ThreatTank – Episódio 6 – Trimestre de Tendências de Ataque. Trimestral do 2º trimestre de 2024

Uma Introdução ao ThreatTank – Episódio 6: Tendências de Ataque Trimestral do 2º trimestre de 2024

Tom Gorip: Bem-vindo ao Threat Tank, um podcast que aborda a mais recente inteligência sobre ameaças, resposta a ameaças e insights sobre o cenário de segurança em todo o mundo.
Sou o seu anfitrião, Tom Gorip , Vice-Presidente de Serviços de Segurança da Edgio, e hoje vamos dar um mergulho profundo no relatório trimestral de tendências de ataque da Edgio.
Há uma tonelada para cobrir. Antes de começarmos, vamos apresentar os convidados de hoje.
Por isso, hoje juntem-se a mim estão Andrew Johnson e Kenneth Thomas.
Bem-vindo, Andrew, Kenneth.

Andrew Johnson: Olá, obrigado, Tom. É ótimo estar aqui.

Tom Gorip: Então, antes de começarmos e temos muito para cobrir aqui, mas antes de começarmos, vamos começar um pouco de introdução. Então, Andrew, conte-me sobre si mesmo. Fale às pessoas sobre quem é Andrew Johnson.

Andrew Johnson: Ah, claro. Bem, sim, Andrew Johnson. Eu lidero o marketing de produtos aqui na Edgio para as nossas soluções de segurança que abrangem WAF ,Bot , DDoS, Segurança da API , Gerenciamento de Serviços de Ataque , e tudo isso de bom.
Tenho cerca de 8 anos na indústria de cibersegurança em funções de marketing de produtos e gestão de produtos em segurança de aplicações web, e comecei a entrar na indústria em segurança de terminais.

Tom Gorip: Fantástico. Bem, bem-vindos aos podcasts, e estou entusiasmado por investigar isto.
Então, Kenneth, que tal você? Quem é Kenneth Thomas?

Kenneth Thomas: Olá Tom, Andrew, obrigado por me ter aqui. Sou novo na organização. Estou aqui a trabalhar em inteligência de ameaças e principalmente a funcionar, a fazer a tarefa diária de encontrar tendências e de as ultrapassar para que os clientes possam agir sobre elas.
Recentemente, fiz uma rotação tanto na inteligência artificial como na ciber na última década. E assim, vindo de um fundo de sistemas, tem sido um pouco de bebida, de uma mangueira de incêndio, mas é assim que eu gosto.

Tom Gorip: Sim, de facto, e a quantidade de dados que têm de ser transmitidos para este relatório era uma mangueira de incêndio por si só. Então, estou feliz que vocês dois estão aqui. Isto vai ser muito divertido.
Mas antes de começarmos, há uma pergunta obrigatória sobre quebra-gelo. E, novamente, eu tenho para todos os outros que ouvem, eu não lhes disse o que é porque é muito mais divertido obter a resposta tipo ‘fora do punho’.
Então, aqui está a questão. Vocês estão prontos?
Se os animais pudessem falar, que espécies seriam as mais rudes de todas? Então, se os animais pudessem falar, qual seria o mais rudes de todos?

Kenneth Thomas: O mockingbird.

Tom Gorip: O mockingbird? É porque eles estão zombando de pessoas? Como esse é o seu estado natural?

Kenneth Thomas: Não, são muito territoriais. Eu só sei isso porque os vejo rotineiramente no meu quintal, mas eu vi absolutamente um mockingbird a atacar um esquilo e entrar, sabem, numa batalha épica. Eu também tive um mockingbird voar na minha cabeça, mesmo antes de alguém chamar e eu disse-lhe como, essa é a cabeça para ringtone, sabem, isso é eu mesmo.

Tom Gorip: Uma vez, também tive um ataque de pássaro. Era como um pássaro bebé que caiu de um ninho e ficou preso na árvore e eu estava a tentar tirar o pássaro bebé, mas acho que estes eram pardais. Eles eram como um bombardeio de mergulho em mim. Eu sou tipo, cara, eu estou apenas a tentar ajudar, mas eu não pude evitar porque estes pássaros estavam literalmente a atacar-me quando eu estava a tentar salvar o seu bebé. Foi um dia triste.

Andrew Johnson: Ah, cara, estás a dar-me uma má memória também. Fui atacado por um ganso egípcio por aqui. Temos estes gansos na Califórnia no campo de golfe e eles são extremamente desagradáveis e territoriais, e literalmente eu tinha a minha mala nas costas e veio para mim por trás e tive de mergulhar. Devo ter chegado muito perto de um ninho ou algo assim. Então, eu tenho um pouco de PTSD sobre isso. Mas de qualquer forma, que animal eu acho mais rudes, eu não sou grande fã de poodles, eu sinto que eles são os cães mais snoomais. Não sei porque é que as pessoas as recebem. Ou talvez Chihuahuas, temos muitos por aqui. Não sou super fãs, apesar de ser uma pessoa de cão. Então, sim, eu não quero saber o que eles estão a pensar.

Tom Gorup: Sim, gatos. Super rude. Nem sequer precisam de falar e são rudes.

Andrew Johnson: Sim. Esse foi o meu número dois na lista.

Tom Gorip: Coisas boas. Tudo bem ali, podemos saltar para o tópico em questão. Não é muito ciber-relacionado, mas espero que um pouco de quebra de gelo.
Então, estamos olhando para este relatório de tendências de ataque , e um tema que realmente se destacou, eu acho que foi liderado por humanos versus interações lideradas por máquina com seus sites e suas aplicações web.
Então, eu não sei, Andrew, diga-me um pouco sobre isso. Como o que é que nós, o que é que vemos lá? Que tipo de destaques você conseguiu com isso?

Andrew Johnson: Sim, quero dizer, penso que neste relatório, uma das coisas mais surpreendentes foi o número de blocos de IA aberta dos nossos clientes, quase 3000% trimestre a trimestre.
E eu acho que, na verdade, sinaliza uma mudança na forma como as empresas estão a pensar, a inteligência artificial e as suas aplicações e os dados e informações que vivem nas suas aplicações.
Este número não significa que a IA aberta estava a fazer, 3000 vezes mais raspagem ou pedidos para os sites dos nossos clientes, mas sim que, mais provavelmente, como os administradores da web estão a pensar muito sobre IA e dados ou, informações, o valor prop das informações no seu site. Então, essa foi uma das coisas mais interessantes que eu acho.

Tom Gorip: Sim, isso é interessante porque o que estamos vendo ali esse tipo de tendência é que as pessoas levem seus dados mais a sério. Portanto, bots e bots de IA em geral estão constantemente a raspar a Internet procurando obter informações. Mas, normalmente, é mais para os seus bons bots, como o Googlebot e o Bingbot, que estão a ajudar com o seu SEO, tornando o seu site mais altamente disponível. Mas com a IA, estamos a olhar para modelos potencialmente de formação que, então, estão a ser rentabilizados. Então, de certa forma, os seus dados estão a ser rentabilizados e talvez alguns não gostem disso. Então, acho Kenneth, Ai raspar o seu site é uma coisa má? Como é que algo que devíamos estar a bloquear ou o que acham?

Kenneth Thomas: Depende muito do que estás a fazer. E eu sei que esse é um termo doloroso para pessoas fora da tecnologia que ouvem isso, depende do que quer que seja, mas realmente faz. E a razão é que, por exemplo, se estou a fazer um website e quero ser descoberto, então quero que a IA saiba mais sobre os meus serviços. Porque, em suma, a IA pode raspar o meu site e até, potencialmente, posso ter o meu site com ferramentas para que seja mais facilmente digerido ou compreendido pela IA. Mas, por outro lado, se eu for um indivíduo privado ou um grupo privado de entidades e eu operar, como tal, eu provavelmente não quereria ter os meus dados privados como parte de um conjunto de dados públicos monetizados. Para o ponto de Andrew, essas empresas definitivamente estão reconsiderando o valor prop sobre o que os dados que enfrentam publicamente estão agora a dizer sobre eles e até como podem ser aproveitados do ponto de vista de treino e uso de lama. Então, você sabe, depende realmente do local, do operador, e até mesmo de certa forma o seu apetite por risco.

Tom Gorip: Sim, é interessante. Então, eu acho que para esse fim, estamos vendo uma mudança na maneira como as pessoas navegam na web? Como é que isso está a mudar?

Kenneth Thomas: Penso que sim, tal como uma ressalva do lado da IA, dentro, digamos que o OpenAI é uma plataforma ChatGPT , temos a capacidade de usá-la quase como um porteiro para a Internet. Então, enquanto você está sentado lá tendo a sua conversa, algo pode aparecer onde, oh bem, não está dentro do conjunto de dados da IA, mas pode fazer um pedido para a web para você e depois recuperar esses dados. E como tal, transforma a web em uma experiência muito mais rica ou mais completa para essas pessoas. Mas, por outro lado, os sites de onde estão a obter estes dados terão de funcionar dentro desse mesmo parâmetro. Eles precisarão saber que seus sites estão potencialmente sendo ralados e usados dessa maneira. E assim, novamente, vai para todo o ethos de, compreender realmente a sua aplicação, o seu cliente e, em última análise, o suporte de valor dos dados que você tem disponíveis para consumo geral.

Andrew Johnson: Totalmente. E para acrescentar, não sei sobre vocês, mas diria que a forma como pesquiso hoje é muito diferente no marketing de produtos. Nós fazemos muita pesquisa, eu uso o Google, claro, como qualquer outra pessoa, mesmo hoje em dia. Portanto, geralmente é a primeira coisa sob os resultados. Agora, chama-se Visão Geral da IA dos laboratórios de pesquisa . E é uma espécie de fragmento alimentado por LLM que lhe dá uma visão geral e depois os links para sites e coisas subjacentes. Também uso o copiloto ,através do Microsoft Bing. Então, sim, é basicamente a forma como eu pesquiso hoje.

Tom Gorip: Eu sinto que é o futuro que provavelmente estamos a caminho é a IA. Preciso de um frigorífico novo. O frigorífico está a ficar mal. Então, em primeiro lugar, o que há de errado com isso? Talvez a IA possa ajudá-lo a resolver esse problema. Se não, eu só quero um frigorífico novo. E aqui estão os meus requisitos, certo? E então a IA vai preencher: ‘Ei, aqui estão os cinco melhores frigoríficos que você pode querer comprar e um está disponível na Best Buy mais próxima.
Querem que eu o peça para vocês, certo? Eu podia ver todo o fluxo a ser tomado pelo teu robô de IA de eleição. Então, como é que isso muda a forma como as empresas devem estar a olhar para o seu site ou a avaliar a sua aplicação desses casos de uso?

Kenneth Thomas: Uma coisa que vem à mente imediatamente é, e isso pode não ser, digamos, conhecimento comum, mas para aqueles de nós que estão familiarizados com, digamos, pesquisa no Google, nós sabemos absolutamente que a pesquisa evoluiu com o tempo. Mas uma coisa que pode não ser um cognizant para todos é que aproximadamente por volta de 2018 ou mais, a pesquisa do Google começa a incorporar o que são conhecidos como codificadores bidirecionais para representar transformadores.
Eu sei que é uma espécie de confusão de palavras, mas.

Tom Gorip: Tem de haver um acrónimo lá algures.

Kenneth Thomas: A sigla é Bert exatamente. E é engraçado porque costumava haver Elmo. Esqueço o que Elmo defendia, mas Bert é efetivamente uma representação codificadora de transformadores, o que significa que o único deles é codificar dados e descodificar. E ao fazê-lo, você pode fazer o mesmo tipo de frases comparando, dizendo quais têm uma estrutura semelhante, ou para dizer, mostrar-me palavras que correspondem a este tipo de frase. Ou mesmo fazer uma análise de sentimento para dizer que esta frase é boa ou má? Mas a questão é que esta tecnologia de Bert está envolvida em todas as pesquisas que você faz no Google, quer estejam a potenciá-la por um LLM ou não. E é uma destas coisas em que, mesmo muito antes do tipo de revolução atual da inteligência artificial, aconteceu algumas vezes. Mas antes desta atual, muitas das empresas de pesquisa, Bing também, aproveitaram esta ideia de: ‘OH, bem, talvez precisássemos, melhor serviremos os nossos clientes de pesquisa codificando os seus dados de forma diferente e de uma forma melhor e mais representativa’. Por isso, é muito interessante ver todo este círculo completo em que as pessoas têm agora de considerar como é que me certifico de que os sites são detetáveis da forma que eu quero que eles sejam?

Tom Gorip: É quase como uma versão legível por máquina do seu site contra a legível por humanos. É muito desperdício de conteúdo quando se pensa em uma pessoa interagindo com um site do que com uma máquina, certo? A máquina não se importa com os seus gráficos ou com o quão bom é o seu logotipo, mas o ser humano, certo? Então, saber que o futuro realmente reside em como os usuários estão interagindo com a IA para comprar ou tomar consciência do seu produto é um grande negócio, certo?

Andrew Johnson: Acho que é e será especialmente em marketing. Ainda estou a tentar enrolar a cabeça à volta, como vejo estes artigos o tempo todo como o SEO está morto. E eu preciso de enrolar a cabeça em volta desta velocidade porque acho que é aqui.

Tom Gorip: É uma ótima pergunta. Então, você acha, Andrew, vai haver algo como um SEO de IA?

Andrew Johnson: Tenho a certeza de que existe. Nem vos podia dizer como é, mas acredito que sim.

Tom Gorip: Sim, porque descobrir uma nova marca pode ser simplificada ou amplificada um pouco com uma IA ou como quais são as cinco principais marcas em determinado produto com, sabem, talvez pelo menos mais nicho de entrega. Mas como sabem, como é que interagimos com a IA no futuro? Será que vai se tornar um tipo de cenário de pagamento para jogar onde você vai ter que pagar Claude para subir ao topo do seu proverbial motor de busca ou motor de busca de IA ou como é que isso vai acontecer? Alguma ideia sobre isso? Porque é um tópico interessante, talvez divertido de explorar.

AndrewJohnson : Parece lógico que, no marketing, lidamos com o Google Ads. O Google vai incorporar cada vez mais IA na sua pesquisa também. Então, presumivelmente, é assim que vai.

Tom Gorip: Quer dizer, isso também muda toda a dinâmica quando pensamos em taxas de cliques, provavelmente há muitas coisas que no marketing você mede em torno do valor de um site ou da eficácia de um site. O que acontece quando você não é mais capaz de medir a interação do ser humano com o seu site, mas em vez disso há um componente de IA, certo? Há um aspeto de máquina. Então, como você valida que o seu site é tão eficaz como era antes se os seres humanos não estão a navegar para ele.

Kenneth Thomas: Você está essencialmente a fazer vendas porque se eu estou a ser pago pelo agente de uma pessoa ou por si mesmo, é algo imaterial para mim. Desde que o pagamento foi feito, eles receberam o produto e estão satisfeitos. E para esse fim, acho que muito facilmente conseguimos ver a ascensão do influenciador digital. O que quero dizer com isso é que já temos pessoas que influenciam do ponto de vista do marketing. No entanto, não temos necessariamente visto o casamento destes sistemas semi-autónomos e depois a inteligência artificial combinaram-se de forma a defender-vos, porque podem ir lá e dizer que estou à procura do produto X ou que procuro um serviço Y. Mas é você quem está a dizer isso, e há tantas maneiras diferentes que isto pode acontecer onde, na realidade, estamos a ganhar muita atenção e a ganhar um legado de publicidade. E eu não vejo esse tipo de ethos a desaparecer tão cedo. Mas em termos de como a atenção é alavancada e até como você pode chegar a ela, eu vejo que há muito espaço para melhorias e oportunidades dentro do mercado para construir novas maneiras de chegar aos clientes para falar sobre o produto e todas essas coisas diferentes. Em última análise, esse é um dos nossos maiores obstáculos dentro da tecnologia. E é como se fosse significativo para vocês.

Tom Gorip: Sim, é interessante. Vá em frente, Andrew.

Andrew Johnson: Sim, acho que uma das primeiras coisas que Kenneth mencionou, está a receber vendas? Essa é uma medida. Por exemplo, se criarmos conteúdo por aí e vermos levantar, seremos capazes de medi-lo. Mas eu acho que a chave é medir e ser capaz de descobrir qual parte é dos seres humanos que vêm diretamente para o seu site que está a passar por um motor de busca alimentado por IA. OK, então para o ponto de Kenneth sobre monetizar ou olhar para o elevador de vendas você pode fazer isso. Obviamente, você tem que, para qualquer campanha ou página da web que você criar. Acho que as pessoas vão olhar mais de perto. Há soluções que distinguem bots versus tráfego humano hoje em dia, e que também são impulsionadas pela IA, fazendo diferentes maneiras de clientes fingerprinting para descobrir se são raspadores de IA ou humanos. Então você pode categorizar e perfurar quem está olhando para a sua página web, talvez fazer algumas inferências, e pode haver maneiras de amarrar compras a esses clientes.

Tom Gorip: É um bom ponto. Quer dizer, de onde estão a fazer as compras. A Antropic começa a alavancar um certo mercado ou método pelo qual eles podem fazer compras, são esses ganchos que é assim que eu deixo a minha IA falar com a sua IA de certa forma, certo? Como ligamos os pontos? Mas, no final do dia, acho que até ao ponto, Andrew é como se eu estivesse a ir para onde eu sinto que estava a ir é um custo para as empresas para estes bots de IA ou qualquer bot a raspar o seu site. E temos que moderar isso um pouco, porque pode ficar fora de controle se houver milhares de bots por aí a despejar no seu site uma e outra vez. Então, como podemos controlar um pouco disso? Quais são as coisas mais táticas que uma empresa cumpre?

Andrew Johnson: Sim, definitivamente. Em primeiro lugar, esta é uma tecnologia antiga, mas o arquivo robots.txt é uma coisa em que os administradores da web devem pensar, pelo menos, com as maiores start-ups de IA, OpenAI, Antrópico e outros, eles realmente publicam seus intervalos de IP ou informações de agente de usuário, pelo menos. E você pode optar por bloqueá-los se não quiser que eles vejam o seu site ou raspe o seu site ou permitir que os utilizadores o descubram através da sua pesquisa. É possível definir limites de taxa para que eles não o possam fazer com frequência e esgotar os seus recursos ou custar-lhe recursos e largura de banda. Nem todas as empresas vão seguir isso, mas acho que as maiores estão a dizer que vão, e aquelas maiores são as que têm os recursos para fazer muitos pedidos também. Então, há um custo do lado deles.

Tom Gorip: Lembro-me que havia um rastejamento. Havia um campo que vocês tinham descoberto enquanto estávamos a investigar este relatório. É como um valor rastejado.

Andrew Johnson: Atraso de rastejar .

Tom Gorip: E ficheiro robots.txt. Eu não ouvi falar disso antes.

Andrew Johnson: Sim, isso era novo para nós quando estávamos a investigar isto. Mas sim, eu acho que até mesmo Antrópico menciona que eles respeitariam isso.

Tom Gorip: Então, você tem os controles técnicos de uma solução limitadora de taxa para ser mais intencional com ela. E depois há o pedido educado por meio do arquivo robots.exe como: ‘Ei, você pode limitar a sua taxa de rastreamento?’ Isso é legal.

Andrew Johnson: E também as soluções de gestão de bots foram concebidas para detetar tráfego automatizado e clientes automatizados. Então, sim, você pode configurá-los. Pode, configurar mitigações como Captchas. Lembro-me que Antrópico também disse que eles iriam respeitar por não tentar resolver ou ignorar Captchas. Isso também é uma consideração.

Tom Gorip: Outras coisas táticas que você acha que as empresas poderiam fazer para controlar um pouco isso? Kenneth?

Kenneth Thomas: Uma ideia, eu não sei se tínhamos falado com ela antes, mas uma ideia seria ter partes específicas do local onde eles são destinados à IA aterrar, digamos. E em espécie de legado não necessariamente, mas a forma como é uma melhor prática é o mapa do site. Você sabe aquele arquivo XML que se destina a indicar o mapeamento, do seu site e os recursos em que estão. Mas, por outro lado, este tipo de mostra onde há mais uma vez espaço para melhorias e maneiras de implementá-las melhor. Então, na verdade, imagine que você tem uma parte segura do seu site para bots de IA ou diferentes LLM que estão lá à procura. E dessa forma, eles não têm necessariamente que baixar todos os gráficos, todo o estilo, etc. Eles só têm o contexto do site em termos de texto e quase transforma o site em um serviço baseado em texto para eles. Mas, no entanto, todas estas coisas, é claro, têm de ser inventadas e depois acordadas, antes de serem implementadas com sucesso.

Tom Gorip: É um bom ponto. Então, estou me reunindo aqui e reavaliando o seu site e pensando sobre os diferentes tipos de interações que o seu site pode experimentar. Há interações humanas onde o seu site precisa mostrar uma boa experiência do utilizador. E depois há o aspeto conduzido pela máquina onde ele precisa de ser facilmente analisado, certo? Esses dados precisam ser altamente disponíveis e facilmente analisados. E, idealmente, não custa muito para servir, certo? Então, aqui estão os padrões que podem ser escolhidos, mas eu acho que o seu ponto, Kenneth, é que eles não estão amplamente acordados neste momento. Certo?

Kenneth Thomas: Algo que imediatamente me veio à mente é que isso está quase a forçar os fornecedores, como os fornecedores de sites, a terem uma mentalidade programática. Enquanto que, por exemplo, digamos que eu tenho um site e o site tem uma API ligada a ele, eu já estou pensando nessas coisas. Já estou a passar pelas coisas necessárias para descobrir. OK, quem está a ligar aqui? Como é que eles vão aos nossos serviços? O que lhes estamos a dizer e o que está disponível quando se ligam? E isso é como a pedra angular de garantir que a sua API não está apenas disponível, mas também é segura. Que as pessoas não podem simplesmente entrar e fazer um pedido e depois obter todos os dados, digamos. E, inversamente, o mesmo terá de ser feito nestes sites. E digamos que eu simplesmente executo, não sei, um site do tipo boutique de moda com o Shopify. Agora, eu tenho que entrar mais na mentalidade de um programador onde é quase como se o meu site tivesse que se transformar em uma espécie de API, talvez não com o propósito de realizar vendas diretamente, mas para a lista de informações e garantir que ela está disponível. Como vamos querer, ou como este desejo de ser para os LLM e todas as coisas diferentes que podem estar a consumir esses dados.

Tom Gorip: Sim, é interessante enquanto você está falando; eu estava pensando sobre como esta batalha entre respeitar o agente do usuário em certo sentido. E isso é respeito em ambas as extremidades do espetro. Os criadores de bots identificam-se como tal através do seu agente de utilizadores, mas também administradores da web ou programadores, criando um método para usar esse agente de utilizadores para os direcionar num resultado mais legível por máquina, certo? É como se o tipo de mundo em que estamos a ir para respeitar o agente do utilizador pode ser uma futura hashtag ou algo em que podemos saltar. Então, quaisquer outras coisas vêm à mente com o mundo da IA liderado por máquina, liderado por humanos. Eu sei que definitivamente mergulhamos neste tópico.

Andrew Johnson: Eu vi um artigo no outro dia. Está relacionado com a informação no seu website e para onde vai. E eu só quero ter os pensamentos dos vossos rapazes. Eu sei que não falamos sobre isso, mas essas grandes empresas de IA precisam de dados de treinamento, certo? E o lugar perfeito para obter muitos dados de treino gratuitos seria o seu website ou apenas a Internet. E eles estão preocupados que essas empresas de IA coloquem esses dados de treinamento na nuvem. E muitas vezes não vai ser mesmo na sua geografia ou região. Então, a sua informação pode realmente sair da sua região. Qual é o tamanho de um problema? Para mim, é como, OK, o que você coloca no seu site, você não vai colocar demasiadas PII. Estou a tentar pensar em casos de uso em que isto possa prejudicar.

Tom Gorip: Isso é um grande pensamento. Como o que foi, oh, o recente provedor de verificação de antecedentes que vazou, o que foi centenas de milhões ou milhões, vamos dizer milhões porque eu não tenho os números bem à minha frente de números e identidades de Segurança Social. Em essência. Na verdade, recebi um e-mail ou, desculpem-me, uma carta da Home Depot que me foi recusada, o meu cartão de crédito Home Depot, porque eles não me identificavam. Eu estava tipo, bem, sim, porque não era eu. Portanto, obviamente, o meu número de Segurança Social está a ser tentado a ser alavancado por Stuff Out Home Depot. Mas, para esse fim, acho que foi descoberto e Kenneth, corrigindo-me se estou errado, que a palavra-passe ou as credenciais para aceder à base de dados estavam disponíveis no website em texto simples. OH sim, esses erros acontecem o tempo todo, certo? E não necessariamente a base de dados estava disponível em formato simples, mas isso também poderia ter sido rapado, mesmo por um bot de IA e que os bots agora na memória têm um monte de números de Segurança Social, sabem, talvez à espera de serem arrancados. Não sei. O que acham? Como poderia ser usado algo assim?

Kenneth Thomas: Não, este é um grande ponto aqui, Andrew, e um muito francamente, que eu não acho que foi realmente bem pensado e pensado. Mas toda a ideia é que, muitas vezes, as organizações, se tomarem uma abordagem frouxa à segurança ou se titularem a sua empresa, que um atacante determinado, independentemente da sua habilidade, poderia encontrar esses segredos e depois aproveitar esses segredos para os seus próprios fins. E bem, eu não acredito que, do ponto de vista da IA, essa é a preocupação. Por outras palavras, não acredito que tenhamos de nos preocupar, pelo menos neste momento, com a IA a encontrar uma combinação de palavras-passe de início de sessão e depois a tentar, mesmo que isso pudesse ser absolutamente possível. Penso que a preocupação é quando os seres humanos descobrem que, e muitas vezes, à medida que as organizações ou projetos aumentam de tamanho, o foco na segurança muitas vezes não aumenta ao mesmo ritmo. E por causa disso, você pode ter essas lacunas na segurança, lacunas no processamento que levariam a uma exploração maior ou maior compromisso de segurança. Portanto, eu não tenho uma boa resposta para a pergunta, mas é definitivamente uma consideração, especialmente se você tem, digamos, leis de proteção de dados localizadas. Por exemplo, a CCPA dá certas proteções aos cidadãos californianos que, digamos, não seriam estendidas a nós no Texas, sabem, tipo de coisa. E assim, para esse fim, se você é um provedor de dados ou um corretor na Califórnia, que opera na Califórnia, há certas proteções que têm que estar em vigor para que você possa fazer esse tipo de coisas. Então, eu acho que, mais uma vez, temos tanto desenvolvimento e coisas à nossa frente para construir esta economia, construir este futuro do software. Mas, ao mesmo tempo, muitos dos padrões e melhores práticas que nós tiramos são realmente dos primeiros dias da web como em meados do final dos anos 90. Então, é interessante como todas essas forças diferentes estão se combinando e temos que pensar nisso em tempo real também.

Andrew Johnson: Isso ajuda muitos rapazes, eu estava a pensar nisso do ponto de vista do website que funciona perfeitamente. E Tom, você estava me ajudando a pensar mais como uma má configuração ou um ponto de vista de segurança frouxo e como isso poderia ser um problema. Mas também, quando você está falando sobre diferentes leis de privacidade, eu acho que os pedidos desses motores de busca de IA ou raspadores de IA podem sair de sua região local de um nó, certo? Eles podem vir de servidores na sua região, mas eles vão pegar nesses dados. Não vai necessariamente ficar na sua região. Geralmente, vai para uma nuvem mais centralizada que provavelmente está fora da sua região.

Tom Gorip: É uma ótima pergunta. Ótimo tópico para explorar. Estamos a correr o tempo é muito mais neste relatório. Estávamos a falar de um tópico e o relatório é o DDoS spidering, estamos a ver os atacantes atravessarem vários endpoints dentro da aplicação para encontrar o mais fraco e, por isso, alguns controlos e recomendações dentro do relatório. Lá temos as cinco maiores fraquezas que te vão dar notícias. Estamos a aproveitar a IA para analisar notícias para obter mais informações sobre ameaças e escolher essas não apenas as principais CVE’s, mas também as fraquezas que identificámos nas notícias. E um pouco de spoiler, alguns dos modelos que corri contra as projeções para o crescimento do CVE este ano. Este poderia ser o maior ano em que os CVE identificaram que vimos desde 2017, o que não é necessariamente uma coisa má, mas acho que há muito mais a retirar do relatório. Então, com isso dito, ainda há mais para salpicar lá. Vocês têm alguma ideia final sobre IA, DDoS spidering, fraquezas? Alguma coisa em torno do relatório?

Andrew Johnson: Eu achei que o relatório era bastante interessante onde as pessoas de hoje ouvem falar do dia-a-dia da CVE, mas como evitar isso no seu código? Penso que o relatório faz um bom trabalho ao realçar, de facto, a fraqueza, as próprias fraquezas subjacentes. Quero dizer, há muitos dos mesmos culpados, ao longo dos anos, mas realmente focando na construção de software mais seguro. Penso que há muitas ideias sobre isso no relatório.

Tom Gorip: Sim, isso é um ótimo ponto. Eu continuo a brincar e, muitas vezes, as pessoas de segurança ficam chateadas comigo quando digo isso, mas é para ser abrasiva porque a segurança é apenas um patch. É um patch para uma má configuração. É um patch para uma má codificação. É um patch para francamente, ignorância, certo? Alguém clicar em algo que eles não entendem, certo? A segurança é um patch. E quanto mais nos aproximarmos, mais abaixo podemos chegar à raiz do problema. Até ao seu ponto, software mal escrito e não é intencional, certo? Ninguém está a fazê-lo de propósito. Normalmente, é velocidade para o mercado ou simplesmente não se sabe que isso é um problema. Quanto mais pudermos chegar à raiz, melhor estaremos.

Andrew Johnson: Exatamente. Há muitos desenvolvedores que não têm um fundo de codificação seguro. Provavelmente a maioria dos desenvolvedores já o teve.

Tom Gorip: Sim, mesmo como pessoa de segurança, estou confiante de que escrevi código inseguro em algum momento do tempo. Acontece, certo? E muita coisa tem que fazer apenas ignorância, sabem, consciência. Eu sabia que isso poderia acontecer?
Kenneth Pensam em fechar o relatório como um todo ou IA, o que quer que seja?

Kenneth Thomas: Claro. Diverti-me muito a passar por este relatório e, em particular, a descobrir algumas das coisas como o atraso do rastejamento. Eu estava a mencionar anteriormente, muitos dos nossos padrões vêm de volta no dia, eles vêm dos anos 90 e mais. O robots.txt é definitivamente um desses. Mas o atraso no rastreamento indica que, apesar de ser como um padrão legado, as pessoas ainda estão inovando dentro dele. E há também intervenientes do outro lado do mercado que estão a respeitar essa inovação. Então, tudo isso para dizer, o relatório tem um monte de inteligência acionável dentro dele, onde, como operador de site, você pode imediatamente aproveitar a intel para tomar uma decisão sobre o que você precisa fazer em relação a este novo tráfego e a esses padrões que estão sendo vistos. Mas dito isso, a IA está definitivamente aqui para ficar. Eu encorajo toda a gente a seguir o que lhes interessa. Mas, em particular, estar atento a novos desenvolvimentos e novos protocolos relativos à IA e à web. Porque eu acho que ainda temos maneiras de ir no desenvolvimento da tecnologia. E, em particular, mesmo algo que você tinha publicado no outro dia, Tom, a Web Semântica ,que é um dos meus tipos, sabem, eu quero ver a Web Semântica realmente tomar uma posição, mas isso é só eu.

Tom Gorip: Sim, isso é ótimo. Penso que estão a trazer um ponto excelente que nem sempre precisamos de reinventar a roda, certo? Podemos aproveitar a tecnologia que já está disponível hoje. E até a Web Semântica, como se estivesse por aí há algum tempo. Talvez possamos aproveitá-la para nos tornarmos em qualquer futuro louco, especialmente quando contemplamos a IA e o que parece nos próximos 5-10 ou 50 anos, sabemos que o mundo vai mudar.
Mas eu aprecio os dois. Esta tem sido uma conversa extraordinária. Mais uma vez, eu indico a todos para ir ver o relatório de tendências de ataque do segundo trimestre. É muito valor nisso, e estas são algumas das estrelas do rock que contribuíram para isso.

Então, até a próxima vez, fique gelado.