatro milhões de trabalhadores, quatro milhões de pessoas. Isso é enorme. Isso é enorme. E estamos, quer dizer, as faculdades não estão a bombear profissionais de segurança suficientemente rápidos para preencher essa lacuna, para não mencionar o crescimento que vai acontecer ano após ano. Então, sabem, a IA fechando essa lacuna em 2024, sabem, de um lado, eu ouço você, Richard, como o valor que eu vejo também, é a seu ponto, posso escrever scripts rapidamente?
No outro dia pedi ao iGPT4 para me escrever uma página HTML e isso fez, fez um excelente trabalho. Então comecei a pedir-lhe para ajustar e seguir em frente. Vocês sabem, eu tenho uma página inteira. Construído em cerca de 30 minutos. E eu literalmente escrevi código zero para conseguir isso, mas também ser capaz de alimentar vários conjuntos de dados.
E eu acho que uma das maiores preocupações que as pessoas têm com a IA a preencher o fosso é a privacidade, sabem, acidentalmente colocando, sabem, vimos, o que foi, foi um engenheiro da Samsung que colocou alguns esquemas em IA, mas o desafio era que eu ainda não vi ninguém extrair isso. Não dizer que isso não aconteceu, mas há uma espécie de dois lados dessa moeda.
Richard Yew: Eu acho que é muito importante quando se começa a usar a IA para ambos bem, obviamente da perspetiva do atacante e do defensor, certo? Melhorar o seu fluxo de trabalho, certo? Também é importante proteger a sua IA, mas quero voltar a isso. Para falar sobre fechar as lacunas.
Eu diria, quero dizer, as lacunas podem ser fechadas? Não, não pode, tal como eu vou dizer, alguém pode ser 100% seguro? Eu vou argumentar que não, não há nada para mim. Ai, o que faz é que acrescenta uma camada adicional no nosso conceito de defesa profunda que realmente ajuda. São mais dois conjuntos nas camadas que realmente ajudam da perspetiva do defensor, certo? Fechar e reduzir o máximo de probabilidade de uma violação e um ataque acontecer. E, acredito, muitos problemas de segurança acontecem, sabem, sempre dizemos que os seres humanos são o elo mais fraco porque, sabem, se continuarem a fazer as coisas mundanas vezes sem conta, seremos complacentes, os acidentes acontecem, etc. Isto é quando a IA pode entrar.
Você provavelmente ouve esta citação desta pessoa muito famosa que faz carros e foguetes e se presta, mas é verdade que, e também é verdade em segurança, como quando você só tem que fazer muitas coisas repetitivas, até mesmo análise de logs, sabe, as pessoas têm um lapso de atenção e é compreensível. Somos todos humanos de qualquer forma, certo? Portanto, é aqui que penso que a IA será muito útil para colmatar a lacuna. Mas, sabem, isso é desde que a IA esteja a fazer os trabalhos que queríamos, tal como um robô numa fábrica não é, sabem, de repente agarrar os trabalhadores e atirá-los para cima dos carros e, sabem, esmagá-los. Certo?
Tom Gorip: Ainda não. Isso é interessante. Então, sabem, quando penso no fluxo de trabalho, então o fluxo de trabalho do analista, sabem, aparece um alerta e há muitas perguntas em torno desse alerta em particular. Certo. Isto é normal? É comum? O que devo procurar, para este tipo de ataque a este tipo específico de sistema?
Ei, é uma máquina Windows ou um servidor Apache. Há certas coisas que eu deveria estar procurando para determinar se este ataque foi ou não bem sucedido? Penso que a oportunidade que temos, potencialmente, é também diminuir a barreira da entrada, certo? Então, quando falamos em fechar a lacuna, isso não significa necessariamente que a IA esteja talvez a preencher a lacuna, mas talvez a IA esteja a permitir-nos alargar o nosso alcance para quem estamos a contratar para esses tipos de funções e o futuro com que me entusiasmo é aquele em que estamos a contratar menos para a especialização técnica de um determinado produto ou tecnologia, mas sim, a contratar para curiosidade e, e competências de comunicação. Então, alguém que pode fazer a pergunta certa da maneira certa para obter as respostas que está procurando, não apenas a partir dos dados, mas até mesmo da IA para esse assunto.
Andrew Johnson: Acho que a última parte que mencionou é realmente boa em termos de pensar de forma diferente apenas para poder chegar perto de preencher essa lacuna nos profissionais de segurança. Você sabe, contratar com criatividade, talvez levar pessoas com outras habilidades técnicas, como o suporte técnico ou talvez analistas de inteligência de negócios ou pessoas estão muito confortáveis a trabalhar com dados.
Mas também, algumas das coisas que você disse anteriormente, Tom, onde você sabe, se há um incidente e a IA pode talvez recomendar, pelo menos, olhar em algumas áreas. Como eu penso na minha vida e muito do meu trabalho é como a regra de 80/20. Então, sabem, se eu não tiver que rastrear todas estas considerações, ou se eu tiver as considerações mais fáceis lá para mim, isso poupa muito tempo. Então, presumo que vamos ver isso em muitas soluções e sistemas daqui para a frente.
Richard Yew: Sim, você sabe, eu quero dar um duplo clique no fosso de 4 milhões de empregos em segurança que este é um ponto muito importante. Sabem, se olharmos apenas para o rendimento médio e extrapolá-lo, sabem, chega a cerca de 200 mil milhões de dólares que conhecem, o que é engraçado o suficiente de acordo com um relatório de uma destas empresas de segurança, certo?
Esses 200 mil milhões de dólares na verdade, são especificamente 213 mil milhões exatamente do tamanho dos mercados de cibersegurança e, sabem, é compreensível que as empresas que conhecem, como quando estamos a falar de fornecedores de segurança, fornecedores de serviços ou até organizações, estejam a tentar preencher estas lacunas.
E imaginem quão barato você pode executar IA hoje em dia para alcançar certas funcionalidades que potencialmente há muitas economias para isso.
Tom Gorip: Eu, sim, cem por cento. Eu também vejo uma oportunidade para que você tenha mencionado também, Andrew, é como, eu acho que você também fez isso. Richard está a ser capaz de aplicar os seus controlos dentro da própria IA.
Então, se você tem um processo padrão internamente para um ataque de força bruta ou um ataque de ransomware, ser capaz de treinar uma IA. O que todos vão responder a essas perguntas em particular. Você pode ter uma consistência na resposta em toda a sua organização. É um dos maiores desafios que sei que os CISOs têm é que escrevem todas estas diretrizes, toda esta documentação e ninguém a lê.
Vocês sabem, vocês passam pelo cumprimento no final do ano, e todos são forçados a lê-lo, mas alguém realmente se senta e lê-lo? Agora, imaginem se tivessem uma IA para a qual pudessem fazer essas perguntas. Então, em vez de e você ainda tem a documentação, mas a IA é treinada nessa documentação.
E quando as circunstâncias surgem, uma pessoa, seja um analista de segurança ou o CFO pode fazer perguntas à IA. Ei, qual é o próximo passo neste incidente? O que fazemos a seguir? E a IA pode ser o teu Sherpa dessa forma.
Richard Yew: Foi engraçado. Como sim, desculpem. Esta é a minha última piada antes de avançarmos.
Mas, vocês sabem, garanto que ninguém iria hackear o HTML e remover o componente que bloqueia os botões para que você possa clicar em Next, Next, Next, em seguida, em seu treinador de conformidade.
Tom Gorip: Exatamente. Bem, o comboio de conformidade. Isso é um outro… Vamos falar sobre cultura aqui num minuto e como isso se ajusta. Então, a última vez que eu perdi. Este ponto, Richard, você falou sobre isso anteriormente eram os atacantes que alavancam o GPT que alavancam a IA. Você tem lobo GPT, wormGPT, fraudGPT, todos estes tipos de LLM focados em “ei, como é que eu faço mais fácil ser um mau homem?”
A maneira como estou a olhar para isto é se não estiverem a usar como defensor, como é que têm mesmo uma oportunidade contra uma ofensa, um ofensor, um atacante que está a aproveitar a capacidade. Richard, eu sinto que você vai ter uma boa analogia de guerra. É como um avião de combate F15 versus tipo, não sei, como um Warthog ou algo assim, sabem, como não podem, esses dois não podem ter uma briga de cão. Isso não vai acabar bem com o Warthog, sabem o que quero dizer?
Então, outras ideias sobre isso? Porque eu acho, quero dizer, nós poderíamos gastar, acho que o dia todo em IA realmente, mas em última análise. Eu vejo isso como se os defensores não o usassem hoje, se as empresas não estão tentando encontrar maneiras de construir eficiências, de preencher lacunas de habilidade, ou mesmo de assumir cargas de trabalho mundanas hoje em dia, você não vai ser eficaz contra a defesa contra os invasores que estão aproveitando essa capacidade sem limitações, sem medo de comprometer os dados.
Como se não estivessem preocupados com nada disso. Às vezes acho que é um bom tipo. Sabe, tem as suas desvantagens, certo? Você já está multado dessa forma. Ei, nós sempre dizemos, temos que conseguir, temos que estar sempre certos, mas o atacante só precisa de estar certo uma vez.
Tom Gorip: É verdade. E eles não têm limites. Certo.
Andrew Johnson: E eles estão no limite do sangramento. Eu não posso acreditar nestes wormGPTs e outras coisas. Estes foram para fora em 2021, eu acho que você poderia começar a comprar estes serviços. Quer dizer, sabem, muitas outras pessoas. Bem, vou falar sobre mim mesmo. Não usou realmente IA generativa até este ano passado, quando explodiu. Mas sim, os adversários são os primeiros a adotar.
Tom Gorip: E também abre oportunidades à medida que vemos a economia como uma mudança. As pessoas estão à procura de novas formas de ganhar dinheiro. Sabem, quantas chamadas de spam, quantos golpes, textos estão a ver?
E eles estão a ficar um pouco melhores. E a GPT é provavelmente pensar que qualquer coisa boa criada para o bem pode ser usada para o mal também.
Vamos continuar a ver um Rise in ransomware, DDoS e ataques Zero-Day?
Tom Gorip: Então, a próxima previsão aqui é o aumento dos ataques, e é uma espécie de pincel amplo e ataques, mas vamos nos concentrar, digamos, em três: Ataques de ransomware, ataques distribuídos de serviço de negação e ataques de dia zero.
Olhamos para 2023, especialmente no último trimestre, os cuidados de saúde acabaram de ser atacados com ataques de ransomware repetidamente. Vimos um número de dias zero, mas a verdadeira questão é: Continuará a crescer? Como é esse crescimento? Está a ser bombeado pelos meios de comunicação social? Não é necessariamente tão grande de um problema como parece. Quer dizer, essa é a questão provocadora.
Richard Yew: Posso ter uma opinião controversa sobre isto. Sabem, quando olhamos, acho que talvez eu seja apenas pedante, sabem, quando olhamos para esses ataques, certo? Eu sinto que há o que os meios de comunicação relataram, não, e há o que realmente vemos, mesmo com isso, por exemplo, falamos sobre o aumento do ataque DDoS, certo?
Há nuances por trás disso, sabem, os ataques DDoS estão sempre a acontecer, mas que tipo, certo? Sabem, nós recuamos em 2016. 2015 A grande interrupção da Internet porque um fornecedor de DNS foi atingido. Quer dizer, isso foi o botnet Mirai. Isso foi principalmente Layer3, Layer4, sabem, milhões de pacotes por segundo atacam, obviamente a largura de banda é enorme, certo?
É largura de banda, alto volume de banda. Mas hoje em dia estamos a ver o que eu penso a começar cedo, no final do ano passado, acho que não acredito que já estamos em 2024. Estamos a falar de 2022 certo. E estamos a falar da ascensão do Sudão anónimo, QNet, do aumento dos ataques de aplicações.
Estamos a falar das aplicações Layer7, HTTP flood, certo? Passando de um recorde de mais de 20 pedidos, milhões de pedidos por segundo para gostar agora, o que estamos a ver como 300 milhões de pedidos por segundo do Google? E isso é com várias explorações. Por isso, também penso que este ataque é cíclico.
É como se eles nunca se afastassem. Sabem, como, a certa altura, o ataque DDoS, o ransomware era muito alto, porque, como é óbvio, o preço do Bitcoin estava a ser elevado. Vocês sabem, como, agora, neste caso, é mais por causa da instabilidade geopolítica. Sabem, nos últimos dois anos, e vemos uma ascensão de ataques DDoS patrocinados pelo estado, ou mesmo Ataques DDoS Hacktivistas, Sabem, por isso penso que é mais como, todos os anos, estamos a ver quais os ataques que estão na moda, mas no próximo ano pode ser outra coisa na moda. E então, no ano mais tarde, vamos voltar a, estamos a repor o tipo 2022 e outra coisa em 2022 está de novo na moda.
Andrew Johnson: Sim. Não sei se é, especialmente com o imposto sobre os cuidados de saúde. Quero dizer, acho que é parte hype, mas também, infelizmente, acho que é apenas. Isto é mais triste e pior hoje do que tem sido. E eu, sabem, acho que onde hackers no passado podem, sabem, pelo menos foi relatado, eles têm alguma ética, vocês sabem como aqueles parecem estar na janela agora atacando clínicas de cirurgiões plásticos e ameaçando lançar fotos de pacientes a menos que os resgates sejam pagos ou o que é agachamento de pacientes.
Sabem, acho que recentemente houve um compromisso de um sistema de saúde e eles tinham, basicamente, a rede hospitalar, eles tinham que realmente enviar pacientes, mudar o seu encaminhamento de pacientes, o que é bonito, bastante confuso, realmente.
Richard Yew: Então, você não quer mostrar os atacantes, certo?
Eles não precisam seguir regras e estão constantemente a empurrar um limite. Então, geralmente o que olhamos são três coisas, certo? Você está atacando pessoas com dinheiro, sabe, você está atacando o dinheiro, como instituições financeiras. Agora eles expandiram a fronteira durante anos, indo para a educação, eles estão atacando escolas, certo?
Sabem, há relatos de universidades a fechar há alguns anos. Nós podemos fornecer detalhes; você sabe citação para isso. Mas as escolas desligaram-se porque todo o sistema acabou de ficar bloqueado. Certo? E, agora, vocês sabem, e nós observamos o limite sendo empurrado, como na verdade para o final de 2025 ou cedo, na verdade, desculpem, o final de 2022 e início de 2023.
Sim. Já estou a pensar um ano pela frente. E estamos a falar de hospitais a serem atacados e, novamente, começou em zonas de guerra, certo. Mas ela define precedência e agora os hospitais estão sendo rotineiramente pirateados. Às vezes é vida e morte, como o Tom, você mencionou no seu blog, é como se estivesse falando sobre as situações em que a ambulância tem que ser redirecionado para outra sala de emergência mais distante por causa de problemas.
Andrew Johnson – É, sim, quero dizer, eu simplesmente não acho que você pode esperar nada melhor, especialmente quando há pessoas sendo forçadas a fazer esses ataques, não apenas, sabem, alguns adolescentes em algum país aleatório fazendo isso, mas, você sabe, provavelmente patrocinados pelo estado que realmente, eles realmente precisam desse dinheiro para continuar suas operações.
Richard Yew: Então, é como se imaginem gostar do, então a questão é como quando se trata de ataques emergentes, certo? Como é, que outros limites serão empurrados este ano?
Tom Gorip: É uma boa pergunta. Porque eu concordo. Quer dizer, atingindo o quarto trimestre e vendo ambulâncias sendo desviadas, os serviços de emergência são desviados para outros hospitais. Assim é colocar a vida em risco. Não há limites para qual direção eles podem seguir. Na verdade, sabem, muitas vezes trabalhei vários casos com o FBI há alguns anos.
E um, em particular, sempre se destacou para mim foi um caso de extorsão sexual em que este tipo estava a tirar partido… Bem, durante quatro anos, esta menina e ela tinha 18 anos quando finalmente disse que eu estava acabado. Portanto, desde que ela tinha 14 anos, sabe, isso mostra que muitas pessoas estão caindo e quebradas dessa forma e elas não mostrarão nenhum limite.
VI recentemente que havia outro resgate virtual. Eu não sei se viram isto ainda onde eles enviariam um texto a um indivíduo, tipicamente um adolescente e os convenceram, provavelmente através de uma forma nefasta de se esconder em algum lugar, como numa floresta ou se esconder, e depois enviarem mensagens aos pais para que eles foram sequestrados e que precisam de enviar dinheiro para algum lugar.
Então, quero dizer, é simplesmente selvagem, a direção que algumas pessoas irão. Então essa é uma pergunta interessante: Para onde se morou a mira desses atacantes? Talvez, sabem, muitas vezes é seguir o dinheiro. Certo? Então, onde está o dinheiro?
Andrew Johnson: Sem dúvida. Sim. É uma loucura.
Richard Yew: E há outros ataques que você mencionou, sabem, o aumento de dias zero. Sim. Isso é realmente notável. Sabem, como se olharmos para uma estatística, certo. Sabem, eu sempre acompanho ano após ano, como o crescimento do CVE. Eu, ainda não temos previsões de 2024, mas sabem, 2023. Com mais de 23 000 CVE, isso é mais de 10% de crescimento e antes disso tivemos mais de 25% de crescimento no CVE, sabem, ele tipo de fala para os problemas exponenciais de lidar como o CVE está crescendo exponencialmente. Gostaria de saber se alguma das organizações de segurança da audiência aqui que têm um crescimento de dois dígitos nos números de conta e orçamento de segurança, tenho a certeza de que toda a gente fica com 10% mais orçamentos e números de conta como cada trimestre. Mas é isso que temos observado.
E. É interessante. Sabem, a corrida do braço e volta, está ligada ao primeiro tópico, certo? Ai, é importante, mas também por causa de um aumento de zero dias, não são apenas CVEs, mas também dias zero críticos que costumávamos pensar como, sabem, como temos Logs4j, Springs4Shell, Confluence, todas essas coisas costumavam ser como, ok. Vemos algumas das principais, críticas altas, pontuação de gravidade nove e acima, como uma, duas vezes por ano. Agora é várias vezes por trimestre.
Tom Gorip: Bem, sim. E um grande desafio lá, acho que muitas empresas em execução é a resposta a esses zero dias, certo? A existência de zero dias. Eles sempre estiveram lá. Quando olhamos para alguns dos históricos, por exemplo. BashBug. Acho que estava lá como 20 anos antes de ser descoberto. Então, às vezes eu olho para o aumento dos CVEs. Estou tipo, ok, estamos a fazer um trabalho melhor ao relatar vulnerabilidades. Tenho a certeza de que existem muitas, se não mais vulnerabilidades que ainda não têm um rótulo para elas, certo? Eles ainda não foram descobertos. Obviamente, essa é a conversa de dia zero, mas o aumento dos CVEs ao longo do tempo mostra que estamos a fazer um melhor trabalho de relatar esses dados, mas não estamos a fazer um bom trabalho de forma ainda, como respondemos efetivamente ao processo de gestão de patches de emergência?
Podem realmente lançar um patch tão rápido? Ou precisa de alguma capacitação? Além disso, gosto de aplicar patches virtuais. Eu sempre olho para isso como uma oportunidade de fruta baixa para tapar este buraco enquanto vamos e corrigir o problema principal em vez de tentar corrigir tudo, o que pode ser caro.
É arriscado, certo? Quer dizer, Log4j, quantos patches foram lançados antes de realmente funcionar? Acho que foram três. Acho que a terceira finalmente sabe, fechou um buraco em duas semanas, acredito em meados de dezembro.
Tom Gorip: Sim, isso é miserável.
Andrew Johnson: Muita perturbação.
Tom Gorip: Sim, isso é miserável. Mas, no aumento de zero dias também, acho que você mencionou IA, acho que vamos desempenhar uma grande parte disso.
Acho que ainda não vimos isso. Quer dizer, estamos a ver a IA a ser usada para defensiva, como fazer antes de verificares o código. Você pode fazer coisas como copiloto, certificar-se de que não há vulnerabilidades nesse check-in. Existem outros como as ferramentas de tipo SAST e DAST que estão a permitir que estão a começar a usar IA.
Eu esperaria que os invasores aproveitassem a IA para fazer a descoberta de vulnerabilidade. Especialmente em projetos de código aberto também. Quer dizer, isso é fácil.
Richard Yew: Mas, em última análise, quando olhamos para o fluxo de trabalho, certo? Do ponto de vista do defensor, quando você está fazendo o seu teste de caixa preta ou de caixa branca, o que você sabe, hoje em dia, somos bastante rápidos como tarefas dinâmicas de segurança de aplicativos, certo?
Está realmente a procurar vulnerabilidade e a dizer-lhe para a corrigir. E, obviamente, se o atacante tiver acesso ao seu repositório, ele pode fazer o mesmo. Quer dizer, eles nem precisam de ter acesso ao vosso repositório. Se eles estão fazendo esse teste, eles simplesmente acerta no seu software em execução e na melhor vulnerabilidade.
Bem, adivinhem? O que vemos como um scan de uma perspetiva azul da equipa, é uma recon de uma perspetiva de atacante, se olharmos apenas para a estrutura de ataque DE MITRE, sabem, como esta é essencialmente uma recon que nos permite lançar o ataque. Então, você sempre pensa em todas as ferramentas e processos que você usa.
Pense em como o atacante pode usá-lo contra você, é muito importante reconhecer que, sabem, sempre dizemos que sabem, é bom colocar um chapéu preto novamente e pensar como um atacante. Acho que isso vai ajudar muito na implementação de um fluxo de trabalho seguro, especialmente em segurança, ICD, você sabe, DevSecOps, você sabe, hoje em dia fluxo de trabalho.
Mudando a Cultura de Segurança
Tom Gorip: Então isto tem sido, isto é ótimo. E estamos ao longo do tempo. Então o nosso último tópico aqui foi mais sobre cultura. Por isso, adoraria que cada um de vocês vos leve a saber, alguns segundos, um minuto, o que quer que gostassem de dar a vossa perspetiva sobre o que provavelmente precisa de mudar. Portanto, menos uma previsão, mas olhando para os negócios de hoje, os problemas que eles estão enfrentando. Tudo o que falámos a partir das restrições de recursos, os invasores estão a tornar-se mais eficazes, vulnerabilidades de dia zero a serem descobertas. Então, o que são as empresas… o que é que elas precisam de olhar? O que é que os CISOs… como é que eles precisam para mudar a sua mentalidade em 2024 e além? O que é que precisa de mudar para pararmos de executar estas berbequins todas as semanas?
Andrew Johnson: Bem, uma coisa sobre a qual acabei de ler recentemente é uma estatística do Gartner que acho que disse que cerca de 25% dos líderes de cibersegurança vão perseguir papéis completamente diferentes dentro de dois anos. 50% vão mudar de emprego. Principalmente atribuível ao stress no seu trabalho.
E nós, sabem, sabemos que o CISO é um trabalho muito difícil, mas muitos empregos de segurança também são. Então quero dizer. Eu acho que precisa de haver, bem, sabem, mais planeamento em termos de rotacionar pessoas, trazer talvez desenvolvedores para a segurança que não têm o fundo de segurança é ser mais uma responsabilidade partilhada.
Muitas organizações e pessoas de segurança estão a gerir toneladas de soluções, certo? Então, quando há uma emergência, você pode estar indo a uma pessoa cada vez que a queima. Portanto, é mais em termos de processo e numa cultura de todos, como sabem, que fazem parte da segurança. Acho que pode ajudar.
Richard Yew: Eu adoro isso. Acho que, se olharmos de uma perspetiva de líder de segurança, não é? Vocês sabem, vocês têm de gerir, têm de gerir lateralmente com os seus pares. Então você vê, então, e então você tem que, gostar, controlar para baixo. Certo? Mas acho que é muito importante estabelecer culturas.
Se olharmos para ela de uma perspetiva lateral e para cima, certo? O cenário de expetativa é muito importante, é muito, sabem, sempre ouvimos piadas que, sabem, sempre que acontece uma violação, os CISOs são despedidos. É por isso que a CISO tem uma reviravolta na indústria. Tenho a certeza de que já não está a acontecer assim, certo?
Mas, realmente fala às expetativa. Temos de definir a expetativa como gestor de produto, sabem, definir a expetativa de uma parte interessada é uma das partes mais importantes do meu trabalho, certo? Mas estabelecer expetativa com o conselho de administração, com os seus pares que existe, e eu sei, eu sei que é uma surpresa, certo? Não há segurança 100%. Sabem, uma vez ouvi isto deste tipo chamado Dr. Eric Cole, é um podcast, certo? Ele está dizendo como, sabem, como é que você torna o seu telefone 100% seguro? Ele atirou-a para uma fogueira, certo? Porque 100% de segurança significa 0% de funcionalidade.
Como pessoa de segurança, não podemos ser dogmáticos. Segurança, o seu primeiro trabalho é conduzir o negócio. A segurança é como ter um travão forte num supercarro, certo? Permite que um negócio frete com força. Porque é que vocês, o que precisam para travar com força? Porque querem ir depressa. Esse é o ponto todo, então comece a pensar sobre como o pino afeta os negócios.
Como é porque gostar apenas porque, como se, se você quiser ter 100% de segurança, você quer ter 100% de garantia de que vai bloquear tudo no ataque. Bem, basta ir à lista negra zero, zero, zero, zero barra zero. E vocês são bons. Basta chamá-lo um dia. Você tem 100% de KPI alcançado, mas esse não é o ponto, certo?
Você tem que estar acelerando o negócio, você tem que construir isso em uma cultura. E, sabem, se se parecem com a perspetiva de ir para baixo, certo? Mais uma vez, a segurança começa desde o início. A segurança começa, novamente, de outra analogia que eu usei antes. Se me ouviram em outro podcast é que a segurança é como fazer bolo.
Não é uma cereja no topo do bolo. Não é um pensamento secundário. Sabe, tem que ir desde o primeiro passo do planeamento para um software, especialmente se você é uma loja de SaaS, se você é como um, você sabe, baseado na web, você sabe, você faz a maior parte do seu negócio online, certo? É preciso pensar em segurança como a farinha no bolo.
Como lá desde o primeiro dia, quando se faz o bolo, e de facto, se está a fazer um bom trabalho, não se deve notar a farinha quando se recebe um bolo… quem reparou na farinha quando se come o bolo. Certo? E é assim que a segurança deve ser. Portanto, não deve ser um tipo dogmático de conformidade de cima para baixo, como orientado inicialmente, tem que ser iniciado, como, e estar enraizado, você sabe, talvez através de colaborações mais apertadas, equipas de segurança incorporadas ou equipas de desenvolvimento, certifique-se de que a segurança é feita desde o primeiro dia, porque o que você pode impedir é coisas que a sua equipa de operações você conhece, eles não precisam gastar tanto tempo.
Tom Gorip: Sim, há eficiências com isso. E eu adoro a pequena citação lá. 100% seguro é 0% de funcionalidade. É uma boa estatística. E eu concordo plenamente. A cultura é importante. Como é que se constrói isto na base da sua organização? Então isso se torna parte da conversa e não um: “OH, temos que envolver a equipe de segurança.”
Devemos estar a ter essa conversa desde o dia zero, mas é preciso torná-la interessante. A única coisa que eu tenho, eu tenho, você olha para esse treinamento de conformidade, é chato. Não é relevante. Não é oportuno. Precisamos de mudar isso para tornar a segurança interessante. Lembro-me do que, há 10 anos, tentar falar com as pessoas sobre segurança e os seus olhos brilharão.
Então de repente começou a fazer manchetes e toda a gente ficou super interessada nisso. E eu acho que você pode voltar atrás na outra direção. Se começarmos a aborrecer as pessoas novamente com treinos monótonos, e assim por diante, vamos torná-lo oportuno, vamos torná-lo relevante. E novamente, vamos construir isso no centro, a base do nosso negócio onde a segurança está. Não é um pensamento posterior. Faz parte do bolo, mas também não sou padeiro.
Richard Yew: Então todos precisam começar a colocar o chapéu preto. Sabem, quando navegam num website, vejam o que pode correr mal, coloquem o vosso chapéu preto. Ei, há um formulário para você? Isso é algo que eu coloquei na forma? Onde está o ponto final da API?
Ei, o que aconteceu se eu fizer spam? Vocês sabem, como começar a pensar, comecem a colocar uma mentalidade hacker, usem o vosso chapéu preto e, sabem, façam isso como cultura na vossa empresa.
Tom Gorip: Sim, eu adoro. Adoro. Então estamos muito longe. Mas eu diria que isto foi ótimo. Primeiro episódio de ThreatTank. Por isso, eu aprecio que vocês dois estão a fazer.
Fique à frente das ameaças cibernéticas com as últimas informações dos nossos especialistas em segurança.
Inscreva-se agora para receber:
- Novos episódios do ThreatTank à medida que são lançados – o episódio de estreia já está disponível!
- Os principais ataques da indústria
- Percepções e estratégias de resposta acionáveis
- E mais!