Ficar à frente do cenário de ameaças é essencial para os CISOs protegerem suas empresas, mas manter-se à frente do panorama de ameaças é difícil na prática. Os agentes de ameaças estão acelerando, visando cada vez mais organizações com métodos de ataque novos e bem estabelecidos Os programas de segurança enfrentam expansão constante, com a tarefa de proteger uma superfície de ataque em evolução, especialmente à medida que as organizações se apressam para criar e implantar modelos internos de IA. E as equipes de segurança se veem no meio do fogo cruzado, correndo para acompanhar os adversários e os avanços organizacionais.
Este artigo destaca três tendências emergentes, apoiadas por dados e observações do mundo real, que exigem atenção e ação imediata dos CISOs.
Durante anos, os programas de gerenciamento de vulnerabilidades lutaram para manter a cadência de correções na velocidade da divulgação das vulnerabilidades. O tempo médio para corrigir uma vulnerabilidade crítica de um aplicativo web é lento, de 35 dias. Infelizmente, manter uma cadência de correções responsável só fica mais difícil à medida que mais vulnerabilidades são descobertas a cada ano. Havia mais de cinco mil vulnerabilidades críticas em 2023.
Para tornar as coisas mais difíceis, os agentes de ameaças exploram as vulnerabilidades a uma velocidade relâmpago. Por exemplo, a CVE-2024-27198, foi divulgada em 4 de março de 2024, expondo os servidores TeamCity a um comprometimento total. Os agentes da ameaça tentaram a exploração no mesmo dia, com ataques observados apenas 22 minutos após a publicação do código de prova de conceito.
Com quase 100 vulnerabilidades zero-day identificadas apenas em 2023, um aumento de 50% em relação ao ano anterior, as organizações enfrentam um ciclo perpétuo de respostas de emergência após a divulgação.
Para mitigar efetivamente o risco de vulnerabilidade, as organizações devem adotar uma estratégia multifacetada que vá muito além da simples aplicação de correções. Comece reduzindo a superfície de ataque explorável por meio de segmentação de rede e dos princípios Zero Trust.
Em seguida, implemente medidas de proteção para impedir a exploração de ativos que ainda não tenham uma correção ou recursos de correção disponíveis. Um exemplo poderia ser o aproveitamento da inteligência contra ameaças no firewall (tanto de rede quanto de aplicativos web) para impedir tentativas de exploração.
Por fim, ao aplicar correções, priorize o risco de exploração, não a gravidade da vulnerabilidade. Recursos como o Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA são inestimáveis para determinar a priorização.
Muito tem sido dito sobre a possibilidade de os funcionários fazerem uso indevido de modelos públicos de LLMs, expondo dados confidenciais, e é por isso que organizações como a Samsung proibiram seu uso.
No entanto, tem havido muito menos conversas sobre modelos internos de IA, que são o principal alvo dos invasores. E as organizações estão investindo pesadamente, com previsão de que os gastos cheguem a US$ 143 bilhões até 2027.
Os LLMs internos provavelmente terão amplo acesso a informações confidenciais e propriedade intelectual. Os exemplos podem incluir um co-piloto de IA treinado em dados de vendas e interações com clientes usados para gerar propostas personalizadas, ou um LLM treinado em uma base de conhecimento interna que pode ser consultada por engenheiros. Além disso, como os modelos são executados em máquinas de alta potência, agentes com motivações financeiras podem direcioná-los para seu poder de computação.
Ataques a LLMs internos não são teóricos; eles já aconteceram. Agentes de ameaças exploraram o Ray, um framework de IA de código aberto popular, concedendo acesso a cargas de trabalho de IA de produção em centenas de empresas. Isso permitiu que eles roubassem dados confidenciais, senhas e privilégios de acesso à nuvem. Os agentes também implantaram malware de mineração de criptomoedas.
Os líderes de segurança devem garantir que suas equipes compreendam os riscos do uso de LLMs e se envolvam ativamente em projetos corporativos para implantar LLMs internos. Começar com os Top 10 para LLMs do OWASP pode orientar as organizações na priorização de medidas de proteção, desde a prevenção contra perda de dados até o firewall dedicado de IA.
No ano passado, houve um aumento significativo nos ataques bem-sucedidos a dispositivos de segurança, especialmente VPNs. Apenas nos primeiros 4 meses de 2024, houve grandes zero-day no SecureConnect VPN da Ivanti, no GlobalProtect VPN/firewall da Palo Alto Networks e nos recursos de VPN do Adaptive Security Appliance da Cisco.
Os agentes de ameaça visam deliberadamente essas ferramentas porque, uma vez comprometidas, elas fornecem um amplo acesso à rede de uma organização. Com as VPNs sendo atacadas com muita frequência, muitas organizações estão avaliando opções alternativas de acesso remoto.
As ferramentas de acesso à rede Zero Trust (ZTNA) são uma dessas opções, fornecendo acesso autenticado a aplicativos específicos em vez de à rede mais ampla. Elas também oferecem benefícios de desempenho, tornando mais rápido e fácil para os funcionários acessarem os recursos internos.
O ZTNA é um ponto de partida comum para organizações que adotam o Zero Trust. De acordo com um estudo da ESG* com 200 profissionais de segurança cibernética e TI, os dois casos de uso mais bem classificados para a implementação inicial de Zero Trust são a aplicação de políticas de acesso Zero Trust (ZTAA) para aplicativos SaaS e a implantação de acesso à rede Zero Trust (ZTNA) para aplicativos privados. E, de fato, 75% dos profissionais de segurança cibernética e TI que atualmente usam o ZTNA relatam que substituíram ou planejam abandonar as VPNs para todos os funcionários.
Defesas baseadas em perímetro, como VPNs, não fazem sentido no contexto do cenário de ameaças atual e do aumento do trabalho remoto. Os CISOs devem desenvolver um roteiro para a adoção do Zero Trust, com a substituição da VPN como um dos primeiros itens. Para demonstrar valor rapidamente, comece com um caso de uso menor ou um conjunto de usuários visados e expanda a partir daí. Considere fatores como velocidade de implementação, perfis de risco de usuários e aplicativos, feedback de funcionários e momento de contrato existente para priorizar a implantação e maximizar a eficácia.
À medida que as organizações dependem mais da infraestrutura de TI distribuída e adotam o trabalho distribuído e híbrido, a complexidade para proteger uma organização continua crescendo. Lidar com essas ameaças envolve tradicionalmente a junção manual de um conjunto crescente de ferramentas tradicionais e isoladas em domínios de segurança (por exemplo, segurança de rede, segurança de aplicativos, segurança de dados, inteligência contra ameaças).
A Cloudflare é uma plataforma unificada e inteligente de serviços programáveis nativos de nuvem que oferece segurança em todos os lugares para proteger pessoas, aplicativos e redes. Isso permite que as organizações recuperem o controle, reduzam custos e os riscos de proteger um ambiente de rede expandido.
*Enterprise Strategy Group, uma divisão da TechTarget, Inc. Research Survey, Cloudflare Zero Trust for the Workforce Survey, maio de 2024
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre as tendências de segurança mais recentes lendo o novo relatório da Cloudflare : Security Brief: Threats against people, apps, and infrastructure.
Após ler este artigo, você entenderá:
Como a segurança está correndo para acompanhar os adversários e os avanços organizacionais
Três tendências emergentes que exigem atenção imediata dos CISOs
Recomendações práticas que ajudam as organizações a ficarem e a permanecerem à frente