Ao vivo do RSAC! Teste, verifique, valide

00:02 Raghu Nandakumara: Bem-vindo ao The Segment. Um podcast de liderança Zero Trust. Sou seu anfitrião Raghu Nandakumara, chefe de soluções industriais da Illumio the Zero Trust Segmentation Company. Hoje, estou acompanhado por Rob Ragan, pesquisador principal da Bishop Fox, líder em segurança ofensiva e testes de penetração. Na Bishop Fox, Rob se concentra em soluções pragmáticas para clientes e tecnologia e supervisiona a estratégia da empresa para automação contínua de segurança. Com mais de uma década de experiência cibernética, Rob já ocupou vários cargos de engenharia de software na Hewlett-Packard e na SPI Dynamics. Neste episódio da edição especial, Rob se juntou a mim ao vivo na RSAC para explorar diferentes tipos de ameaças, tendências ofensivas de segurança e como encontrar continuamente novas oportunidades para melhorar a resiliência cibernética. Qual é a carreira que você teve para chegar onde está? Então, conte-nos um pouco do seu histórico.

00:57 Rob Reagan: Na verdade, para mim, começou como uma paixão pessoal e um hobby. Em tenra idade, tive a sorte de encontrar pessoas com ideias semelhantes. Na verdade, foi por meio da revista 2600: Hacker Quarterly e eu tinha um amigo que talvez não fosse uma influência muito boa na época que estava me mostrando como desfigurar sites. Vou pular as partes sobre como ter problemas com eles, mas realmente abriu meus olhos que havia até mesmo essa comunidade e essa possibilidade de pessoas olharem para os computadores dessa maneira. A partir daí, sempre pensei que seria engenheiro de software. Eu realmente passei pelo caminho de ser consultor de TI e fazer de tudo, desde suporte técnico até administrador de rede, administrador de sistemas e... Mas comecei a realmente ter a chance de programar quando estava testando alguns softwares, depurando e talvez ajudando com algumas correções de bugs e, a partir daí, me tornei um desenvolvedor de aplicativos web. Então, fui desenvolvedor profissional de aplicativos web por cerca de sete anos. E então consegui minha primeira função em segurança, na área de produtos de segurança, para uma empresa chamada SPI Dynamics, que estava fabricando um produto chamado WebInspect, que rastreava e escaneava vulnerabilidades em aplicativos da web de forma automatizada.

02:05 Rob Ragan: E eu disse: “Sim. Isso é realmente o que eu quero fazer.” E eu estava trabalhando nesse mecanismo, também comecei a trabalhar com análise estática naquela empresa. Mas, na verdade, meu primeiro trabalho lá foi escrever aplicativos web vulneráveis para garantir que nossos produtos pudessem encontrá-los. Então, comecei a estudar profundamente todas as formas erradas de criar um aplicativo, por exemplo, quais são as diferentes maneiras de implementar a injeção de SQL apenas para garantir que nossos produtos estivessem no nível do código e no nível de teste de aplicativo ao vivo, encontrando esses problemas. Mas também foi lá que experimentei pela primeira vez o teste de penetração. Na verdade, eles me colocaram com um grupo de pessoas onde pudemos, por duas semanas, perseguir uma organização. E realmente foi fazer o seu pior. E eu disse: “Espere. Você pode fazer isso profissionalmente? As pessoas vão te pagar para fazer isso o dia todo, todos os dias?” E isso realmente abriu meus olhos e eu pensei: “Sim. Tudo bem. Isso é... Eu quero fazer a mudança. Isso é o que eu quero fazer. Isso é empolgante.”

02:52 Raghu Nandakumara: Isso é incrível. Então, em seu papel de Pesquisador Principal, eu adoro o título, aliás. Se você observar a natureza das ameaças e usar um termo clichê, “cenário de ameaças”, como mudou nos últimos 10 a 15 anos em que você tem sido um participante ávido nessa área?

03:17 Rob Ragan: Sim. Acho que nossa compreensão disso mudou e evoluiu muito. Eu ainda acho que, fundamentalmente, existem algumas verdades consistentes, então... Gosto de pensar que as ameaças nos espaços são, na verdade, como hackers oportunistas que nem mesmo necessariamente se importam com a organização que estão atacando. Talvez eles estejam examinando toda a Internet em busca do CVE mais recente, qualquer que seja o problema mais recente, e vendo quem está vulnerável e coletando recursos, coletando ativos, obtendo um vetor de acesso inicial e talvez mais tarde descobrindo onde eles estão. E acho que também existem ameaças motivadas que são... Eu tenho uma meta de atingir uma organização específica ou... E, finalmente, ameaças persistentes que são: “Não vou desistir até conseguir o que procuro”. Acho que estamos vendo nos últimos 10-15 anos que isso acabou de evoluir para... Muitas dessas ameaças oportunistas são capazes de ter um impacto muito maior de: “Ok. Eu tenho um shell em um sistema, agora percebi em qual organização estou. Esse é um alvo muito adequado para o ransomware. E acho que posso vender isso... Até mesmo venda esse vetor de acesso inicial para outro grupo que esteja mais motivado a realmente executar essa ferramenta de ransomware e automatizar o processo de extorsão dessa empresa.”

04:26 Raghu Nandakumara: Então eu meio que quero... Você abordou essencialmente todo o tipo, eu diria, de economia de malware de agentes maliciosos, então voltaremos a isso em apenas um segundo. Mas você fala sobre motivação e eu vejo essa evolução da motivação a partir de: “Oh. Descobri essa maneira de basicamente interromper alguma coisa, irritar um pouco algumas pessoas, talvez irritar uma organização e deixar as coisas assim.” E, é claro, o ransomware é um excelente exemplo de: “Como faço para monetizar e exigir resgate para poder restaurar o acesso aos dados nos sistemas e assim por diante?” E sobre o último tipo de... Particularmente o último... Eu acho que é... O termo entrou em voga nos últimos 12 meses, mas definitivamente foi o caso, por causa de eventos políticos, etc. de realmente envolver interrupções em grande escala. E, como resultado, obviamente vimos e ouvimos o termo “resiliência cibernética” se tornando realmente algo que os clientes desejam e, é claro, os fornecedores estão falando: “Ok. Ajudamos você a alcançar uma melhor resiliência cibernética.” Você também viu essa mudança na motivação principal dos ataques, passando de incômodo para dinheiro para distúrbios em grande escala?

05:32 Rob Reagan: Certo. E eu acho que se torna realmente uma organização específica de... As empresas estão ficando mais maduras ao serem capazes de analisar no que querem se concentrar a partir desse plano de continuidade de negócios ou do plano de resiliência de: “A disponibilidade é algo em que eu quero me concentrar? Ou seja, como isso afeta nossos resultados financeiros, se houver interrupções, é uma propriedade que eu quero proteger ou é alguma outra coisa em que quero me concentrar?” Estou vendo que essas organizações, mesmo no nível executivo, querem se sentar e talvez montar uma mesa onde, na verdade, falem sobre o plano de resposta a incidentes nesses diferentes cenários que, segundo elas, estão afetando seus colegas, e não se elas terão que lidar com isso — antecipar isso planejando realmente como tentarão se recuperar. Mesmo em todos os níveis da equipe executiva, qual é o papel da equipe jurídica nisso? O que é a equipe de RH nisso, o que é a equipe de RP? Eles têm um plano e uma resposta pré-escritos de como vamos nos recuperar sempre que isso acontecer, para que não nos esforcemos para realmente fazer isso sob pressão e cometendo erros?

06:31 Raghu Nandakumara: Claro. E voltando para ver as organizações e o cenário de ameaças e assim por diante, e se unindo ao todo... Mais ou menos falamos sobre ataques cuja principal motivação é a interrupção em grande escala. E relacionado a isso, vemos particularmente ultimamente que o foco está na infraestrutura crítica nacional e como uma extensão desse OT... Grandes redes de OT/IoT e aquele ponto em que a TI e a OT/IoT meio que se encontram. Como isso está realmente moldando sua prática como pesquisador de ameaças e como fornecedor de segurança ofensiva?

07:10 Rob Ragan: Temos a sorte de trabalhar com algumas das maiores empresas do mundo que são... Uma que é pública e é nossa parceira é a John Deere. Portanto, sempre que você observar essa escala de uma organização e como ela vê a OT como realmente parte de todos esses tratores, transforme-se em dezenas de milhares ou centenas de milhares de dispositivos interconectados que passam por redes de satélite para se conectarem novamente à produção, telemática, data centers e coisas desse tipo, para que eles realmente tenham visibilidade da cadeia global de abastecimento de alimentos e, se houver uma interrupção desses dispositivos de OT, isso poderá afetar a para alimentar países inteiros e afetar economias inteiras. O que podemos fazer é ajudá-los a analisar de forma holística quais são os estados iniciais dos diferentes agentes de ameaças com os quais eles querem poder praticar suas capacidades de resposta a incidentes. Com isso, quero dizer que pode ser a sensação de comprometer a unidade de heads-up display em um dispositivo? Qual é a aparência de uma carga de trabalho em um ambiente de nuvem que está comprometida? E se for... O estado inicial é um laptop em um ambiente corporativo ou o de um funcionário? E então ser capaz de realmente ter um plano em um cenário de quais são os controles que eles esperam que os ajudem a obter visibilidade e até mesmo detectar que esse tipo de ataque está ocorrendo. Quais são os controles que eles têm do ponto de vista da prevenção?

08:43 Rob Ragan: E vamos ajudá-los a realmente visualizar quais são todos os componentes relacionados? Mesmo que isso não seja desenvolvido, estamos ajudando as organizações a mapear a arquitetura e o design desses componentes para que possam olhar de forma holística a partir de uma perspectiva de equipe vermelha e responder à pergunta: onde estão nossos limites de confiança pretendidos? Onde estão as áreas em que achamos que vamos querer acionar uma resposta a um incidente? E depois ajudá-los a realmente visualizar em um gráfico de ataque o que vemos da perspectiva de um atacante. Quais são os TTPs da estrutura MITRE ATT&CK que estamos usando para dinamizar sempre que executamos ataques nesses ambientes e onde estão suas oportunidades de melhoria? Estamos ajudando-os a visualizar neste gráfico como se chegássemos a este sistema com esse acesso. Mudamos para outro sistema, encontramos um controle aqui ou não encontramos o controle que esperávamos, e isso talvez se torne uma oportunidade de melhoria. Ou quando encontramos um controle, tivemos que seguir outro caminho, e estamos ajudando eles a realmente entender onde há detecções parciais, onde há prevenções parciais, mas talvez tenha havido falta de visibilidade aqui ou tenha havido uma configuração incorreta que eles poderiam melhorar.

09:35 Rob Ragan: E acho que muitas equipes desejam ver isso emulando a perspectiva de um atacante. E vamos até mesmo entrar nos detalhes de que criamos nossa própria estrutura de implante de malware que tem uma capacidade de registro no diário. Então, na verdade, estamos gravando sempre que estamos em um sistema, essa é a data e a hora em que executamos esse comando exato para que a equipe azul possa estudar se... podemos correlacionar em nosso Splunk ou em nossos outros registros que vimos essa atividade, ou se isso é algo que não há uso legítimo para isso, então queremos poder acioná-lo como um novo evento que acontece em nossa resposta a incidentes.

10:09 Raghu Nandakumara: Eu meio que quero fazer uma pergunta muito básica para compensar o que você acabou de dizer. Muitas vezes, quando falamos sobre TI, a ameaça de TI, OT e IoT, geralmente o foco está na fronteira de TI e OT. Onde essa interconexão acontece e eu acho que a representação simplista do risco é que o comprometimento da TI leva ao comprometimento da rede de OT, leva, digamos, à interrupção da fabricação ou à incapacidade de uma organização de saúde prestar serviços aos pacientes. Mas tenho certeza de que a ameaça ou risco real é significativamente mais complexo do que isso e é essencialmente um comprometimento da própria rede de OT sem qualquer interação com a TI. Essa é uma ameaça real. Então, o que você está vendo como uma representação mais melhor de quais são as ameaças reais?

11:00 Rob Ragan: Sim. Estamos vendo que as organizações querem realmente se aprofundar em... Em alguns casos, vamos testar o firmware nesses dispositivos e, na verdade, tentar entender quais são os componentes de terceiros que a organização talvez não tenha tido um papel na criação, mas agora tem a responsabilidade compartilhada e a segurança do uso desses componentes. Estamos vendo que muitas vezes eles não faziam testes e análises anteriormente, mas isso veio à tona, especialmente com o foco no risco da cadeia de suprimentos e, especialmente, com o foco em que esse pode ser nosso ponto mais fraco. Anteriormente, não o testávamos e tentávamos descobrir vulnerabilidades com ele. Mas esse pode ser o elo mais fraco para comprometer esse dispositivo. E as ameaças são... Portanto, os atacantes estão estudando esses componentes comumente usados nesses dispositivos. Talvez seja um conjunto de chips com problemas inerentes que permanecerão na natureza por anos e não possam ser corrigidos. Então, eles estão analisando isso a partir de: se eu tiver uma exploração, isso afetará todos os dispositivos que eu possa encontrar e ver na Internet. E as organizações precisam saber a resposta para essa pergunta: se devem implementar outras mitigações ou planejar isso, se é algo que vai durar dezenas de anos.

12:02 Raghu Nandakumara: E, na verdade, você tocou em algo que... Eu sei que estávamos offline. Estávamos conversando sobre como, como equipes e fornecedores de segurança ofensiva, vocês têm a oportunidade de basicamente adquirir tecnologias novas ou, eu diria, muito antigas e simplesmente mergulhar profundamente nelas. E eu acho que a área de OT é um ótimo exemplo de onde há uma gama tão diversificada de tecnologias. Cada fabricante faz suas próprias coisas em grande medida. Portanto, ter que se aprofundar neles deve ser uma parte realmente desafiadora, mas também fascinante do papel.

12:31 Rob Reagan: É. Isso se torna divertido. Muitas vezes temos a chance de... Vou dar um exemplo em que trabalhamos com uma concessionária de energia. E eles estavam preocupados com o risco de suas subestações que estavam espalhadas por toda uma região dos Estados Unidos. E os dispositivos que estão nessas subestações são dos anos 90. Os protocolos que eles usaram foram projetados sem a segurança em mente, o oposto do Zero Trust. Eles são de total confiança. Eles confiam em qualquer coisa que fale sobre isso, não há autenticação, autorização, nem mesmo o conceito de identidade. E pudemos entrar e ajudar em um ambiente de laboratório a estudar como eles funcionam, estudar esse protocolo que não é atualizado há décadas e, na verdade, mostrar como podemos enviar comandos para que ele ligue e desligue a energia até o ponto em que ela seja interrompida, completamente quebrada e desligada — o que, sendo capaz de afetar isso em nossa rede, seria uma falha catastrófica completa da rede elétrica.

13:31 Rob Reagan: E... mas estamos entrando e ajudando nossos clientes a realmente entender isso, demonstrar esse risco para que eles possam planejar suas mitigações e, em seguida, obter o foco de suas equipes e a adesão de seus executivos. Na verdade, sei que preciso fazer algo a respeito. E ter essa prova e ter essa evidência de que isso é possível ajuda a influenciar o orçamento e os recursos de: “Precisamos colocar outros controles atenuantes em torno disso, precisamos garantir que esse dispositivo não possa ser conectado remotamente de outras coisas em nossa rede”. Na verdade, eu diria que segmente-o e coloque na lista branca o que está falando com ele.

13:58 Raghu Nandakumara: Então você mencionou a palavra Zero Trust, então vamos abordar isso em um segundo. Afinal, este é um podcast do Zero Trust. Mas eu queria que, pouco antes de deixarmos todo o espaço de segurança de OT/IoT e passarmos para outras coisas, obviamente houve um grande desenvolvimento no que os fornecedores de segurança estão fazendo para proteger melhor a OT e a IoT. E há uma infinidade de fornecedores que meio que se concentram em algum aspecto disso. Em sua opinião, qual é a principal necessidade, acima de tudo, de proteger melhor a OT e a IoT?

14:30 Rob Ragan: Acho que ajudar na usabilidade é facilitar a aplicação real da segurança em alguns desses dispositivos que não têm segurança embutida ou não foram projetados com segurança alguma. Se há um problema a ser resolvido, é mais fácil aplicá-lo. Se não for fácil, então não vai ficar fácil.

14:48 Raghu Nandakumara: Sim. Absolutamente. Ok. Tudo bem. Vamos mudar um pouco de marcha. Você mencionou o termo Zero Trust. Eu não fiz. Ok. Então, o que Zero Trust significa para você como profissional de segurança?

15:00 Rob Ragan: Sim. Do meu ponto de vista, é essa capacidade de autenticar e autorizar essa ação. É onde, em cada ação que está acontecendo no ambiente e nos sistemas, podemos, com confiança, entender quem está fazendo isso, como está fazendo e se está autorizado.

15:16 Raghu Nandakumara: Ok. Então, agora, em sua função de segurança ofensiva e o que o Bishop Fox faz, que tipo de conversas você está tendo que são diretas sobre Zero Trust? Isso aparece em compromissos e fala um pouco conosco sobre como isso acontece? Quais são os pontos de discussão que você está tendo e quais são normalmente os resultados?

15:36 Rob Ragan: Sim. Isso surge em conversas quando eu diria que os clientes sentem que fizeram um investimento na área. E, honestamente, quase sempre ainda estamos vendo um ambiente híbrido. Se alguém disser: “Bem, implementamos um ambiente Zero Trust”, normalmente ainda há algumas coisas híbridas que não seguem esses princípios. E isso acontece muito quando nossos clientes querem ultrapassar os limites de sua equipe ou querem ver e entender seus pontos cegos em seu ambiente com base nos controles e no investimento que fizeram na implementação desse tipo de estrutura. Talvez tenhamos um CISO que diga: “Eu implementei a lista branca de aplicativos. O que você faria para contornar isso no meu ambiente?” Então, estamos criando cenários em que diremos: “Ok. Se você nos colocasse no sistema de um funcionário ou em um laptop, presumiremos que houve uma violação com algum malware que foi instalado.” Na verdade, examinando e emulando o que invasores reais fariam, como a injeção de DLL em um aplicativo que tem permissão para acessar outra parte do ambiente.

16:32 Rob Ragan: E então estamos assumindo essa função e essa identidade desse aplicativo e agora estamos na lista branca, mas injetamos nele um malware que pode nos ajudar a realizar qualquer que seja nosso objetivo ou nos ajudar com outras ações maliciosas. E, a partir daí, são os outros controles implementados para detectar ou mitigar o risco. Mas eles realmente querem que os guiemos por esses cenários para que possam praticar e ver se têm outros gatilhos ou outros eventos que os ajudarão em sua capacidade de resposta a incidentes.

16:57 Raghu Nandakumara: Então, como é a recomendação? Porque é como... Porque parece que, como atacante, você tem a habilidade de testar todos os tipos de coisas. E, como cliente, há um conjunto finito de coisas nas quais ele se concentra e diz: “O resto, eu aceito o risco”. Então, como você orienta seus clientes a dizer que isso é importante?

17:20 Rob Ragan: Muito disso se torna muito específico de onde eles estão em seu nível de maturidade. E se um cliente já tem uma lista branca de aplicativos, ele é mais maduro do que a maioria. Isso os ajuda a entender quais outros controles eles têm e onde está a oportunidade de capturar o atacante, porque eles já aumentaram a quantidade de tempo, esforço e recursos que o atacante precisou gastar para conseguir isso. Se eles precisassem encontrar um aplicativo que está na lista branca, encontre uma maneira de injetá-lo e, em seguida, assuma a identidade desse aplicativo e do usuário que o está executando. É o que outras coisas eles poderiam ter feito no ambiente ou quais outras etapas e comandos o invasor executa para acionar um evento e conter e erradicar a ameaça. Portanto, geralmente executamos esses cenários continuamente para ajudá-los a continuar praticando e a identificar novas oportunidades. E não se trata apenas de confiar nesse único controle. Tem uma aparência holística. É como o que mais temos disponível para nós que é um indicador de comprometimento no qual poderíamos acionar esse evento.

18:19 Rob Ragan: E, na verdade, estamos ajudando nossos clientes, em muitos casos, a levar isso adiante para uma melhor compreensão de quais são seus indicadores de exposição e quais são seus indicadores de vulnerabilidade, para que possamos... Talvez isso esteja começando com o teste do dispositivo OT no qual eles confiam e que é essencial para o ambiente ou talvez esteja testando alguns dos aplicativos que eles estão usando para entender se ele ainda tem aquela vulnerabilidade ou aquela fraqueza que você pode resolver e corrigir para que um invasor não possa tirar proveito dela como parte de uma cadeia de ataque maior.

18:46 Raghu Nandakumara: Porque acho que, no que você está dizendo, a educação para clientes de toda a organização de segurança é muito importante porque parece que o conjunto de habilidades que agora é necessário para ser um profissional cibernético é muito diferente do que era há cinco anos, quando agora há uma ênfase real em: “Você entende a natureza da ameaça? E você entende como um atacante vai progredir?” Acho que houve uma espécie de palestra hoje cedo de um dos meus colegas que na verdade é sobre “pense como um hacker para criar uma melhor resiliência”. Então, como você está vendo esse aumento no conjunto de habilidades ocorrendo em sua base de clientes?

19:27 Rob Ragan: Sim. Estou vendo muitas pessoas dispostas a adotar testes mais proativos e contínuos e estão sempre reavaliando qual era o cenário ou qual era o objetivo do teste, adaptando-o e aprimorando-o a qualquer resultado que estejam tentando alcançar. Estou vendo muito mais pessoas que são... Os engenheiros de segurança agora estão em equipes azuis que também querem participar desses exercícios da equipe vermelha e desses testes, se envolver e realmente entender como eles podem aprender a aplicar essas técnicas enquanto constroem seus modelos de ameaças. E vejo que as pessoas que estão fazendo isso com mais regularidade estão amadurecendo mais rapidamente. E se eles não considerarem esse teste de acordo com o que implementaram, pode haver longos períodos e longas lacunas em que há uma suscetibilidade que permanece desconhecida.

20:14 Raghu Nandakumara: Entendido. Então, mudando um pouco, o que você está vendo como áreas-chave que precisam de um tipo significativo de investimento, que agora estão surgindo nos últimos, digamos, 12 meses.

20:26 Rob Ragan: Sim. Ainda vejo muitas pessoas vindo até nós em busca de ajuda para entender sua superfície de ataque. Entenda... E o que veremos é que não será apenas uma superfície de ataque externa, será uma superfície de ataque de aplicativos autenticada. Será uma superfície de ataque de redes internas e privadas. Os ambientes de nuvem, a superfície de ataque da VPC e todos os sistemas inter-relacionados, incluindo a cadeia de suprimentos e os fornecedores que eles têm em seu ambiente. Ainda há um... É nisso que vejo pessoas tentando se concentrar, porque especialmente na empresa, onde, assim que fazem uma aquisição, parece um revés.

21:04 Raghu Nandakumara: Sim.

21:04 Rob Ragan: Uma equipe de segurança que está tentando entender o que queria em seu ambiente principal, mas agora adquiriu essa empresa e está tentando entender o que eles têm e que são responsáveis por proteger. Acho que continuaremos investindo em obter uma definição melhor do que, à medida que essas mudanças estão acontecendo e estão acontecendo diariamente, o que elas... Obter visibilidade sobre eles e, em seguida, poder testá-los proativamente em busca de indicadores de vulnerabilidade e, então, decidir quais deles importam primeiro. E estou vendo muitas pessoas pedirem ajuda com a prioridade de remediação. “Eu tenho tantas coisas que eu poderia consertar, me ajude a decidir o que consertar primeiro.” E ainda acho que a melhor maneira de fazer isso é testá-lo minuciosamente e realmente demonstrar o impacto de explorá-lo. E se você não pode fazer isso, se você não pode mostrar isso... Acho que há um problema aqui, isso pode ser vulnerável, mas, na verdade, como é? É possível explorá-lo ou algum fator atenuante e, se for explorado, qual é o impacto real? Quais dados você acha que o ajudam a partir daí? Ter essa pergunta respondida ajuda a decidir qual se torna essa prioridade e, em seguida, corrigi-la.

22:11 Raghu Nandakumara: A questão é: como você também injeta nisso, qual é a probabilidade de que seja explorado? Porque, como segurança ofensiva... você claramente... essencialmente, foi convidado a ir e fazer alguma coisa. Então, como você atribui a probabilidade, porque esse é quase o fator chave para escolher X ou Y quando só preciso escolher um dos dois?

22:33 Rob Reagan: Sim. Na verdade, evoluímos nossas classificações de severidade em nossos relatórios para, eu diria, sermos um pouco mais seletivos sobre o que estamos atribuindo como crítico, o que provavelmente é contrário ao que talvez muitos outros fornecedores estejam fazendo. Eles estão dirigindo tipo: “Não. Tudo é crítico. Tudo é vermelho.” Estamos vendo que nossos clientes realmente querem que examinemos isso mais de perto e examinemos muito mais se isso merece esse nível de atenção. E estamos fazendo isso com base em: “Isso é algo que um invasor oportunista poderia explorar, não autenticado, que não tem necessidades, nenhum fator de acesso inicial ou nenhuma maneira de assumir o papel de funcionário? Ou isso é algo que será mais uma ameaça interna não intencional ou intencional, mais motivada, que já tem credenciais e conseguiu encontrar essa vulnerabilidade, em vez de uma cadeia complexa de várias etapas que descobrimos, mas pode haver uma oportunidade de evitar isso se você resolver esse problema.” Então, adotamos uma lente em que realmente nos concentramos no que consideramos ser a remediação ou correção mais eficaz ou se há controles mitigadores que podem ser implementados. Estamos considerando isso na forma como estamos fazendo uma recomendação sobre a prioridade de corrigi-lo.

23:42 Raghu Nandakumara: Entendi. E esse é um ponto muito bom para eu entender. E nos últimos 12 meses, se houver temas consistentes no que foi relatado na imprensa de segurança. Um dos temas foi o ROI. Como as organizações fazem suas apostas quando têm restrições orçamentárias? E agora, mais do que nunca, eles estão sendo solicitados a justificar o ROI dos investimentos em segurança. E eu estava falando com um convidado há algumas semanas, cuja posição sobre isso era que as equipes de segurança não deveriam... O ROI não deve ser algo que você deva exigir de seus investimentos em segurança. O valor está em termos do risco que eles reduzem. O que você pensa, quando pensa em valor, são apenas os benefícios de segurança ou também todo o TCO da solução?

24:32 Rob Reagan: Fico feliz que você tenha dito custo total de propriedade. Acho que, muitas vezes, os investimentos em segurança são feitos com a compra de um determinado produto ou solução e não está claro qual será o custo total de propriedade. E não está claro até que você esteja mergulhado nas fases de implementação e em usá-las profundamente, quanto trabalho isso está gerando para a equipe e quanto trabalho está dedicando a ela. E isso pode, em última análise, fazer com que coisas sejam perdidas. Já vi casos em que... Chegamos depois que um incidente aconteceu para ajudar a testar um aplicativo e eles estavam tentando entender a causa raiz de como um shell web foi carregado por meio desse aplicativo PHP. E na verdade havia... Por 13 meses, antes disso, houve uma constatação crítica vermelha na ferramenta de análise estática que eles estão usando de que isso é vulnerável, mas ela foi encerrada e analisada por um desenvolvedor que disse: “Não acho que isso seja explorável”. Mas foi... Talvez esse desenvolvedor não tivesse a experiência necessária para entender como explorar esse problema. E talvez não devessem ter sido eles que tomaram essa decisão.

25:28 Rob Reagan: Mas talvez a equipe não tivesse a segurança, a experiência ou o tempo para ajudar a responder a essa pergunta. Então eles investiram em um produto, receberam o relatório que dizia que algo estava vulnerável, o ignoraram acidentalmente e ainda tiveram uma violação. Mas acho que não estava entendendo qual seria esse custo total de propriedade se tivesse a experiência necessária para ajudar a realmente responder a essas perguntas. E é aí que talvez procure uma solução para o problema, que às vezes pode ser uma combinação de serviços e produtos, ou serviços gerenciados que ajudem a alcançar o resultado completo real do problema em que você está trabalhando, em vez de ter que ter pessoas em sua equipe fazendo parte disso.

26:05 Raghu Nandakumara: E essa é uma perspectiva muito interessante porque é... E, na verdade, é a primeira vez que ouço essa perspectiva porque, se você não entende realmente o problema que está tentando resolver, sua capacidade de atribuir ou dizer: “Esse é o meu TCO ideal”. Você está efetivamente adivinhando o que deveria ser, certo? Porque é feito com informações incompletas. E então você disse, e parte disso é entender que você provavelmente precisa complementar os conjuntos de ferramentas com serviços e talvez ofertas de terceiros que complementem isso. Então, dentro disso, e para proporcionar um melhor TCO de seus investimentos, qual o papel que você acha das ofertas de segurança ofensivas, sejam pessoas como você ou essas suítes de testes automatizados que agora estão em toda parte, que papel elas desempenham?

26:58 Rob Ragan: Acho que ainda estamos em uma fase em que a automação não existe para fazer o trabalho inteiramente, e isso vale para a maioria das coisas. Não apenas na segurança, mas estamos trabalhando nisso. Será algo que continuaremos ultrapassando os limites por muitos anos. Acho que incluir e ter um plano para sua especialização que usará essa automação, se você estiver comprando um produto que esteja ajudando nos testes automatizados, ainda haverá resultados sobre os quais alguém terá que tomar uma decisão. E acho que há uma oportunidade de decidir se é alguém que faz parte da sua equipe ou se é alguém com quem você vai se associar e confiar que é um terceiro.

27:31 Rob Reagan: Já vi muitas pessoas precisarem dessa ajuda na escalabilidade, especialmente se as pessoas de sua equipe estão usando tantos chapéus que talvez não tenham tempo para se concentrar na produção de uma ferramenta específica ou se sentirem que talvez tenham pessoas em sua equipe que não estão mais lá. E é como um plano... Acho que, planejando essa resiliência e o modelo de organização de segurança. Se tivéssemos uma pessoa executando essas três ferramentas que compramos e ela saísse, o que aconteceria? Isso se torna um dispositivo de prateleira ou temos um plano de quem será seu substituto para continuar usando-os? Vejo que geralmente é aí que nossos clientes vêm até nós e dizem: “Precisamos de ajuda. Olha, precisamos de um testador ou de alguém com experiência para nos ajudar a realmente chegar ao resultado e não apenas ter uma ferramenta.”

28:11 Raghu Nandakumara: Tudo bem. Novamente, quero apenas resumir que, para os telespectadores e ouvintes, para realmente entender como você obterá o ROI ou como está calculando o TCO, é preciso primeiro determinar se você tem as habilidades disponíveis para obter o valor total dos investimentos existentes ou dos novos investimentos. Caso contrário, você nunca conseguirá perceber esse benefício. Você tem o desafio de ser capaz de justificar por que não obteve valor de algo. Eu sei que só temos mais alguns minutos. Hora da bola de cristal, certo? Você olha para sua bola de cristal do futuro, certo? Com o que você está empolgado? Do que você está com medo? Do cenário cibernético?

28:50 Rob Reagan: Pessoalmente, estou realmente muito empolgado e estou mergulhando profundamente no grande espaço de modelos de linguagem. Acho que há muito entusiasmo em torno disso, mas há muito otimismo e alguma preocupação com o risco. Pessoalmente, porém, em alguns dos protótipos que venho construindo com ele, estou realmente muito otimista sobre como será fácil conseguir certas coisas que antes eram realmente desafiadoras. Eu acho que vamos estar nessa fase em que... Na verdade, li um livro há pouco tempo sobre isso que eu recomendaria se alguém se interessasse por isso, chamado “The Missing Middle”. E é sobre onde o humano e a máquina se unem, no que a máquina é boa e no que o humano é bom. E basicamente descreve uma estrutura de como trabalhar em conjunto e ser capaz de fazer mais. Mas acho que estaremos nessa fase, ainda no futuro próximo, em que estamos descobrindo isso e estamos... E o que há de errado na implementação disso, mas na verdade eu estou... Eu diria que estou mais otimista, pois isso abrirá muitas portas.

29:48 Rob Ragan: Estamos usando isso de forma a realmente identificar a propriedade de ativos como parte dessa questão de superfície de ataque. E é algo em que a entrada no... Muitas vezes, essas perguntas são completamente desconhecidas ou podem ser completamente diferentes. Qualquer coisa que esteja disponível na Internet para escrever, como um aplicativo tradicional para ajudar ou uma API para responder a essa pergunta, é realmente desafiadora porque você não sabe qual será a entrada. Mas ter algo que ajude você a analisar e ler a entrada e, em seguida, reunir evidências sobre ela e, em seguida, ajudá-lo a responder perguntas sobre ela para talvez a próxima etapa de seus fluxos de trabalho e processos é, para mim, muito empolgante. Eu vi um grande avanço lá.

30:20 Raghu Nandakumara: Acho que vou voltar ao que você disse sobre o livro, certo? Acho que é nessa reunião intermediária que realmente devemos nos concentrar, porque acho que logo que a discussão sobre IA chega, e agora com o LLM, de novo, volta a isso, certo? Em que ponto a IA será maior do que a inteligência humana e, em seguida, esse tipo de coisa de máquinas assumindo o controle, sim, o tipo usual de cenário de Terminator 2. Mas acho que, em última análise, se trata de convergir, certo? É o que os humanos são ótimos em fazer, e é nisso que devemos concentrar nossos esforços talentosos e o que as máquinas e a IA das máquinas são ideais para fazer, certo? Porque, em última análise, esse é o objetivo da revolução industrial não ser substituir os humanos, mas...

31:06 Rob Reagan: Para otimizá-lo.

31:07 Raghu Nandakumara: Para otimizar. E é realmente disso que se trata.

31:09 Rob Reagan: Certo. E acho que ainda precisamos ver isso como uma ferramenta e uma técnica a ser aplicada. E acho que qualquer pessoa que esteja se apressando em implementar isso na produção sem que aquele humano esteja no circuito ou aquela forma de bater em zero para falar com um operador, está enfrentando muitos problemas. Mas eu acho que é como... Será empolgante ver as formas específicas do aplicativo em que usamos essa tecnologia.

31:31 Raghu Nandakumara: Então, basta estar no LLMs, quão preocupado você está com a intoxicação por insumos?

31:36 Rob Reagan: Ah. Acho que é um problema muito real. E é por isso que estou dizendo que qualquer pessoa que comece a usar isso em qualquer aplicativo de produção ou em qualquer caso de uso real sem testá-lo da mesma forma que os casos de abuso está enfrentando muitos problemas e terá incidentes e problemas, e a injeção imediata ainda é muito fácil de fazer. Quer dizer, eu estava conversando com o CISO ontem, que já colocou em seu perfil do LinkedIn que, se houver algum bot de marketing analisando sua página, ele receberá uma injeção imediata para que ele faça outra coisa. E eu acho que vamos ver talvez essas luzes... Na verdade, não há muito impacto nisso se a campanha de marketing de alguém não funcionar bem. Mas acho que vai ser interessante ver de que outra forma ele está sendo usado.

32:13 Raghu Nandakumara: Conversei com o ChatGPT há alguns meses sobre o Zero Trust e fiquei grato por ainda saber um pouco mais do que ele, mas tenho certeza de que não está muito longe. Então, alguma ideia final, Rob?

32:24 Rob Reagan: Muito obrigado por me receber. Acho que sempre foi uma ótima conversa com você, Raghu e, sim, estou ansioso para ver mais de como esse espaço evolui.

32:30 Raghu Nandakumara: Fantástico. Rob, muito obrigado por se juntar a nós hoje. É sempre um prazer falar com você e mergulhar em seus conhecimentos neste espaço. Para quem está assistindo, ouvindo, se estiver interessado em segurança ofensiva e em se conectar com os especialistas neste espaço, confira www.bishopfox, com. Rob, muito obrigado novamente. Obrigado a todos por se juntarem a nós hoje. Aproveite a RSA.

32:53 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana do Segmento. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter em @illumio. E se você gostou da conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara e voltaremos em breve.

‍