0:00:01.4 Max Havey: Olá, bem-vindo a mais uma edição do Security Visionaries, um podcast sobre o mundo da infraestrutura cibernética, de dados e tecnologia, reunindo especialistas de todo o mundo e de vários domínios. Sou seu anfitrião, Max Havey, e hoje vamos dar uma olhada em algumas das grandes tendências de ameaças de 2024 e ver o que pode estar no horizonte em 2025 com nosso convidado, Ray Canzanese, diretor do Netskope Threat Labs. Ray, obrigado por se juntar a nós.
0:00:25.1 Ray Canzanese: Oh, obrigado por me receber, Max.
0:00:26.8 Max Havey: Tudo bem. Então, Ray, vou fazer algumas perguntas sobre o que o senhor viu nos últimos 12 meses, e espero que possa usar uma mistura de alguns insights diretos de sua própria pesquisa na Netskope e também compartilhar algum conhecimento de seu envolvimento e colaboração mais amplos com a comunidade de ameaças em geral. Então, para começar, falou-se muito sobre como a IA está mudando a segurança. Então, vamos começar perguntando: você viu a metodologia de ameaças que foi alterada pela IA este ano?
0:00:54.2 Ray Canzanese: Acho que a IA vem mudando a cibersegurança desde o início. A cibersegurança é mais recente do que a IA. Vimos isso desde o início. Tudo começou com a heurística, depois com o aprendizado de máquina, que continuou a se tornar cada vez mais avançado. Agora Genai. Então, é claro, está mudando o setor como sempre mudou. No ano passado, vimos as ferramentas GenAI serem muito mais usadas pelos atacantes. Eles se tornaram uma ferramenta muito útil para engenharia social e fraudes. Vimos muitos endossos divertidos e falsos de celebridades. Você tem alguma celebridade vendendo algo. Tudo o que você precisa fazer é fornecer seu número de previdência social, todas as informações da sua conta bancária, todos os seus cartões de crédito e os de todos os seus amigos. E então você receberá, sei lá, qualquer nova invenção estranha que eles estejam vendendo. Vimos CEOs falsos solicitando ajuda de funcionários. Para comprometimento de e-mails corporativos e outros tipos de ataques. Também descobrimos que alguns atacantes empreendedores decidiram que poderiam vender seus próprios LLMs. Portanto, temos LLMs vendidos que são usados especificamente para coisas como comprometimento de e-mails comerciais e coisas inerentemente nefastas.
0:02:09.7 Ray Canzanese: Do outro lado do espectro, vemos toda a nova tecnologia sendo usada também pelos defensores, especialmente com LLMs, que são muito bons em pegar grandes quantidades de dados e torná-los mais fáceis de entender. Essa é a ferramenta perfeita para cibersegurança. Todos nós, profissionais de segurança cibernética, estamos mergulhados em dados, mais dados do que jamais conseguiremos ver. Portanto, ter ferramentas que possam examinar esses dados, resumir esses dados e nos fornecer algo que possamos entender rapidamente é uma ferramenta fantástica para um profissional de segurança. Então, a outra coisa que eu acho, que a IA mudou, é que agora há uma nova classe de ferramentas com as quais todos nós precisamos nos preocupar como profissionais de segurança cibernética. Então, não está apenas preocupado com todas as coisas boas e ruins que vêm com as ferramentas GenAI, mas também com as ferramentas em si? Eles estão sendo usados com segurança? Quais tipos de dados estão sendo enviados para eles? Os dados com os quais eles foram treinados foram envenenados? É preciso? Como as pessoas estão usando as saídas? Todos esses novos desafios divertidos também vêm com o GenAI.
0:03:17.1 Max Havey: Absolutamente. E houve alguma ameaça ou campanha específica que chamou sua atenção ao analisar a pesquisa deste ano, especificamente sobre pessoas que abusam de ferramentas generativas de IA ou encontram alguns desses pontos fracos nas ferramentas?
0:03:30.0 Ray Canzanese: Bem, no que diz respeito ao uso das ferramentas, acho que toda a engenharia social era uma farsa profunda. Ou a voz de alguém, um vídeo dessa pessoa, alguém participando de uma chamada do Zoom, tudo isso, para mim, realmente é o uso mais convincente da IA para criar uma isca de engenharia social com a qual as pessoas, honestamente, simplesmente não estavam bem equipadas para lidar. Você foi treinado para passar o mouse sobre um link e ver aonde ele realmente vai. O que você faz quando recebe um telefonema de Sanjay Barry, meu CEO, e ele diz: " Ray, rápido, me dê os números da conta bancária, precisamos transferir algum dinheiro. " Não houve treinamento que me preparasse para isso. Então, todos esses tipos de ataques de engenharia social são muito, muito novos e nos fazem repensar o que precisamos fazer em resposta.
0:04:23.0 Max Havey: Então, é uma nova fronteira em tudo isso, e é preciso aprender a identificar esses tipos de coisas que parecem duvidosas no sentido geral, não apenas no sentido do pH, mas o que as pessoas deveriam procurar quando se trata de identificar esses tipos de truques generativos de engenharia social baseados em IA?
0:04:41.1 Ray Canzanese: Sim, é uma boa pergunta, e acho que também não é uma pergunta simples. Porque se você me perguntasse há 20 anos, o que as pessoas deveriam procurar nos e-mails de phishing, eu posso te dizer o que as pessoas deveriam procurar nos e-mails de phishing. E então, avançamos 20 anos e, o que está acontecendo, as pessoas ainda estão clicando em links e caindo em e-mails de phishing. Já existe muita carga sobre o ser humano individual de tomar essas decisões. Então você diz a eles: " Bem, você deve pensar de forma mais crítica ao receber uma ligação de Sanjay Berry. Sanjay normalmente liga para você? Ele normalmente pede números de contas bancárias para você? " E você diz: " Não, ele normalmente não faz essas coisas, eu não deveria cair nessa. " Ou " É realmente Elon Musk no YouTube agora pedindo que eu lhe dê $10.000? " Não, Elon Musk não precisa de $10.000 de você. Então, você pede às pessoas que pensem de forma mais crítica sobre essas coisas, mas a carga também recai sobre aqueles que trabalham no setor de segurança cibernética. Como podemos reduzir essa carga sobre o indivíduo? Até que ponto podemos ajudá-los a nunca ver esses golpes, esses links de phishing e até que ponto podemos ajudá-los a tomar decisões mais informadas.
0:06:00.2 Ray Canzanese: Eu nunca saberei totalmente o que está acontecendo em sua vida quando você está navegando na web e está prestes a atender uma ligação ou clicar em um link. Mas eu sei algo sobre a proveniência de onde esse link veio, a probabilidade de que seja real. E na medida em que eu posso ajudá-lo, posso lhe dar informações que dizem: tenha cuidado ao atender a essa ligação, embora eu não tenha certeza de quem ela diz ser, isso torna as coisas um pouco mais fáceis para o humano e espero que nos torne um pouco mais seguros.
0:06:36.0 Max Havey: Definitivamente, é ter essas ferramentas no lugar certo e saber como usá-las e aplicá-las nas situações em que você não tem um profissional de segurança cibernética cuidando de seu ombro o tempo todo.
0:06:46.3 Ray Canzanese: Certo. E eu estava meio que me antropomorfizando como uma ferramenta de segurança cibernética lá, mas o conceito é válido. É que quando você está usando essas ferramentas, é como se alguém estivesse sentado lá, observando o que você está fazendo e tentando ajudá-lo, mas não sabe tudo. Eles não conhecem todo o contexto sobre o que você está fazendo, com quem você normalmente interage. E, portanto, sempre há uma área cinzenta. E ajudar o ser humano a lidar com essa área cinzenta é algo que nós, como profissionais de segurança cibernética, podemos fazer melhor. Quando é preto e branco, é fácil. Quando podemos dizer: " Sim, isso é definitivamente bom, e sim, isso é definitivamente ruim. " Podemos dar um tapinha nas costas pela vitória, mas sempre há aquela área cinzenta, que é a mais difícil.
0:07:29.6 Max Havey: Certamente. Você já viu essas tendências de ameaças em evolução em torno da IA refletidas nas mudanças organizacionais na forma como elas protegem a IA ou usam a IA para segurança? Como é isso, como você viu esse tipo de evolução este ano?
0:07:41.3 Ray Canzanese: Sim. Acho que 2024 foi interessante, em comparação com 2023, acho que 2023 foi o ano da IA em tudo. Tipo, você pode imaginar o quão melhor meu banheiro seria se tivesse IA? E em 2024, parece que percebemos que você não precisa de IA em tudo. E se você me disser não, quando eu perguntar se preciso usar 90 aplicativos de IA diferentes para concluir meu trabalho, essa é uma boa resposta. Porque acontece que eu não preciso de 90 aplicativos de IA diferentes para ser eficaz no meu trabalho. Então, 2024 parecia ser o ano do aperto dos parafusos. Vimos mais organizações simplesmente exercerem mais controle sobre o que estava acontecendo. Vimos o número de blocos aumentar em " Decidimos que você só pode usar esses três aplicativos e vamos bloquear todos os outros. " Isso se tornou uma estratégia mais comum.
0:08:33.9 Ray Canzanese: A outra coisa que realmente vimos aumentar é que as organizações que disseram sim à IA, que é a esmagadora maioria delas, curtiram mais de 94%. Agora eu acho que é " Sim, mas. " e eles colocaram muitos controles DLP nos aplicativos de IA. Especificamente, eles estão analisando o que as pessoas estão postando e dizendo: " Bem, são dados regulamentados? Isso é segredo? É código-fonte? É algo que eu não quero deixar meus limites protegidos? " E se isso não for simplesmente impedir você de fazer isso e dizer não, ou faça um pouco do que eu disse anteriormente, um pouco de treinamento e diga: " Ei, parece que você está prestes a publicar algo que parece dados regulamentados no ChatGPT. Você tem certeza? " Porque recomendamos que você não faça isso. Então, você meio que capacita o usuário quando há uma área cinza para fazer a escolha certa.
0:09:34.2 Max Havey: Absolutamente. Ter esse tipo de solução e capturar as pessoas na hora certa antes que elas façam algo como enviar segredos corporativos para o ChatGPT ou algo do tipo.
0:09:43.4 Ray Canzanese: Certo, certo. Porque a resposta pode ser que, embora isso possa parecer um segredo corporativo para você, não é realmente um segredo. E eu sei disso, então estou feliz em continuar, mas descobrimos que esse tipo de estratégia de coaching apenas na hora certa é muito eficaz. A quantidade de vezes que alguém decide continuar depois de receber uma mensagem do tipo " Tem certeza de que " é menos da metade. É um controle bastante eficaz apenas dar uma olhada no intestino de alguém e perguntar: " Você tem certeza disso? " Só não faça isso toda vez que eles clicarem em alguma coisa. Certifique-se de fazer essa pergunta com moderação para que ela possa manter sua eficácia.
0:10:26.4 Max Havey: Absolutamente. Portanto, não para inundá-los, mas apenas nas circunstâncias mais importantes.
0:10:30.2 Ray Canzanese: Certo, certo. Tipo, " Tem certeza de que deseja visitar este site? Tem certeza de que deseja clicar nesse link? " Você pode ver como isso rapidamente se tornaria irritante. E sua resposta é sempre automática, " Sim. " Porque a resposta é, na verdade, me deixe em paz, estou tentando trabalhar aqui.
0:10:46.3 Max Havey: Bem, Ray, para mudar um pouco de assunto aqui, vi muito mais artigos este ano na mídia sobre ameaças cibernéticas e geralmente falando sobre as ações de atores dos estados-nação. Eu queria ter uma ideia: sua equipe de pesquisa percebeu alguma tendência notável de ataques cibernéticos em estados nacionais este ano? E se sim, quais foram essas?
0:11:04.6 Ray Canzanese: Em geral, nos estados nacionais, vimos onde tínhamos a maior atividade adequada contra nossos clientes. E, novamente, nossa base de clientes é global. Temos clientes em todos os continentes, eram as festas de sempre. Rússia, Coréia do Norte, Irã e China ficaram entre os quatro primeiros por uma grande margem. Não é realmente surpreendente porque a atividade geopolítica de segurança cibernética geralmente é apenas um reflexo de tendências geopolíticas mais amplas. Então, onde você vê conflitos, é aí que você também vê atividades de segurança cibernética. E grupos APT ativos. Na segunda tendência que vimos lá, vimos muitos corretores de acesso inicial serem muito ativos. Essas são organizações cuja especialidade é apenas a infiltração, encontrar uma maneira de entrar e depois vender essa entrada para outra pessoa que tenha algo que queira fazer com essa entrada. Então, isso faz parte disso, como a especialização na comunidade adversária. Vimos muitas ferramentas comuns sempre que havia uma ferramenta como o Cobalt Strike, uma estrutura de comando e controle muito poderosa e eficaz que foi hackeada e modificada tantas vezes que parece que todo mundo a está usando. Portanto, vemos essas ferramentas comuns em termos de tendências comuns, e não em termos de quais ferramentas estão sendo usadas.
0:12:30.0 Ray Canzanese: E então eu acho que o tipo de tendência final que vimos foi que, além disso, como a tradicional, vamos chamá-la de atividade de cibersegurança de tentativas de phishing e infiltração, hacking e ransomware e todas essas coisas, vimos muita desinformação, muita espionagem, muitas tentativas de desestabilização, muitas tentativas de divisão. Muito disso está acontecendo nas redes sociais. Portanto, você não só tem essa atividade tradicional de segurança cibernética, mas também muitas outras coisas que estão mais abertas e afetam a todos. E então é só que... Até o ponto anterior, o que esperamos do indivíduo? E o indivíduo está tão sobrecarregado. Há muito barulho. Não sei se tive que pensar tanto no passado sobre se algo que eu estava lendo nas notícias era verdade ou não. Então, acabamos de adicionar muito mais carga cognitiva a todos, e isso está tornando o cenário de segurança cibernética ainda mais desafiador.
0:13:33.1 Max Havey: Absolutamente. E, olhando para o futuro, como você espera que esses tipos de tendências dos estados-nação evoluam no próximo ano? Serão as mesmas nações? Você espera que essas metodologias evoluam de alguma forma? Que tipo de perspectiva você tem sobre isso?
0:13:45.7 Ray Canzanese: Claro. Em termos de quais nações serão, isso depende muito do cenário geopolítico. E eu não sou especialista em geopolítica, mas estou vivo há algum tempo e algumas coisas parecem não ter mudado em minha vida. Portanto, eu realmente não espero que o cenário geopolítico mude drasticamente em termos de onde os conflitos estarão no mundo no próximo ano. Portanto, espero que muitas das mesmas regiões estejam ativas em termos de APTs. Espero que toda essa desinformação, desestabilização e divisão continuem. É aparentemente eficaz. É muito bom... Por bom, quero dizer eficaz. Uso efetivo das mídias sociais.
0:14:27.9 Max Havey: Sim.
0:14:28.2 Ray Canzanese: Definitivamente não é um bom uso das mídias sociais. A outra coisa que espero que vejamos são ataques contínuos a setores que historicamente não investiram em segurança cibernética. Não podemos conversar sobre grupos de APT sem falar sobre Salt Typhoon. Então, o que tivemos nos últimos dois anos? Tivemos o Salt Typhoon perseguindo a infraestrutura de telecomunicações em todo o mundo. E um dos temas comuns na resposta das empresas de telecomunicações quando perguntadas sobre o que está acontecendo? E é, " Bem, nós construímos esses sistemas para eficiência e disponibilidade. Não os construímos pensando nas preocupações modernas de segurança cibernética. " E então eu espero ver mais disso. Você espera ver mais dessas infiltrações bem-sucedidas passarem despercebidas por muito tempo, porque a infraestrutura de segurança cibernética não foi incorporada a esse produto ou setor desde o início.
0:15:28.7 Max Havey: Definitivamente. Em nosso episódio anterior, Kiersten Todt falou sobre suas previsões para 2025 e sobre Salt Typhoon. Acho que mais coisas desse tipo, olhando para o futuro, também parecem estar em sua mente.
0:15:42.0 Ray Canzanese: Sim, com certeza. Muitos de nós passamos muito tempo tentando aprender todas as lições possíveis do que aconteceu com o setor de telecomunicações e o Salt Typhoon.
0:15:52.3 Max Havey: Quase certamente. E mudando um pouco de marcha novamente, houve alguma tendência específica de ameaça neste ano que você viu que mais o surpreendeu?
0:16:01.1 Ray Canzanese: Sim, é muito difícil se surpreender quando você está fazendo isso há tempo suficiente, mas houve algo que me surpreendeu um pouco: na verdade, vimos mais pessoas clicando em links de phishing este ano em comparação com o ano passado. E a razão pela qual, novamente, conversamos um pouco sobre isso, a razão pela qual acho isso tão surpreendente é que passamos tanto tempo, e o phishing parece ser a mensagem central quando fazemos treinamento de conscientização sobre segurança cibernética, como identificar um phish, como evitar clicar em um link de phishing. Então, ver isso realmente dobrar ano após ano foi um pouco como: " Ah, não, o que estamos fazendo de errado? " Por outro lado, a razão pela qual isso não é nada surpreendente é porque está em toda parte agora. O treinamento diz que você recebe um e-mail. Certifique-se de examinar seu e-mail. Mas se você observar onde as pessoas estão clicando nesses links em busca de golpes e links de phishing, não é e-mail. Eles estão clicando em links em mídias sociais, anúncios, resultados de mecanismos de pesquisa e DMs que recebem por meio de aplicativos de mensagens. Está em todo lugar. E quando algo está em toda parte, fica muito mais difícil evitá-lo. E acho que, na verdade, o que estamos vendo é apenas a inundação de phishing vindo de todos os ângulos. Você acabará pegando alguém desprevenido e, eventualmente, eles clicarão em um desses links. E, infelizmente, tivemos mais pessoas do que o normal fazendo isso.
0:17:32.1 Max Havey: Sim. É o que acontece quando se transforma em um jogo de números, é tudo quantidade. E quando você o recebe de DMs, mensagens de texto, telefonemas e outros lugares, é difícil evitá-lo.
0:17:42.2 Ray Canzanese: É difícil evitá-lo sem se dissociar completamente. Por exemplo, eu nunca poderia clicar em um link de phishing se nunca clicasse em um link em nada que alguém já tenha me enviado para qualquer lugar. E esse é o problema. E então você está novamente naquela área cinzenta onde eu... " Isso parece legítimo. Vou clicar. Vou ver o que está acontecendo aqui. " E é assim que sempre acabaremos nesse cenário.
0:18:06.3 Max Havey: Certamente. E acho que, voltando ao ponto em que você fala sobre o indivíduo, chega a um ponto em que não é mais possível confiar no indivíduo o tempo todo para acompanhar isso, especialmente quando está em um volume como esse sem sair totalmente da rede.
0:18:20.2 Ray Canzanese: Certo. Sim. E não é como se os golpes fossem uma coisa nova. Não é como se esse fosse um problema novo. O problema é o volume de outras pessoas que você encontra na internet. E que você nunca sabe quem é uma pessoa real quando está lidando com alguém na internet.
0:18:39.1 Max Havey: Certamente. Bem, Ray, abordamos muitas coisas até agora, mas há alguma outra tendência específica de ameaça que se destacou para você e que ainda não tenhamos abordado?
0:18:47.7 Ray Canzanese: Acho que o que realmente me chamou a atenção e sobre o qual conversamos um pouco foi a IA. Então, falamos sobre a estratégia de controle. Onde vemos mais pessoas bloqueando aplicativos usando DLP para controlar o fluxo de dados lá. O que me chamou a atenção um pouco é que a tendência crescente de uso ainda não diminuiu. Ao longo de 2024, vimos quase triplicar o número de pessoas na empresa usando aplicativos de IA regularmente. Percebi que isso continua aumentando, que ainda não atingimos um patamar lá, o que significa esperar ainda mais mudanças no próximo ano.
0:19:32.2 Max Havey: Certamente. E isso me leva à minha última pergunta real para você, olhando para 2025, há alguma tendência importante que você vê no horizonte decorrente da pesquisa e das conversas que você tem tido com outras pessoas da comunidade de ameaças?
0:19:44.5 Ray Canzanese: Sim, na verdade, para mim, é esse elemento humano. Se o ser humano está no centro do risco de cibersegurança e do ambiente de trabalho moderno agora, além de todas as outras ferramentas e forças que usávamos, agora temos o GenAI e todas essas falsificações profundas, links de phishing bem elaborados e páginas de login falsas. Ficou muito mais difícil para as pessoas tomarem decisões informadas sobre como lidar com dados confidenciais e protocolos de segurança. E, novamente, como se o volume estivesse muito alto. Estamos exigindo demais de muitas pessoas. Então, para mim, acho que a tendência é que continuemos vendo a desinformação, a desestabilização e a divisão. Continuaremos vendo a IA ser usada para phishing, falsificações e fraudes profundas, e isso será um problema social muito desafiador. Não é apenas um problema que as organizações estão enfrentando. É claro que estou preocupado com meus funcionários, é claro que estou preocupado com meus dados, mas todo mundo está enfrentando esses desafios em todo o mundo. Então, acho que repensar o uso dessas plataformas e como controlar o uso dessas plataformas para reduzir o abuso será um tópico importante no próximo ano. Acho que, para aqueles de nós do setor de segurança cibernética que buscam proteger organizações, acho que nosso foco precisa ser e será reduzir a carga cognitiva dos usuários. Como orientamos as pessoas a tomarem a decisão certa com menos carga cognitiva?
0:21:22.4 Max Havey: Absolutamente. E eu gosto disso, apesar do fato de que acho que você está correto ao dizer que continuaremos vendo muitas dessas tendências mais sombrias continuarem prosperando. A chave aqui é encontrar uma maneira de reduzir essa carga cognitiva sobre as pessoas, sobre os usuários que enfrentam isso todos os dias. E isso também é você e eu, porque também somos pessoas. E acho que encontrar maneiras melhores de lidar com isso é uma previsão muito boa e uma ótima maneira de entrar no novo ano. Essa é uma boa resolução de algum tipo.
0:21:50.1 Ray Canzanese: Sim. Não é fácil, mas é uma boa área para todos nos concentrarmos.
0:21:54.9 Max Havey: Certamente. Bem, Ray, acho que isso serve para perguntas que tenho do meu lado. Há mais alguma coisa que você gostaria de acrescentar?
0:22:02.1 Ray Canzanese: Sim, claro. Só um pequeno plugue.
0:22:04.0 Max Havey: Ah, sim, vá em frente.
0:22:04.4 Ray Canzanese: Você pode descobrir mais sobre as coisas em que estamos trabalhando em netskope.com/threatlabs. Tenho um boletim informativo mensal no qual você pode se inscrever. Estou no LinkedIn e também entrei recentemente na Bluesky. Então você pode me encontrar em todos esses lugares.
0:22:21.4 Max Havey: Excelente. Bem, Ray, muito obrigado por se juntar a nós aqui hoje. É sempre uma conversa agradável quando posso conversar com você sobre tendências de ameaças e, especialmente, quando também podemos encontrar um pouco de esperança nessa conversa. Então, muito obrigado por se juntar a nós aqui hoje.
0:22:32.1 Ray Canzanese: Absolutamente. Obrigado Max. Cuide-se.
[música]
0:22:34.0 Max Havey: Tudo bem. Você está ouvindo o podcast Security Visionaries e eu fui seu apresentador, Max Havey. Se você gostou desse episódio, compartilhe-o com um amigo e assine Security Visionaries em sua plataforma de podcast favorita. Lá você pode ouvir nosso catálogo anterior de episódios e ficar de olho nos novos, lançados todo mês, apresentados por mim ou pela minha co-apresentadora, a maravilhosa Emily Wearmouth. E com isso, nos encontraremos no próximo.