Pular para o conteúdo
O vodcast sobre segurança de identidade para líderes e profissionais de segurança cibernética

A identidade é agora a linha de frente da segurança cibernética - e as organizações precisam ficar à frente das ameaças, das pressões de conformidade e dos desafios de autenticação. O RSA Identity Unmasked é um vodcast mensal apresentado por especialistas da RSA e líderes do setor, que aborda as questões reais que moldam a segurança de identidade atualmente.

Inscreva-se agora usando o link “Assine agora” para ser notificado quando novos episódios estiverem disponíveis e obter insights práticos sobre tópicos como Autenticação moderna, Governança de identidade, Confiança zero, Acesso baseado em risco, Verificação de help desk, Problemas do setor, Tendências tecnológicas, Tópicos importantes específicos do setor, e muito mais.

Episode 5: AI & Identity Security (Part 2)—Who Governs AI? Trust, Control, and Accountability

Artificial intelligence is not only changing how organisations defend themselves—it’s also creating new questions around trust, governance, and accountability.

In Part 2 of this special two-part edition of RSA Identity Unmasked, RSA experts and special guest David Lello from Burning Tree return to explore how organisations can govern AI securely, control access to AI systems and data, and establish trust in AI-driven decision making.

As AI adoption accelerates, identity security is becoming the foundation for secure and responsible AI governance.

Transcrição do vídeo
FRANK SCHUBERT:
Bem-vindos de volta ao RSA Identity Unmasked. A inteligência artificial está remodelando a segurança cibernética mais rapidamente do que a maioria das organizações está preparada para lidar. Ela está transformando a forma como os invasores agem, como as identidades são visadas e, cada vez mais, como a própria confiança é estabelecida e gerenciada.
A IA já está acelerando o phishing, a falsificação de identidade e a engenharia social em grande escala. Ao mesmo tempo, as organizações estão recorrendo à IA para aprimorar a detecção, automatizar decisões e fortalecer a autenticação. No entanto, à medida que a adoção da IA se acelera, o mesmo ocorre com os desafios de governança relacionados a ela.
Quem controla o acesso aos sistemas de IA? Como as organizações gerenciam as decisões baseadas em IA? E o que acontece quando as próprias plataformas de IA passam a fazer parte da superfície de ataque?
In this episode, we explore how AI is redefining identity security—from emerging attack techniques to AI governance, adaptive defence, and the future of trust in AI-driven environments.

I’m Frank Schubert, and today I’m joined by Paul Mulvihill from our engineering team, Ingo Schubert, our Field CTO, and David Lello from Burning Tree.
Sejam bem-vindos, senhores. Obrigado por estarem aqui conosco. Vamos começar.
When we talked about the help desk scenario, if you adjust it slightly and go down the route of agents doing actual work, you enter the topic of having a human in the loop. You essentially have the same challenges again. The server side says, “This seems to be critical. I want to make sure the human is actually okay with it.” But if the agent is acting as the proxy or conduit, how does the server truly know that the human gave their approval? That is a very similar scenario to what happens at the help desk, right?

INGO SCHUBERT:
Yes. The help desk is a good example because most people can relate to it, but the same principle applies to almost any workflow—at least to workflows in which security-sensitive operations are being performed. It could be a money transfer, account creation, or something else entirely. The specific action does not matter. If risk is associated with the workflow, and AI is involved somewhere alongside a human in the loop, then confirming the human’s approval and validating who that human is become essential.

DAVID LELLO:
And we also need to validate who the AI is.
INGO SCHUBERT:
Com certeza.

DAVID LELLO:
I think one of the mistakes many organisations have made is forgetting to treat AI as an identity. Authenticating the AI, authenticating the person to the AI, and authenticating the AI to the person are all part of a sound business process.
When we think about identity and the administration of identities, AI needs to be part of the identity lifecycle process. In many organisations, it currently is not. We need the ability to verify and authenticate the AI, as well as authenticate our own instructions to it, so that the AI knows those instructions came from the right person.
As more and more agents become involved, they will begin talking to one another and feeding into shared processes. Where is the explainability? Where is the verification behind those instructions? How do we make sure the right actions have been taken at a risk-appropriate level within the organisation?

FRANK SCHUBERT:
Yes, and as you said, how do agents authenticate to one another when they interact? How do you detect rogue agents or other rogue activity that may be floating around? That is going to be a major challenge.
So, let’s look at the defensive side. AI is empowering attackers, as we have discussed, but it is also improving defence. The help desk measures we mentioned are not necessarily powered by AI; they are more about applying existing capabilities intelligently. But when AI itself is used to support defenders, where is it strengthening security, or where could it strengthen security?

PAUL MULVIHILL:
One advantage is that you have a tool that can analyse a great deal of data much faster than a person can. If you are seeing unusual behaviour, it can work through large volumes of logging information and look for patterns. Is there an increase in attacks from a particular location or geography? Is there suspicious activity associated with a certain range of IP addresses?

It can help the teams defending the environment by saying, “I’m seeing something connected to this set of IP ranges or this geographic area.” The team can then begin putting rules in place to mitigate the issue.
Whereas a person working alone would have to review all that information, go back through log files, and compare the data manually. An AI agent can perform a similar kind of large-scale analysis to what an attacker might use. You can ask, “Show me what has changed over the past two months, because we are seeing an impact now.” It can compare the data and provide insights: “Something is happening here, and this is what I’m finding.”

DAVID LELLO:
I think the reason that is so important, Paul, comes back to something observed during the war. I do not want to become political—although perhaps we can discuss Brexit next.
Back then, fighter pilots from different countries were flying against one another, and something interesting was happening. Some pilots had exponentially higher survival rates than others. Some would go up on their first mission and be shot down, while others survived many missions.
Researchers discovered that certain pilots possessed what became known as situational awareness. The most successful fighter pilots—whether they were from Germany, the UK, the United States, or elsewhere—had exceptional situational awareness.
When we applied that idea to cybersecurity and the security operations centre, we found that the most effective SOC analysts also had strong situational awareness. They could look at patterns in the data and say, “I can see something happening.”
We therefore began building more sophisticated engines and using machine learning to apply rules and identify patterns. We asked, “How do I detect that?” That was fantastic and helped us address many vulnerabilities.
The problem now is that, with polymorphic attack vectors being created by AI, zero-day attacks are a credible and very real threat. Traditionally, a person might release a small piece of code to determine whether a vulnerability could be exploited. The code itself would not necessarily do anything harmful; it might be benign and simply test whether the vulnerability could be reached. Once the attacker knew it could be exploited, they could add a virus, ransomware, or some other malicious payload.

That kind of work once required highly capable threat actors. With AI, however, attackers can manage and monitor so much data that they can conduct those tests at alarming speed.
From a defensive perspective, if we can monitor at the same speed, we can begin noticing when code has been released and is creating a pattern, even if it is not yet doing anything overtly malicious. A person is unlikely to see that pattern easily, especially in the case of a zero-day attack.
We are moving from detection that takes months to weeks, then days, then hours, and now minutes. If we are talking about minutes, we need AI to process the data because it can provide the situational awareness required to identify what is happening.
I was involved with a fantastic product based on code released by DARPA. It monitored NetFlow data and examined patterns in network traffic. By learning what normal traffic looked like, it could create a fingerprint of the organisation and say, “This is normal.” As soon as something anomalous appeared, it would flag it and say, “There is something here. I do not know exactly what it is yet, but something is happening.”

INGO SCHUBERT:
That is the same approach we use in identity systems and authentication. The AI we use is deterministic machine learning because, in a security context, we want to know why a particular decision has been made. It can examine behaviour in much more detail and consider a far wider context than a human can realistically process.
And it is faster—much faster—because there is so much data. It can also compare current behaviour with historical data. A human might notice a pattern instinctively, but the system can flag it, identify the reasons, and then make a decision. It might require step-up authentication, lock an account, or trigger another appropriate action.
In general terms, AI can help defenders by providing richer, more individualised context and making decisions based on that context. You could argue that static rules can do certain things, but static rules often cannot operate effectively at the individual level. In a large workforce, hundreds of individualised rules would quickly become unmanageable.
AI has no problem effectively maintaining a custom rule set for each individual, identifying what is abnormal for that person, and then making a decision.

FRANK SCHUBERT:
You mentioned authentication and network monitoring. I think the additional power—the afterburner—comes when all these different systems feed information into one place.
That was always part of the promise of SIEM: it would have connections into every part of the environment and pull all the data together. But the volume becomes unmanageable, and the SOC team cannot keep up. With AI, patterns can be identified much more quickly.
Of course, similar promises were made years ago. SIEM solutions backed by machine learning claimed that you would never need to write a rule again, but that did not work out. Even so, I think AI gives us a better chance of keeping pace with the sophistication of modern attacks.

PAUL MULVIHILL:
Could humans perform the same analysis? Yes. Could they do it at the same pace? No chance. With AI, you effectively have an expanding team of researchers and an exponentially growing set of resources. When something happens, the system can spot it and react almost immediately.
If you give it guidelines such as, “When you see this type of activity in this area of the network, lock down the firewalls,” it can react far more quickly than a person can. A human could perform the same action, but not at anything close to the same speed.

DAVID LELLO:
There is another interesting dynamic: agents are now spinning up other agents and creating identities dynamically. In cloud-based systems, we already have the ability to be highly flexible. AI agents will be able to create new agents to deal with particular processes.
That means the environment itself is dynamic. No human can keep up with it. On the human side, I agree that we can perform many of these tasks, but not at scale. We are now reaching a point where, because of the speed and the dynamic nature of the environment, even an individual human simply cannot keep pace.

PM
If we had infinite time, then yes, we could do it. The problem is that by the time you realise what is happening, the attackers are already through the front door, they have looted the kitchen, taken the silverware, and disappeared.

INGO SCHUBERT:
It is similar to using a calculator. Could you perform the calculation yourself? Of course. But a calculator can do it far faster. This is a comparable situation.

FRANK SCHUBERT:
We have been talking about signal. Where does AI potentially introduce noise and make life more difficult?

PAUL MULVIHILL:
I would begin with the very human trait of complacency. A system gives you what you think you want to see, and you become overly reliant on it. You receive a great deal of information that appears to support an idea already in your head, but is it giving you what you actually need, or merely what you want?
You might see information about a series of attacks and think, “We have spotted all of these.” Then, because the system has not raised an alert about something else, you assume you do not need to worry about it.

INGO SCHUBERT:
There is also alert fatigue. That is not necessarily AI’s fault; it has traditionally been a problem with all monitoring systems. If you receive alerts constantly, and every alert is marked as high priority, then the alerts become meaningless.
We will need AI systems that truly filter what is important to the individual user and provide actionable recommendations. Simply saying that something is wrong is not enough. What are you supposed to do with that information? Otherwise, alarms will be going off in every direction.
As Paul said, we are becoming reliant on AI. It can create noise by giving us information that is not actionable or that may simply be false. Anyone who has done AI-assisted coding will probably have experienced being led down a rabbit hole. At some point, you realise, “This is not right.”
But because the AI presents the answer with such confidence, you follow it and waste hours. That is one form of noise. The output may not mean anything useful. The AI may not be “wrong” in a simplistic sense; perhaps it received the wrong instructions, or someone else instructed it without understanding the consequences. Either way, the problem appears farther down the line.
That noise consumes time, and everyone has a limited time budget. That is where it becomes distracting and harmful.

DAVID LELLO:
Another important point is that people who have not worked with AI historically may think it is something entirely new. AI has actually been around for a very long time. If we go back to the 1990s and the turn of the millennium, we already had more basic AI systems in place.
At the end of the day, AI is code. It is software built for a purpose and designed to perform a job. We have always built software to do jobs; now we have found more opportunities to use it, and processing power allows us to do far more.
When we look at some earlier AI systems, they could appear racist, bigoted, sexist, or otherwise deeply unpleasant because the people designing or training them might have held those biases—or because the data reflected them. I should be careful not to cast aspersions, but the reality is that whatever you feed into an AI, whatever you teach it, and whatever it ultimately does are all influenced by the people behind it.
When a threat actor or other bad actor wants to cause harm, they will use the system to help them cause harm. When someone uses AI to generate politically nefarious content, the same principle applies.
We have seen attempts at voter influence, election interference, and similar activity, and many people have become disillusioned with politics because there is so much noise in the system from AI-generated content.
The most serious problems arise when people have bad intentions. That is an age-old issue; there have always been people with bad intentions. What has changed is that those people now have the ability to spread hatred and lies at scale.

FRANK SCHUBERT:
Let’s turn to accountability and trust. How should organisations think about accountability, explainability, and control of AI in general—and specifically in security and identity?

INGO SCHUBERT:
Someone needs to be responsible for AI agents.
Think about autonomous cars, which also use AI. There is an ongoing discussion about who is responsible if you are driving autonomously down the Autobahn and something happens. Is it the driver or the car manufacturer?
At present, the general position appears to be that the driver is still responsible. Some companies have experimented with the idea of accepting responsibility themselves, but I am not sure how well that will scale.

I think the same issue applies to other types of AI agents. Ultimately, somebody needs to be responsible. That does not mean assigning one person as a fall guy so that, whenever anything goes wrong, you fire that individual and pretend everything is fine.
Over the next few years, we will have some interesting discussions about how to assign responsibility for AI. As I mentioned earlier, AI does not possess moral guidelines. It tries to help, even if “helping” means assisting someone who wants to attack somebody else.
Human moral standards vary, but people often recognise that what they are doing is wrong. AI does not. Nor does it have a meaningful fear of punishment. You cannot say, “You will be punished for this,” and expect that to work in the same way it might with a person.
Even when an AI appears to say, “I need to survive; do not switch me off,” it does not actually care in the human sense. That makes it difficult to determine how we should manage these systems and who should be responsible for their actions.
There is no easy answer. But I do not think we can simply declare that an AI is completely responsible for its own actions, because that would effectively mean nobody is responsible.

DAVID LELLO:
We cannot live in a world like that. Without responsibility, we cannot have accountability.
We therefore need to think more pragmatically about how to use AI within acceptable risk tolerances. As human beings, we sometimes try to think in absolute terms.
Security professionals understand that risk can be healthy and necessary. A company keeps its doors open and continues operating even though doing so involves risk. Our role is to mitigate that risk to an acceptable level.
We need to treat AI in the same way. We must reduce the associated risk to an acceptable level. That means mistakes will happen and things may go wrong, but the overall benefit must be greater than the risk of failure.
Because of the scale and pace we have been discussing, explainability may itself have to be supported by machines. It is a little like the scene in Star Wars in which a droid army is being developed and C-3PO says, “Machines making machines—how perverse.”
The reality is that we may need machines to monitor other machines.

Ultimately, however, a person must define the rules, guidelines, and governance that determine how the machine behaves in the first place.
And manage it.

FRANK SCHUBERT:
Exactly.
Muito obrigado, senhores. Foi uma discussão muito proveitosa.
A IA continuará a redefinir a segurança da identidade, tanto para os invasores quanto para os defensores. No entanto, à medida que as organizações adotam a IA em grande escala, os líderes de segurança precisam pensar além da mera inovação. Confiança, governança, prestação de contas e controle se tornarão fundamentais para garantir a segurança de ambientes impulsionados pela IA.
If there is one takeaway from today’s discussion, it is that the organisations that lead in AI will not merely deploy it; they will govern it.
Obrigado por se juntar a nós neste episódio do RSA Identity Unmasked. Se você achou essa discussão útil, inscreva-se para receber os próximos episódios, nos quais continuaremos explorando as questões que moldam a segurança de identidade. Para mais informações e recursos, acesse rsa.com.
Thanks for watching!
Episódio 5: IA e Segurança de Identidade (Parte 1) — Como a IA está mudando as regras dos ataques

A inteligência artificial está transformando a segurança de identidade a uma velocidade sem precedentes.

Na Parte 1 desta edição especial em duas partes do RSA Identity Unmasked, especialistas da RSA e o convidado especial David Lello, da Burning Tree, exploram como os invasores já estão usando a IA para ampliar a escala de ataques baseados em identidade, automatizar a engenharia social e desafiar as abordagens tradicionais de confiança e verificação.

Do phishing baseado em IA à falsificação de identidade por meio de deepfakes, esta discussão examina as novas realidades que os líderes de segurança precisam enfrentar à medida que a IA redefine o panorama das ameaças à identidade.

Transcrição do vídeo
FRANK SCHUBERT:
Bem-vindos de volta ao RSA Identity Unmasked. A inteligência artificial está remodelando a segurança cibernética mais rapidamente do que a maioria das organizações está preparada para lidar. Ela está transformando a forma como os invasores agem, como as identidades são visadas e, cada vez mais, como a própria confiança é estabelecida e gerenciada.
A IA já está acelerando o phishing, a falsificação de identidade e a engenharia social em grande escala. Ao mesmo tempo, as organizações estão recorrendo à IA para aprimorar a detecção, automatizar decisões e fortalecer a autenticação. No entanto, à medida que a adoção da IA se acelera, o mesmo ocorre com os desafios de governança relacionados a ela.
Quem controla o acesso aos sistemas de IA? Como as organizações gerenciam as decisões baseadas em IA? E o que acontece quando as próprias plataformas de IA passam a fazer parte da superfície de ataque?
Neste episódio, exploramos como a IA está redefinindo a segurança de identidade — desde técnicas de ataque emergentes até a governança da IA, a defesa adaptativa e o futuro da confiança em ambientes impulsionados pela IA. Meu nome é Frank Schubert e, hoje, estou acompanhado por Paul Mulvihill, da nossa equipe de engenharia, Ingo Schubert, nosso CTO de campo, e David Lello, da Burning Tree.
Sejam bem-vindos, senhores. Obrigado por estarem aqui conosco. Vamos começar.
Então, vamos começar pelo lado ofensivo. De que forma os invasores já estão utilizando a IA para ataques baseados em identidade?

INGO SCHUBERT:
Então, acho que o que temos observado há algum tempo são, em particular, os ataques que sempre existiram — especialmente o phishing. Por exemplo, a tradução adequada de um e-mail de phishing para o idioma local é hoje de qualidade muito superior à de antigamente, especialmente se o inglês não for sua língua materna. Normalmente, dava para perceber de longe que se tratava de uma tradução ruim, se é que havia tradução alguma. Hoje em dia, é possível fazer isso em grande escala a um custo muito baixo e direcionar o conteúdo de forma muito mais precisa a funcionários específicos, por exemplo.

DAVID LELLO:
Eu ia dizer que acho que isso está absolutamente certo. A situação foi ainda mais longe, porque o que vemos agora é que a IA está se tornando polimórfica. Em um ataque, ela não está simplesmente explorando uma informação estática ou tentando enganar alguém para que clique em um link. Ela é capaz de se adaptar à língua e à cultura. Quando você começa a analisar os deepfakes, percebe que ela pode mudar o que vai dizer, quando vai dizer e como vai dizer.
Essa tendência polimórfica significa que ele pode começar a se comportar de maneira muito mais semelhante à humana. Como resultado, os ataques estão se tornando muito mais eficazes, e está se mostrando difícil desenvolver resiliência contra eles.

PAUL MULVIHILL:
É quase como um ataque de spear phishing em grande escala.

DAVID LELLO E PAUL MULVIHILL:
Sim.

FRANK SCHUBERT:
Então, como pergunta complementar, de que forma a IA generativa — com engenharia social e todas as informações disponíveis nas redes sociais que a IA pode coletar e utilizar para criar esses ataques — aumenta o impacto?

INGO SCHUBERT:
Acho que tudo se resume a ter um contexto mais rico. A IA consegue fazer isso em grande escala. Antes, as tentativas de spear-phishing eram praticamente feitas à mão. Agora, é possível criá-las de forma muito mais rápida, mais barata e mais eficaz usando a IA, pois ela consegue coletar todas as informações disponíveis gratuitamente.

PAUL MULVIHILL:
Você tem uma equipe de pesquisa ao seu alcance. Se quisesse fazer isso sozinho, levaria dias para pesquisar sobre alguém. Com um agente de IA, você pode dizer: “Me diga isso sobre esse alvo ou essa pessoa”, continuar variando as perguntas, e ele vasculhará a internet para encontrar todas as informações de que você precisa e organizá-las para você.

FRANK SCHUBERT:
Você tem outros exemplos de como a IA cria métodos de ataque para os quais os defensores não estão preparados?

DAVID LELLO:
Acho que há vários. O que temos observado é que o vetor de ataque não mudou. Pode continuar sendo um ataque de phishing ou um ransomware. Mas, como a IA é capaz de realizar essas ações em grande escala e com muita rapidez, ela pode lançar um ataque de proporções significativas.
Em vez de ter como alvo apenas uma pessoa dentro de uma organização, ele pode atingir todos. É capaz de operar em grande escala e com rapidez, pensar de forma dinâmica e se adaptar às circunstâncias. Isso torna os ataques muito mais eficazes.
Tradicionalmente, quando analisávamos os vetores de ameaça e como os ataques ocorriam, a engenharia social sempre envolvia uma pessoa. Sempre havia alguém que era explorado. Essa engenharia social era muito humana, individualizada e direcionada a um nível muito específico. Mas o fato de ser individualizada significa que a escala do ataque se limita a esse indivíduo.
Se você tiver uma pessoa particularmente perspicaz que esteja tentando atacar e ela disser: “Não, tem algo que não parece certo”, ela simplesmente se afastará. Mas se você começar a fazer isso com centenas ou milhares de pessoas na mesma organização, todas de uma vez e em grande escala, de repente isso se torna um divisor de águas.
Essa é a grande diferença. A IA leva isso a um nível totalmente novo por meio da velocidade, da escala e da persistência. Os vetores são os mesmos; eles não mudaram. O que mudou foi a forma como o ataque ocorre.

FRANK SCHUBERT:
O que significa, para o nível de sofisticação exigido dos próprios invasores, o fato de eles terem uma IA capaz à sua disposição?

PAUL MULVIHILL:
O próprio invasor não precisa ter tanta habilidade quanto seria necessário há cinco anos. Ele não precisa saber como explorar um sistema específico. Talvez precise apenas saber que o sistema existe e como instruir um agente sobre como ele poderia ser explorado.
Muitos sistemas de IA possuem mecanismos de proteção integrados para impedir que façam essas coisas, mas basta ser criativo na forma como você formula a pergunta. Você pode fazer uma pergunta semelhante em um contexto diferente e obter uma resposta que alguém com alguma habilidade possa então modificar para fazer exatamente o que estava tentando fazer, porque o agente não necessariamente entende que o que você está tentando fazer é malicioso, nem o contexto em torno disso. Ele apenas sabe que eu fiz uma pergunta. Se ele não tiver marcado critérios suficientes indicando que “isso é um problema”, ele lhe dará uma resposta. Portanto, a habilidade necessária diminui no aspecto técnico e se concentra mais na formulação ou no jeito de colocar a pergunta, como: “Como você faria isso em uma situação hipotética?” “Ah, bem, eis o que você poderia fazer.”

INGO SCHUBERT:
Então, é um pouco como na época anterior dos “script kiddies”, em que não era preciso saber como contornar um firewall e atacar um site. Bastava baixar um script de algum lugar, executá-lo e pronto.
Sim, você não precisava conhecer os detalhes técnicos. Acho que isso é uma evolução disso — um passo além —, em que é possível fazer isso desde que haja a intenção de cometer um crime.

FRANK SCHUBERT:
A habilidade necessária passa a ser, em vez de convencer as pessoas que estão sendo atacadas, convencer a IA — por meio de uma engenharia inteligente de prompts — a produzir algo que possa ser usado em um ataque.

PAUL MULVIHILL:
Sim, e se você estiver enfrentando uma pessoa, estará enfrentando não apenas o conhecimento técnico que ela adquiriu, mas também os anos de experiência que ela tem em identificar algo que não parece certo. Se tudo o que você está fazendo é convencer um agente que talvez exista há apenas algumas semanas ou meses, ele não tem a capacidade de dizer: “Isso não parece muito certo”. Ele não tem um referencial para saber se algo está errado—

INGO SCHUBERT:
e sem moral.

PAUL MULVIHILL:
Certo.

FRANK SCHUBERT:
Isso não se aplica apenas aos agentes de IA.

INGO SCHUBERT:
É possível argumentar que algumas pessoas não têm princípios morais ou não compartilham dos seus valores, embora tenham alguns valores. Uma IA simplesmente não tem nenhum. Ela pode ter limites de segurança, mas, como provavelmente discutiremos, há maneiras de contorná-los. Com uma pessoa, você pode eventualmente se deparar com alguns limites morais. Isso não acontece com uma IA.


DAVID LELLO:
No entanto, pode-se argumentar que, quando se trata de IA e das habilidades e inteligência da pessoa que a comanda, ainda é necessário um conjunto diferente de habilidades. Não se trata mais necessariamente de um conjunto de habilidades técnicas, mas ainda é preciso fornecer contexto à IA e dizer: “É isso que estou tentando alcançar”. Ainda é preciso ter uma mentalidade social para entender o que as pessoas provavelmente vão achar atraente e o que você está tentando obter com isso.
A IA generativa é fantástica. Eu mesmo a utilizo e acho que ela pode fornecer respostas realmente boas e significativas — mas somente quando eu forneço o contexto correto. O que temos visto é toda uma nova geração de pessoas que sabem contextualizar a pergunta e perguntar: “Como faço para resolver isso?”. Trata-se de um conjunto diferente de habilidades, mas é necessário muito menos conhecimento técnico para tirar proveito disso.

FRANK SCHUBERT:
Vamos analisar isso mais de perto. De todas as capacidades generativas, incluindo textos para e-mails, o que o crescimento da geração de áudio e vídeo significa para a confiança na verificação de identidade? Essa é a parte que os invasores estão tentando contornar. O que isso significa quando nos concentramos especificamente no aspecto do áudio e do vídeo?

DAVID LELLO:
Assisti outro dia a um vídeo muito interessante da IBM que abordava previsões e como as coisas evoluíram. Curiosamente, previa-se que certos avanços ocorressem no último ano, mas a realidade superou essas previsões de longe. Estamos testemunhando um crescimento exponencial.
Este ano estão ocorrendo cerca de 15 mil vezes mais ataques de deepfake do que no ano passado. As pessoas costumam descrever isso como um aumento de 15.000%, o que é um pouco ridículo. Mas há 15 mil vezes mais ataques de deepfake contra organizações. Trata-se de uma escala totalmente nova, e a qualidade dos deepfakes está melhorando a cada caso.

INGO SCHUBERT:
Pode-se argumentar que, com esse podcast — ou vodcast —, nossas vozes agora podem ser clonadas com muita facilidade, pois há uma grande quantidade de dados disponíveis. Mas, mesmo assim, já não é preciso muito material para clonar uma voz. Essas informações disponíveis publicamente — nossas imagens e nossas vozes — são mais do que suficientes para que uma IA seja treinada com nossas vozes e, em seguida, as utilize em um ataque.
Isso é perfeitamente possível e já é possível há algum tempo. Quanto mais avançamos, mais fácil fica.

PAUL MULVIHILL:
Como é possível clonar uma voz, também é possível clonar uma imagem. Alguns dos primeiros deepfakes eram gravações pré-definidas: você dizia ao sistema o que queria que ele dissesse, e ele recriava a pessoa e a imagem.
Mas já vi sistemas que agora substituem a pessoa que aparece na câmera por outra pessoa em tempo real. Muitos dos sinais reveladores, como os padrões de piscada ou a maneira como os lábios se movem, começam a desaparecer porque o sistema está imitando um ser humano de verdade, em vez de seguir uma instrução do tipo: “Aqui está um roteiro — recrie-o como se fosse essa pessoa”.”
Portanto, precisamos encontrar formas de verificar as pessoas que ligam para os serviços de atendimento ao cliente que não dependam apenas de a pessoa parecer ou soar correta.

FRANK SCHUBERT:
O que isso significa para alguém que liga para um serviço de suporte técnico, ou para pessoas que precisam provar umas às outras: “Sou eu. Sou mesmo o seu chefe”, antes de pedir a alguém que faça uma transferência de dinheiro de emergência para um número de conta desconhecido? O que isso significa para a verificação de identidade?

INGO SCHUBERT:
Fica muito mais fácil contornar esses controles. A fraude do diretor financeiro — em que alguém diz: “Você precisa transferir esse dinheiro para outro lugar” — já funcionava em menor escala, sem nem mesmo precisar falsificar vozes. Bastava ligar e exercer pressão para que isso desse certo.
Esses ataques se tornaram mais fáceis porque você pode ser um assistente do departamento financeiro que conhece a voz do diretor financeiro. Se você confiar apenas nisso, essa voz não será mais confiável.
Em cada vez mais fluxos de trabalho, precisaremos de outra forma de identificação ou autenticação, em vez de depender exclusivamente da voz, de uma imagem ou do próprio canal de comunicação. Se alguém ligar para você no Teams, no Webex ou em qualquer outra plataforma que você utilize, é preciso ir além da aparência da voz da pessoa e validar a identidade do interlocutor de forma mais rigorosa.

FRANK SCHUBERT:
Será que os métodos tradicionais de autenticação ou identificação de um usuário, além do canal de voz ou vídeo que está ativo no momento, seriam suficientes para essa tarefa?

DAVID LELLO:
Não.
Não. Acho que as coisas mudaram. Quando falamos em “tradicional”, existem métodos modernos de autenticação que funcionam bem e podem resolver esse problema. A autenticação baseada no FIDO e outras formas de autenticação forte funcionam.
Um dos aspectos fundamentais que as pessoas sempre deixam de lado é o princípio básico de um bom controle de processos. Se você tem um processo de negócios que diz: “Preciso efetuar um pagamento”, como você garante que o processo reduza o risco?
Se esse processo for robusto, você precisa segui-lo. Se, de repente, você receber uma instrução do diretor financeiro dizendo: “Quero que você ignore esse processo”, isso é um sinal de alerta. É claramente um sinal de alerta. Você nem precisa se preocupar em verificar a identidade da pessoa nesse momento, porque o próprio pedido já é um sinal de alerta.
Se seguirmos bons processos de negócios, provavelmente detectaremos a maior parte dos problemas logo de início. Mas, nos casos em que a autenticação for necessária, devemos utilizar métodos de autenticação mais robustos. Devemos utilizar autenticação baseada no padrão FIDO e tokens que nos permitam verificar a identidade da pessoa sem margem para dúvidas.

INGO SCHUBERT:
Também acho que, como sempre, os fluxos de trabalho de segurança costumam ser o ponto fraco que os invasores exploram. É preciso haver uma regra que diga: “Você precisa seguir este processo; caso contrário, não poderá prosseguir”. Para ir de A a B, é preciso seguir o processo.
Vamos tomar um serviço de suporte técnico como exemplo. Alguém liga e diz: “Preciso de algo relacionado à segurança”. Pode ser qualquer coisa; não importa realmente o que seja. O suporte técnico precisa de um fluxo de trabalho que diga: “Ok, preciso autenticar você primeiro”. Até que essa etapa seja concluída, quem ligou não vai a lugar nenhum. O suporte técnico desliga, se necessário.
É claro que isso significa ter um fluxo de trabalho que a central de atendimento deve seguir, sem que ninguém possa convencer a equipe a contorná-lo. Em um cenário ideal, ele está integrado aos fluxos de trabalho técnicos que a central de atendimento utiliza.
Por exemplo, a RSA possui sua solução Help Desk Live Verify, que ajuda a central de atendimento a confirmar a identidade da pessoa do outro lado da linha e vice-versa. Alguém liga, e o suporte técnico diz: “Você precisa passar por esse processo do Live Verify para que eu saiba com quem estou falando”. A pessoa que está ligando também pode ter certeza de que está realmente falando com o suporte técnico.
Esse processo precisa ser seguido. O ideal é que haja uma integração profunda, na qual o próprio software de help desk indique: “Você precisa concluir esta etapa antes que eu desbloqueie o que você precisa que eu faça”. É fácil dizer que os fluxos de trabalho devem ser seguidos, mas é preciso garantir que as pessoas envolvidas sejam obrigadas a segui-los e que o fluxo de trabalho não possa ser contornado. Tem que ser muito difícil contorná-lo.

PAUL MULVIHILL:
Exatamente. Trata-se de pegar essa verificação e usar a API para garantir que, seja qual for o processo seguido pela equipe do suporte técnico, essa etapa de verificação esteja incorporada a ele. Pode ser necessário um passo adicional para que alguém declare: “Levanto a mão — vou ignorar essa etapa. Este é o motivo que me foi apresentado, e assumo total responsabilidade por isso.”
Caso contrário, 99,99% dos casos devem seguir o processo normal. Vou verificar quem é o Ingo. O sistema perguntará: “Você concluiu a verificação?”. Se a resposta for não, não avançaremos até que isso seja feito. Esse requisito está simplesmente incorporado aos sistemas que a equipe do suporte técnico utiliza.

DAVID LELLO:
Isso me lembra uma situação em que implementei um processo como esse em um serviço de suporte técnico e recebi uma ligação muito irritada do CEO: “Não consigo acessar meu sistema. Você precisa resolver isso imediatamente. Você não sabe quem eu sou?”

INGO SCHUBERT:
”Não.” Desligue. É exatamente essa a ideia.

DAVID LELLO:
Você não sabe quem eu sou?

FRANK SCHUBERT:
Na verdade, não. É exatamente essa a questão.

DAVID LELLO:
Exatamente. Acho que esse é o problema: as pessoas resistem à mudança e a tudo que é diferente. É possível implementar esses processos, e é preciso ter a verificação, mas também é preciso envolver as pessoas nessa jornada.

INGO SCHUBERT:
Com certeza.


DAVID LELLO:
Se você não envolver as pessoas nessa jornada, vai enfrentar resistência. As pessoas vão dizer “não”. Quando as pessoas, em massa, dizem “não”, a empresa começa a fracassar, pois não consegue dar andamento ao seu trabalho.
A segurança ainda depende, em grande parte, das pessoas. Por mais que queiramos que as máquinas tenham um papel central nisso, o foco continua sendo as pessoas, e precisamos pensar em como envolvê-las nessa jornada. Caso contrário, vamos perdê-las.

FRANK SCHUBERT:
Muito obrigado, senhores. Foi uma discussão muito proveitosa.
A IA continuará a redefinir a segurança da identidade, tanto para os invasores quanto para os defensores. No entanto, à medida que as organizações adotam a IA em grande escala, os líderes de segurança precisam pensar além da mera inovação. Confiança, governança, prestação de contas e controle se tornarão fundamentais para garantir a segurança de ambientes impulsionados pela IA.
Se há uma lição a ser tirada da discussão de hoje, é que as organizações que lideram em IA não se limitarão a implementá-la; elas irão governá-la.
Obrigado por se juntar a nós neste episódio do RSA Identity Unmasked. Se você achou essa discussão útil, inscreva-se para receber os próximos episódios, nos quais continuaremos explorando as questões que moldam a segurança de identidade. Para mais informações e recursos, acesse rsa.com.
Episódio 4: O padrão sem senha: elevando o nível da segurança de identidade

Neste episódio do RSA Identity Unmasked, os especialistas da RSA Ingo Schubert, Paul Mulvihill e Rob Hughes se juntam a Alex Summerer, da Swiss Bit, para examinar a mudança em direção à autenticação sem senha e explorar como tecnologias como passkeys e autenticação resistente a phishing estão redefinindo a forma como as organizações estabelecem confiança.

Transcrição do vídeo
INGO SCHUBERT
Bem-vindo ao RSA Identity Unmasked. As senhas têm sido o elo mais fraco da segurança há décadas. No entanto, elas continuam a sustentar a forma como as organizações autenticam usuários, protegem sistemas e estabelecem confiança. Esse modelo não é mais sustentável. Os invasores não precisam invadir, eles fazem login.
E à medida que o phishing, o roubo de credenciais e os ataques orientados por IA evoluem, as limitações da segurança baseada em senhas estão se tornando impossíveis de ignorar. A mudança para a autenticação sem senha não é apenas uma melhoria na experiência do usuário.
Trata-se de uma mudança fundamental na forma como as organizações estabelecem e reforçam a confiança. Neste episódio, exploramos o que realmente significa "sem senha", como tecnologias como passkeys e autenticação resistente a phishing estão elevando o padrão e o que as organizações precisam fazer para que a transição seja bem-sucedida.
Sou Ingo Schubert, e hoje estou acompanhado aqui no estúdio por Paul Mulvihill, da nossa equipe de engenharia, e também remotamente por Rob Hugh, diretor de segurança da informação da RSA, e Alex Sumerer, chefe de autenticação da Swissbit.
Paul, Rob e Alex, obrigado por estarem conosco.
Durante décadas, as senhas foram o elo mais fraco da segurança. Será que finalmente estamos chegando a um ponto em que as organizações podem ir além delas? Paulo.

PAUL MULVIHILL
Acho que estamos indo na direção certa. Temos cada vez mais tecnologia que não precisa necessariamente deles, mas temos muitos sistemas que ainda precisam deles devido ao seu legado.

INGO SCHUBERT
Rob, qual é a sua opinião sobre isso?

ROB HUGHES
Acho que temos uma mistura de pessoas: algumas já se envolveram e estão totalmente sem senha e usando chaves de acesso, enquanto outras não sabem muito bem o que fazer. Talvez não tenham sofrido um incidente de identidade grave recentemente e seus programas são muito reativos, portanto, não sabem como proceder. Isso pode ser um pouco assustador para eles.

INGO SCHUBERT
Essa também é sua experiência, Alex?

ALEX SUMMER
Eu diria que, se você observar o número de incidentes, eles estão crescendo significativamente, e as empresas estão preocupadas. As primeiras implementações de esquemas sem senha são bem-sucedidas. É mais uma questão de integrá-los e lidar com a complexidade e o legado. Mas há um grande avanço no sentido de simplificar as soluções sem senha em várias organizações.

INGO SCHUBERT
Portanto, as senhas existem há décadas. E sabemos há pelo menos 10 ou 15 anos que elas são uma má ideia, certo? Isso está bem claro, e estava bem claro desde o início. Mas por que as senhas persistiram por tanto tempo apesar dessas falhas óbvias? Eu provavelmente diria que é porque elas são um fator comum. Todo mundo consegue se lembrar de alguma coisa. Não é necessariamente o melhor caminho a seguir, mas as senhas existem há tanto tempo que quase todos os sistemas aceitam um nome de usuário e uma senha. Portanto, se você quiser algum nível básico de segurança, ele está lá. Mas agora há muitas maneiras melhores e mais fortes de autenticar alguém. Para mim, é o legado: tantos sistemas mudaram tão rapidamente e as senhas continuam sendo o fator comum.

INGO SCHUBERT
Alex, qual é a sua opinião sobre isso?

ALEX SUMMER
As senhas, é claro, são fáceis de usar e implementar pelas organizações. Para o usuário final, elas também são bastante comuns. Com uma senha, você nunca terá problemas para fazer login, desde que se lembre da senha. Mas os problemas surgem com a segurança. O fato de não ser resistente a phishing é uma grande preocupação, especialmente com todos os ataques que estão ocorrendo. Não há como acompanhar um esquema baseado em senha. No entanto, as senhas são amplamente implementadas porque são fáceis de implementar e de usar pelos usuários.

INGO SCHUBERT
Alex, você mencionou que o phishing é, obviamente, uma ameaça às senhas. Há algum outro risco que as senhas ainda apresentam hoje se você continuar a usá-las? Rob, talvez.

ROB HUGHES
Sim, acho que há muitos riscos. Há apenas alguns anos, quando o Snowflake não exigia MFA nas contas e as pessoas o tratavam como opcional, muitos usavam apenas um nome de usuário e uma senha para proteger seu armazenamento. Isso resultou em uma série de invasões de contas. Isso mostra a facilidade com que, se você tiver apenas um nome de usuário e uma senha, alguém pode entrar e obter dados. Isso também mostra como estamos próximos desse limite: se estivermos usando senhas e não ativarmos a MFA, estaremos basicamente nos preparando para uma invasão de conta. É apenas uma questão de tempo, pois as pessoas geralmente reutilizam as senhas. Esse é outro problema com as senhas: é impossível alguém se lembrar de 50 senhas diferentes, portanto, a maioria das pessoas usa a mesma senha para muitas coisas. Assim que uma dessas senhas é comprometida, uma série de outras coisas pode ser comprometida, a menos que você tenha MFA ou não use senhas. Assim, você não terá essa preocupação. Mesmo como profissionais de segurança, pelo menos em minha experiência, a segurança é difícil. Eu reutilizo algumas senhas, embora com pequenas variações. Não para as confidenciais, é claro, mas sim, isso certamente é um problema.

INGO SCHUBERT
Então, Alex, quando as pessoas falam sobre a ausência de senha, a quais tecnologias elas se referem?

ALEX SUMMER
Há vários esquemas disponíveis e amplamente utilizados no setor. Eu começaria com a senha de uso único, ou OTP. Ela existe há décadas. A ideia é ter uma senha dinâmica: toda vez que você faz login no seu site, você tem uma senha diferente e tem um gerador para gerá-la. O esquema OTP tem vantagens: ainda é fácil de usar. Você precisa definir uma configuração para ele, mas depois poderá fazer login com facilidade. No entanto, ele não é totalmente resistente a phishing, pois ainda pode ser interceptado e um invasor pode realizar um ataque man-in-the-middle. Há também esquemas baseados em PKI. PKI significa criptografia de chave pública. Você tem uma chave privada em seu autenticador e faz login em um sistema de serviço. Isso tem uma grande vantagem porque a criptografia de chave pública é altamente segura, é resistente a phishing e há uma forte assinatura criptográfica por trás do processo. A desvantagem é a complexidade de lidar com certificados, que precisam ser mantidos em um ambiente de PKI. O terceiro esquema é bastante novo, mas está evoluindo cada vez mais. Ele é definido pela FIDO Alliance e é conhecido como autenticação FIDO. FIDO significa Fast Identity Online (identidade rápida on-line). É um padrão que agora está implementado em várias plataformas. Ele se baseia em criptografia de chave pública, é muito forte e resistente a phishing, e o melhor de tudo é que é fácil de manter. Não é necessário gerenciar certificados como em um esquema baseado em PKI. Mais ou menos, esses são os padrões do setor usados para autenticação sem senha.

INGO SCHUBERT
Obrigado, sim. Desculpe, Rob, vá em frente.

ROB HUGHES
Quanto ao ponto de vista de Alex sobre as chaves de acesso FIDO, isso certamente é o mais importante em nossas mentes quando pensamos em não ter senhas. Mas também temos mecanismos como os códigos QR, em que é possível usar algo que você tem, como o telefone, e algo que você é, como a biometria fornecida pelo telefone. Com essas tecnologias prontamente disponíveis e nas mãos de todos, ficou muito mais fácil progredirmos com o uso de senhas. Quando falamos de senhas, estamos falando de algo que você sabe. Para reduzir o poder desse fator, você pode usar um PIN, mas com os PINs você pode ter alguns dos mesmos problemas. Muitos dos mecanismos mais seguros são criados com base em algo que você tem e em algo que você é, com os elementos biométricos incorporados.

INGO SCHUBERT
Portanto, você precisa de um dispositivo para autenticar, seja um telefone celular ou um dispositivo físico, como um pendrive, correto?

ROB HUGHES
Sim, certamente algo como as chaves iShield ou os tokens RSA - coisas que podem ser o 'algo que você tem'. Às vezes, você pode ter uma combinação desses itens para redundância ou flexibilidade. Se alguém perder o telefone, o que fará? Se ela tiver o token iShield à mão, poderá usá-lo e colocar o novo telefone on-line mais rapidamente. Portanto, há alguns aspectos relacionados à integração e ao desligamento que você deve considerar ao usar esses dispositivos.

INGO SCHUBERT
Então, autenticação resistente a phishing: como isso muda o modelo de segurança? Paul?

PAUL MULVIHILL
Se você trouxer algo que seja resistente a phishing, será mais difícil para alguém obter esses dados de você. Eles não podem simplesmente fazer com que você clique em um link ou coagir você a obter as informações, porque parte delas está armazenada com você, mas não é baseada em conhecimento. Com uma chave de acesso ou um método sem senha de código QR, é algo que você tem e não pode dar a ninguém. Com uma senha ou um OTP, você pode lê-la para alguém. Mas, com uma chave de acesso, o nível de segurança aumenta muito, porque você não pode fornecê-la a outra pessoa. Você não pode me ligar e pedir que eu faça o seu login com a minha chave de acesso por meio do seu computador, porque a coisa física não está com você. Isso elimina o elemento de alguém poder compartilhar sua parte do processo de autenticação, seja intencionalmente ou não. Como técnico, você nunca diz que algo é absolutamente impossível, mas o nível de segurança aumenta porque eu não posso fazer o seu login ou o login de outra pessoa, quer eu esteja fazendo isso conscientemente ou não.

INGO SCHUBERT
Alex ou Rob, têm algo a acrescentar?

ROB HUGHES
Sim. Se as chaves de acesso forem necessárias, você terá a obrigação de usar segurança aprimorada, o que o impede de compartilhá-la, como disse Paul. Mas os invasores podem procurar rotas alternativas: o que acontece se a chave de acesso não funcionar? Existem outros mecanismos? Ainda acho que, seja qual for o seu mecanismo sem senha, ele será melhor do que as senhas. Vejo as chaves de acesso como um aprimoramento. Se pudermos aplicá-las em alguns casos, elas oferecem os benefícios da matemática de criptografia por trás do processo. Isso não é algo que possa ser facilmente compartilhado; tem que ser bloqueado em algo que você possui. Mas isso se refere ao mecanismo alternativo caso uma chave de acesso não funcione. Esse é um bom ponto. É importante entender que há mais de um método com alguma resistência a phishing. As chaves de acesso certamente estão perto do topo, em parte por causa da vinculação ao domínio onde você se registrou originalmente. Mas outros métodos também são fortes no sentido de que você não pode simplesmente fazer phishing e reutilizá-los mais tarde. Dependendo do caso de uso, uma chave de acesso pode funcionar, ou outro método pode ser melhor. Ter uma opção é definitivamente importante.

INGO SCHUBERT
Agora, ampliando o escopo para além do puramente técnico, muitas organizações querem autenticação sem senha, certo?

Então, para ser sincero, não conversei com ninguém que tenha dito "não, eu não quero isso", certo? Definitivamente, existe a necessidade e a vontade de fazer isso. Mas a adoção pode ser lenta.
Quais são as maiores barreiras? Rob, talvez.

ROB HUGHES
Falei com pessoas da área de segurança com quem não falava há algum tempo e perguntei: 'Você já está sem senha?'. Alguns disseram que não. Quando perguntei por que não, acho que parte disso se resumiu a FUD: medo, incerteza e dúvida. Eles não têm certeza de como começar e não sabem se têm as ferramentas necessárias. A realidade é que, se você tem MFA na maioria dos lugares, geralmente é apenas uma questão de mudar seus mecanismos de autenticação. Depende de você ter ou não todos os recursos disponíveis. Se você já tem recursos de autenticação forte e MFA, é uma questão de ajustá-los peça por peça. Mas as pessoas não sabem por onde começar. A menos que seja uma emergência, elas lidarão com o controle de contas aqui e ali, desde que toda a organização não seja controlada. Elas lidarão com a dor das senhas porque é o que conhecem e está arraigado em sua cultura. É bom desafiar isso e perguntar: o que está impedindo você de deixar de usar senhas? Em muitos casos, as pessoas têm todos os elementos básicos. Elas só precisam começar a usá-los, mas não sabem ao certo por onde começar.

INGO SCHUBERT
Alguém? Alex?

ALEX SUMMER
Uma das principais preocupações que observo é a complexidade dos sistemas de back-end. Você tem vários sistemas a considerar e vários aplicativos, especialmente em grandes organizações. Eles são executados em diferentes tipos de sistemas back-end, e simplificar o gerenciamento de identidade e acesso em todas as várias partes de uma empresa ou empreendimento é um desafio. Não se pode simplesmente dizer: 'Mude para um esquema baseado em FIDO'. É necessário um caminho de migração. O que observo é que isso está acontecendo: a migração está sendo feita, mas leva muito tempo. Durante o caminho de migração, você muda parte por parte para um esquema resistente a phishing. Eu diria que estamos vendo muito movimento, e vejo isso em um sentido muito positivo. Também existe a pressão para fazer uma mudança, porque os incidentes de segurança estão acontecendo e o risco de uma empresa não poder operar devido a incidentes de segurança é uma grande preocupação. Ano após ano, vejo grandes movimentos no mercado e acho que, em alguns anos, a autenticação sem senha será praticamente o padrão em todas as empresas.

INGO SCHUBERT
Você mencionou que alguns aplicativos podem ser movidos, outros talvez não. Então, esses sistemas legados - como eles complicam a transição, Paul?

PAUL MULVIHILL
Tudo se resume à forma como esses sistemas se comunicam com sua plataforma de autenticação. Sempre que falo com os clientes, uma coisa que sempre menciono é que o que você pode fazer é baseado no protocolo. Meu exemplo preferido é o RADIUS. Assim como as senhas, ele existe há muitos anos. Ele faz o que está escrito na lata e funciona até certo ponto, mas tem seus limites. Se você tem um sistema legado que não foi codificado, alterado ou atualizado por muitos anos, será que ele está em uma linguagem que alguém ainda mantém? Como ele pode adotar algo como uma chave de acesso, FIDO, alterações de protocolo, logon único ou todos os outros métodos que o ajudam a entrar em um estado sem senha? Você pode trazer sua nova tecnologia - passkeys, chaves FIDO e logons com código QR - mas o sistema pode não entender essa tecnologia. Ele simplesmente não consegue lidar com ela. Portanto, você pode ter uma seção do seu patrimônio em que o sistema sem senha funciona para 60% ou 70% dos sistemas, enquanto os 30% ou 40% restantes dos sistemas legados ocupam 80% do trabalho. Para colocar todo o patrimônio em um mundo compatível com o sistema sem senha, talvez seja necessário substituí-los ou encontrar algo que possa habilitá-los ou protegê-los sem senha.

INGO SCHUBERT
Acho que isso nos leva a um dos meus assuntos favoritos: você precisa saber o que está lá e entendê-lo. Sim, você quer ficar sem senha; esse é o objetivo final. Sim, você quer ficar sem senha; esse é o objetivo final. Mas onde você está hoje? Você precisa analisar todos esses sistemas, priorizá-los de acordo com o uso, o risco e outros fatores e, em seguida, criar um plano para passar de A para B. Saber de onde você está partindo também se aplica à força de trabalho. Rob mencionou os códigos QR e, com a ausência de senha, há várias opções. Se a sua força de trabalho tem diferentes níveis de conforto com a tecnologia e você oferece vários métodos, saber com o que a sua força de trabalho está satisfeita significa que você pode ter um bom plano. Se a força de trabalho gosta de usar telefones, você pode usar senhas nos telefones. Aqueles que desejam algo físico podem ter uma chave de acesso USB física. Você tem opções porque fez o trabalho de conscientização sobre o ponto de partida. Então, supondo que uma empresa tenha implementado o sistema sem senha, é isso ou ainda há riscos? Rob, talvez.


ROB HUGHES
Mesmo que você tenha implementado o sistema sem senha, é preciso perguntar se realmente pode se considerar sem senha. Se você estiver usando o Microsoft Entra, por exemplo, é necessário ter uma senha conectada ao seu ID de usuário. Você pode ficar sem senha se estiver usando o Entra ID? Se tudo o mais for sem senha, talvez você diga que sim. A realidade é que geralmente há espaços - silos de identidade - em grandes organizações, muitas vezes por causa do legado. Alguns lugares são mais difíceis de mudar e de introduzir novas metodologias. A questão é realmente gerenciá-los e gerenciar os riscos. Eu optaria pelo volume primeiro: deixe todos os seus usuários à vontade com o sistema sem senha e, em seguida, distribua as partes sem senha ao longo do tempo e espalhe o sistema sem senha para esses sistemas. Isso pode levar tempo, mas a implantação da cultura de ausência de senha facilita a identificação dos pontos em que ela não está presente e a promoção dessa prática.

PAUL MULVIHILL
Se você não tiver senha, uma das coisas que as pessoas precisam perceber é que muitos fluxos de trabalho mudam. Se antes você tinha algo que exigia uma senha para se inscrever em alguma coisa, ou uma autenticação baseada em conhecimento para o helpdesk, isso vai por água abaixo porque você não tem mais isso. Então, o que significa a ausência de senha para as operações de TI e o helpdesk? Como você verifica alguém? Como ajudar alguém? Você entra no campo da verificação de ID para integração, como o uso de um passaporte ou carteira de motorista para um cenário de primeiro dia. A recuperação de contas poderia adotar uma abordagem semelhante. Se você não estiver usando um desses métodos, isso se torna significativo. Você precisa descobrir como trazer alguém a bordo de forma segura. Você poderia enviar uma chave de acesso de alguma forma, mas alguém teria que registrá-la de forma segura, a menos que você bloqueie exatamente o que alguém pode usar ou controle como ele entra. Talvez seja necessário dizer que o processo de inscrição exige a presença física em um local e, em seguida, usar sinais como parte da autenticação para restringir as coisas. Isso muda muito a dinâmica em comparação com dizer: 'Eu lhe enviei uma carta ou e-mail com uma senha; altere-a quando fizer o primeiro login'. Nada disso existe se você estiver começando sem senha. Tudo se resume a verificar o que você tem, fazer uma análise de risco e, em seguida, tomar essas decisões. Como são esses fluxos de trabalho para diferentes tipos de usuários? É muito provável que não haja apenas um fluxo de trabalho que se adapte a todos. Dependendo da sua função e do canal que você usa, pode haver diferentes maneiras de realizá-lo.

INGO SHCUBERT
Então, Rob, qual é a sua opinião sobre o helpdesk?

ROB HUGHES
Quando se chega a um ponto em que os usuários não usam senhas, algumas coisas se tornam a sua nova realidade como CISO, analisando o seu programa de segurança. Os invasores, se não puderem assumir o controle das contas dos usuários com senhas, procurarão outras maneiras. Uma delas é a engenharia social do helpdesk. Outra é examinar o processo de integração ou o registro de dispositivos. Você precisa ter certeza de que possui uma cadeia forte em todos esses eventos e de que está promovendo a ausência de senhas em todos eles. Como Paul mencionou, é possível obter mecanismos sem senha para a integração, mas é preciso pensar em como fazer isso. É fácil pensar em integração quando se está acostumado a ter uma senha no mecanismo. Se você receber um novo laptop pelo correio, ele pedirá que você faça o login - então, como fazer isso no primeiro login? É muito importante que não haja senha de ponta a ponta.

INGO SCHUBERT
Nós, da RSA, tivemos a alegria de experimentar o login sem senha há algum tempo, e você fazia parte da equipe responsável pela função na RSA.
Então, como as organizações podem introduzir a ausência de senha sem prejudicar a produtividade do usuário?

ROB HUGHES
Bem, acho que isso depende do fato de você ter os pré-requisitos estabelecidos. Em geral, se você tiver a MFA implementada, esse é um ponto de partida. Se você tiver a flexibilidade de tokens de software e hardware, isso pode ajudar. Se os seus usuários tiverem smartphones com capacidade biométrica, como Face ID ou outros mecanismos biométricos, isso também pode ajudar. Você precisa se perguntar se tem esses pré-requisitos suficientes e, em seguida, começar. Por sermos uma empresa de identidade, tínhamos nosso mecanismo de logon único e, primeiro, introduzimos o sistema sem senha. Penso nisso de algumas maneiras. Primeiro, você disponibiliza a opção sem senha para os usuários: aqui está isso; você pode fazer isso; não precisa de uma senha. Em seguida, você a torna padrão, de modo que a primeira solicitação não seja uma senha. Quando tiver dados suficientes e puder verificar se há algum caso problemático, você o tornará um requisito e dirá que a ausência de senha agora é obrigatória. Se alguém tentar usar uma senha com determinados mecanismos, ela simplesmente não funcionará. Em seguida, você pode passar do SSO para a VPN, o login no desktop ou até mesmo para a conexão sem fio, e procurar obter a ausência de senhas em todo o espaço do usuário antes de focar nos silos de identidade depois disso. Se você fizer isso de forma metódica, reunir o feedback dos usuários e preparar o helpdesk ou o service desk para os prováveis problemas e soluções alternativas, isso poderá ser feito sem grandes interrupções. Também criamos um grupo de teste de voluntários que queriam experimentar primeiro e implementamos as novas tecnologias para eles primeiro. Fomos bem-sucedidos em fazer isso sem grandes interrupções. O segredo é fazer isso de forma metódica: não entre de um dia para o outro, ligue tudo e espere pelo melhor. Faça isso peça por peça e aprenda à medida que avança. É possível que você encontre dívidas técnicas legadas ocultas ou que nem todos tenham a versão correta do telefone para executar o aplicativo mais recente que você está prestes a exigir. Há pequenos contratempos como esse, mas acho que isso pode ser feito sem muito impacto para o usuário.

INGO SCHUBERT
Sem diminuir isso, parece uma implementação normal: você faz isso em etapas, tem suas cobaias - e eu fiquei feliz em ser uma dessas cobaias -, testa as coisas primeiro, amplia o grupo e, por fim, implementa para todos. Essa é uma abordagem sensata e, obviamente, também se aplica a uma implementação sem senha. É bom saber que não há nada de revolucionário ou dramaticamente diferente nisso. Essa deve ser uma abordagem familiar para a equipe de TI em todo o mundo.

ROB HUGHES
Com certeza. Trata-se de seguir as boas práticas de gerenciamento de mudanças. Desde que você consiga fazer isso, não deverá apresentar nenhum desafio de outro mundo.

INGO SCHUBERT
Alex, tem algo a acrescentar sobre o assunto?

ALEX SUMMER
Eu diria o seguinte: os hackers sempre procuram o elo mais fraco, e há três superfícies de ataque. Uma é o protocolo, a outra é a plataforma e a terceira é o processo. Quando se trata de esquemas sem senha, tome o FIDO como exemplo. O FIDO tem um design muito bom. O protocolo é seguro, com uma verificação mútua de autenticidade em ambos os pontos de extremidade, do host ao servidor. Nesse caso, o hacker não examinará o protocolo; ele examinará a plataforma. Há algum ponto fraco na plataforma? É possível implementar o FIDO em várias plataformas: um telefone celular, um PC de mesa ou algo como uma chave iShield - uma chave de segurança FIDO baseada em um chip de cartão inteligente. Dependendo da implementação na plataforma, há diferentes possibilidades de ataque. Com um chip de cartão inteligente, provavelmente será o mais difícil de atacar. Ele oferece uma resistência muito forte a phishing; nem mesmo um teste de penetração funcionaria em um laboratório. Com um PC de mesa, depende do fato de ele ser implementado usando um TPM ou alguma outra tecnologia baseada em confiança, ou de ser uma implementação fraca. Se o invasor não puder atacar o esquema ou a plataforma, ele examinará o processo. Se o processo for fraco, até mesmo um dispositivo como esse pode ser comprometido. Por exemplo, se o dispositivo estiver vinculado a um PIN e você tiver que desbloquear a chave com esse PIN, se o PIN for compartilhado e um invasor tiver a chave, ele poderá usá-la. Portanto, é muito importante proteger o processo, o que também envolve o helpdesk e todo o processo de implementação da empresa. Se todas essas superfícies forem cobertas por medidas de segurança, você estará seguro. Mas não basta dizer: 'Usamos esquemas sem senha, como o FIDO, portanto, estamos seguros'. É preciso considerar o processo, a plataforma e o protocolo.

INGO SCHUBERT
As senhas ou a autenticação em geral representam uma grande vulnerabilidade diante da GenAI e da IA generativa? Rob, qual é a sua opinião sobre isso?

ROB HUGHES
Sim, mas talvez não da maneira que as pessoas imaginam. Não acho que a GenAI possa prever senhas melhor do que os scripts e sistemas que já existem. Trata-se mais de engenharia social: ela amplia esses recursos. Áudio, vídeo e mensagens de e-mail bem elaboradas ou tentativas de spear-phishing ganham um impulso. Isso é importante se os invasores estiverem procurando credenciais básicas ou até mesmo tentando enganar as pessoas para que forneçam credenciais do tipo MFA. É nesse ponto que vejo o maior impacto. Quando alguém tem essas credenciais, a IA também pode facilitar a localização de locais onde elas poderiam ser usadas, pois pode examinar muitas informações de uma só vez e fornecer feedback rápido.

INGO SCHUBERT
Portanto, há definitivamente um aumento no risco com o uso de ferramentas de IA. Tem algo a acrescentar, Paul?

PAUL MULVIHILL
Não, acho que o Rob já falou sobre isso. Isso facilita a vida de uma pessoa no aspecto da engenharia social. A IA pode reunir mais dados com mais facilidade. Em um mundo baseado em senhas, ela pode não ser capaz de informar a resposta diretamente a um invasor, mas provavelmente pode fornecer mais informações mais rapidamente para ajudá-lo a descobrir a resposta.

INGO SCHUBERT
Então, como a ausência de senha ajuda as organizações a se adaptarem às ameaças automatizadas em geral?

PAUL MULVIHILL
Os ataques automatizados, como os ataques de dicionário, são exemplos clássicos. Se você tiver um esquema sem senha, esse tipo de ataque não se aplica mais. Depende do que mencionei anteriormente: como o processo é implementado, qual é a força do protocolo e qual é a força da plataforma. Se o processo, o protocolo e a plataforma forem fortes, o escopo dos ataques automatizados se aproximará de zero. Por exemplo, com chaves de segurança FIDO baseadas em hardware, mesmo na era da IA, não há um único incidente conhecido em uma empresa que as utilize. Depende das circunstâncias e da implementação - em termos de processo, protocolo e plataforma - mas eu diria que os ataques automatizados não têm chance se você fizer tudo certo.

ROB HUGHES
Sim, talvez eu possa acrescentar algo a isso também. Com os ataques automatizados, e se você tiver um sistema sem senha, há algumas coisas a considerar também do lado do invasor. Há todos os tipos de kits de ferramentas por aí, uso de IA e outras coisas para tentar entrar e obter a identidade de alguém. Mas, com a ausência de senhas, qualquer um desses kits de ferramentas que dependem de senhas e foram arquitetados para mostrar uma solicitação de senha, começa a não fazer mais sentido para o usuário. Portanto, ao adotar a opção sem senha, você chega a um ponto em que... se não tiver senhas, o usuário recebe uma solicitação de senha e diz: "Isso é estranho. Talvez ele nem saiba qual é a senha dele nesse momento. Portanto, é como se fosse um tipo adicional de resistência a phishing, mesmo que você ainda não tenha chaves de acesso em todos os lugares, a parte cultural disso. Portanto, se pensarmos nos ataques automatizados, é mais difícil para eles fazerem esses ataques automatizados contra uma base de usuários sem senhas. E, é claro, a ausência de senhas exige algo, uma autenticação forte, portanto, alguma forma de MFA, que por si só, como ter MFA em todos os lugares, mesmo que ainda haja uma senha, ainda o ajuda contra ataques automatizados, certo? E, é claro, com a ausência de senha, isso já é um dado adquirido, toda a questão da MFA.

INGO SCHUBERT
Então, se você estiver conversando com uma organização que deseja iniciar sua jornada sem senha hoje, que conselho daria?
Eu aconselharia uma abordagem passo a passo. Comece com algo aplicável em um departamento ou em um determinado grupo da empresa. Execute um piloto, amplie-o e, em seguida, implemente-o quando já estiver funcionando há algum tempo. Vejo regularmente projetos como esse. Executamos um piloto, o expandimos e, em seguida, analisamos juntos como implementá-lo nas várias entidades organizacionais. Isso funciona muito bem e recebemos um feedback muito positivo dessas implementações nas empresas.

ROB HUGHES
Acho que o conselho do Alex foi ótimo. Tudo se resume a planejar, fazer e decidir por onde quer começar. Faça isso de forma metódica. Não se trata de um conjunto de tecnologias tão exóticas que mude a forma de implementá-las. Ele usa muitas tecnologias com as quais os usuários já se sentem confortáveis: Face ID em smartphones, impressões digitais em laptops e ter um telefone por perto para usar a câmera e ler um código QR. Essas coisas não são mais esotéricas.

PAUL MULVIHILL
Muito simples. Não há muito mais que eu possa acrescentar ao que Alex e Rob disseram. Ter opções e passo a passo. Sempre haverá alguém que vai recuar, mas se você tiver opções e souber por onde está começando, então... Provavelmente, você já fez 90% do trabalho de base para colocar um bom plano em prática.

INGO SCHUBERT
Certo. E se eu puder acrescentar algo, é a minha velha implicância: descubra o que você tem e onde está hoje. Mapeie seu cenário de segurança e seu cenário de aplicativos. Descubra quais aplicativos existem, quais dependem de uma senha e quais não podem ser eliminados tão cedo. Haverá muitos que você pode mover. Priorize-os, implemente-os e obtenha alguns ganhos rápidos, para que possa justificar o orçamento que receberá para o projeto à gerência sênior.
A autenticação sem senha representa um avanço significativo, mas não é uma solução milagrosa. A remoção das senhas reduz o risco, mas uma segurança de identidade forte ainda depende de contexto, controle e confiança contínua. Se há uma conclusão a ser tirada da discussão de hoje, é a seguinte. A ausência de senhas eleva o padrão, mas é a ampla estratégia de identidade em torno dela que determina o grau de segurança que você realmente tem.
Obrigado por participar conosco deste episódio do RSA Identity Unmasked. Se você achou a discussão valiosa, inscreva-se para futuros episódios, pois continuaremos explorando as questões que moldam a segurança de identidade. E, para obter mais informações e recursos, acesse rsa.com. Alex, Rob, Paul - muito obrigado.

PAUL MULVIHILL, ROB HUGHES, ALEX SUMMERER
Obrigado a você. Obrigado por nos receber.
Episódio 3: Segurança de identidade no setor de saúde

Neste episódio, veremos o retorno de Ingo Schubert, Jon Nicholas e Paul Mulvihill enquanto nos aprofundamos em um dos setores mais sensíveis quando se trata de segurança de identidade: o setor de saúde. Junte-se a nós enquanto nossos convidados falam sobre a complexidade do acesso, os dispositivos compartilhados, o gerenciamento do ciclo de vida e os desafios de autenticação em ambientes clínicos e como enfrentá-los de frente.

Transcrição do vídeo
INGO SCHUBERT
Bem-vindo de volta ao RSA Identity Unmasked. Hoje falaremos sobre um dos setores mais interessantes e de maior risco da segurança de identidade, que é o setor de saúde. Hoje, estou acompanhado novamente por Paul e John, e vamos analisar os desafios, os casos de uso e as práticas recomendadas. Vamos começar. Então, por que o setor de saúde é um ambiente tão especial para a segurança de identidade?

JON NICHOLAS
Vou começar se você quiser, Paul. Você quer começar?

PAUL MULVIHILL
Com certeza!

JON NICHOLAS
Acho que uma coisa que sempre falamos sobre o setor de saúde e é um dos primeiros tópicos que surgem é a pilha técnica que eles têm e, principalmente, a infraestrutura legada. Uma das maiores áreas a serem protegidas do ponto de vista da identidade, porque talvez não tenham os ganchos para os serviços modernos de MFA. Portanto, a tecnologia proprietária legada é um grande desafio em um setor como o de saúde, e o NHS é um excelente exemplo no Reino Unido.

PAUL MULVIHILL
Muitas vezes, todos conhecemos o NHS, mas ele é composto de várias organizações menores sob o mesmo guarda-chuva, o que não significa que haja um pote enorme para apoiar a infraestrutura de TI. Pode ser que cada pequeno fundo tenha suas próprias responsabilidades e, portanto, não possa obter o que há de melhor e mais recente porque não tem orçamento para isso. Se fosse uma coisa grande, possivelmente, mas o mundo não funciona assim, infelizmente, até certo ponto. Portanto, há os desafios de como cada um deles pode garantir que tenha o que há de mais moderno e melhor, quando não podem, porque têm sistemas legados, precisam lidar com a migração ou a manutenção, o que acrescenta desafios adicionais de como chegar a um sistema moderno

INGO SCHUBERT
Certo. E acho que, bem, é claro, é diferente na Alemanha, por exemplo. Acho que não é tão diferente nesse contexto, certo? Você sabe, organizações diferentes, muitos aplicativos legados. Então, acho que, para ser justo, você provavelmente encontra isso em toda a Europa ou talvez até mesmo em todo o mundo em muitos lugares, certo?

PAUL MULVIHILL
E falamos sobre o sistema legado, se você tem algo que funciona e as taxas de erro dele, portanto, se você está lidando com a saúde de alguém, você tem um sistema que testa algo, ele funciona. Você não vai simplesmente decidir mudá-lo porque ele pode ter dois anos de idade. Você vai aplicar esse financiamento em algo que é uma área nova. Portanto, sim, pode ser um legado, mas isso não significa que seja velho, antiquado e desatualizado. Significa apenas que, quer saber, ele funciona. Há coisas mais importantes a serem observadas.

INGO SCHUBERT
Não toque em um sistema em execução. Então, o que torna o acesso, o controle e a autenticação tão desafiadores nesse ambiente?

PAUL MULVIHILL
Provavelmente direi que é uma espécie de mistura de vários trusts. Como você, se todos estão operando de forma independente, mas têm uma força de trabalho que pode pular entre fiduciários porque estão cobrindo uma área mais ampla, como você configura um sistema fácil de usar que será, por exemplo, eu trabalhando em um lugar um dia, em outro, em outro, que é um fiduciário diferente, outro, outro, outro fiduciário. Existe um sistema central que gerencia tudo isso? É possível que não. Será que vou voltar para algum lugar ou vou fazer isso um dia por ano em outro lugar? Esse tipo de número de sistemas que você está tentando gerenciar e proteger do ponto de vista da identidade aumenta exponencialmente a complexidade. Estou em 50 sites, são 50 sistemas? São 5, é um? Dimensione isso em todo o país e você estará apenas adicionando camadas de complexidade por vários motivos.

JON NICHOLAS
Sim, e acho que é essa contagem de usuários. É a conta de usuário que, às vezes, é muito difícil de neutralizar, porque há médicos que prestam serviços médicos de primeira linha e que podem ser, é claro, muito bons no que fazem, mas não são especialistas em segurança cibernética. Há toda uma equipe de apoio ao NHS, por exemplo, que faz toda a logística, o planejamento e a parte administrativa. Agora, alguns deles podem ser capazes de usar, você sabe, autenticar um, como um autenticador móvel, mas outros talvez estejam na enfermaria ou, você sabe, em ambientes mais seguros, mas sabemos que você não pode usar isso. É preciso ter outra coisa, como um token físico para
fazer sua autenticação. Portanto, você não tem apenas uma força de trabalho gigante, mas também vários casos de uso em termos de como eles podem se autenticar. E então, você sabe, mencionou o celular, mas algumas pessoas podem nem mesmo ter um celular que queiram usar. Então, imediatamente, você tem três, quatro, cinco casos de uso diferentes apenas para colocar cinco pessoas em um sistema.

INGO SCHUBERT
Portanto, clínicos, equipe temporária, turnos rotativos, tudo isso complica imensamente as coisas. Então, o que você acabou de dizer. Então, do meu ponto de vista de gerenciamento de identidade, posso ver por que isso é um pouco desafiador em comparação com uma força de trabalho corporativa bastante organizada, sim, em que se trabalha das nove às cinco. Sim, você pode ter fusos horários diferentes, mas isso basicamente aumenta o tempo até as 11 horas, essencialmente.

PAUL MULVIHILL
Sim, você pode ter uma grande empresa que tenha, digamos, 50 ou 100 departamentos diferentes, ao passo que, no setor de saúde, você pode ter um grande órgão que é o setor de atendimento, mas que pode ter 50 ou 100 empresas separadas dentro dele, todas com suas especialidades e que precisam ser autônomas na forma como trabalham, mas ainda assim trabalham com outras entidades dentro desse mesmo espaço. E se você tiver algum problema com uma delas, quais são os efeitos colaterais?

INGO SCHUBERT
Então, em termos de, é claro, você sabe, temos esse programa de TV dramático, como se tudo tivesse que ser rápido, sim, mas isso é uma coisa, sim, não estamos desacelerando as coisas, acho que isso é parte do desafio aqui, mas não é só isso, ei, você sabe, alguém entra correndo na sala de emergência e as coisas precisam andar rápido, é também porque você tem uma força de trabalho limitada, eles precisam ser muito eficientes, o que também significa que, sim, a segurança não pode desacelerar as coisas por causa disso.

JON NICHOLAS
Apenas com relação a esses grandes desafios, se falarmos sobre isso do ponto de vista da governança, do ponto de vista do menor privilégio, você não gostaria de dizer, certo, precisamos que todos tenham apenas os privilégios para desempenhar sua função, por exemplo. Mas o desafio é que, se você fizer essa alteração, talvez por engano, você retire algumas permissões deles. E agora ele não pode operar aquele equipamento ou máquina essencial na enfermaria que vai ajudar a salvar a vida de alguém. Portanto, a precisão da tomada de decisões para aplicar uma solução IGA, por exemplo, tem que ser absolutamente precisa. Portanto, a capacidade de fazer mudanças nesse ponto provavelmente passará por camadas e camadas de tomada de decisões, o que torna o processo lento. Porque a última coisa que queremos fazer é dizer, certo, vamos implementar esse fluxo de trabalho e agora alguém não pode salvar uma vida para ir ao exemplo mais extremo ou administrar algo da farmácia.

INGO SCHUBERT
Mas, ao mesmo tempo, especialmente com a governança de identidade, é claro que há, você sabe, a solução rápida nesse caso, que, obviamente, não é, apenas dar a todos mais direitos de acesso, basicamente, mais direitos que eles normalmente teriam. Essa é uma abordagem válida? Isso é um bom compromisso? Não, acho que sim, certo?

PAUL MULVIHILL
Sim, porque se uma pessoa for hackeada, uma conta for comprometida e ela tiver permissão demais, o que acontecerá? Você pode entrar e o zelador, que recebeu tudo porque é funcionário de um hospital, pode entrar no sistema da farmácia e ter acesso à medicação ou à alteração dos registros do paciente. Certo. Mas, como Jon estava dizendo, há tantas ramificações em potencial ao fazer uma mudança na aplicação de uma política ou na aplicação de um caminho mínimo de permissões, que é quase uma paralisia do risco. Eu poderia implementar essa política que remove as permissões para X, Y e Z. Se você não tiver certeza absoluta, já fez a análise de, certo, isso afeta 50 pessoas, essas 50 pessoas acessaram esse recurso? Se uma delas acessou, você precisa continuar analisando mais. Essa pessoa precisa receber permissões especiais? Se nenhuma delas tiver acessado, e você tiver monitorado por tempo suficiente, tudo bem, então sim, você poderia aplicar a lei, bem, vamos tirar isso. Mas há o medo de que, se eu retirar algo, ocorra aquele cenário que nunca pode ser planejado no setor de saúde. Você pode tentar adivinhar muitas coisas, mas nunca pode planejar uma emergência em que precise de algo. Eu removi essa permissão. Agora, esse cenário surgiu quando essa enfermeira, esse médico ou alguém precisava fazer algo e, de repente, não pode.

INGO SCHUBERT
Não se trata apenas de operar máquinas. Também pode ser como acessar dados em algum lugar, certo? Nós, registros de saúde, por exemplo. Portanto, entendo que, em uma empresa normal, isso pode ser ruim se alguém tiver poucos direitos. Ela não consegue fazer seu trabalho, mas faz uma solicitação e ela é aprovada. É como se, sim, fosse ruim. Pode ser que atrase algumas horas, talvez no dia seguinte, mas, sabe, não é o mundo, ao passo que em um ambiente de saúde, isso literalmente pode significar um grande problema. E, sabe, pode não ser feito no minuto certo, mas pode significar que alguém não receba o atendimento de que precisa quando precisa.
PAUL MULVIHILL
Se for uma empresa e alguém tiver acesso aos dados, talvez alguém faça um pedido em um cartão de crédito que pode ser corrigido com os cartões de crédito ou um pedido é cancelado. Quero dizer, alguns desses efeitos são bonitos, não muito graves, mas se for na área da saúde, alguém altera seus registros médicos. Alguém compartilha detalhes que não deveriam ser compartilhados. Há muito mais ramificações sobre o que pode acontecer. Ou o vazamento de informações que podem realmente ter efeitos de longo prazo sobre você. Como você disse, pode ser que algum medicamento do qual você depende seja interrompido. Você está perto do fim da prescrição desse medicamento e, na verdade, eles removem os detalhes quando você tem que passar por toda a reavaliação do que, de fato, eu preciso dele, retardando-o ainda mais, atrasando-o, o que tem mais efeitos colaterais. Esse é um dos setores em que, o que pode parecer uma pequena mudança na empresa e no setor privado de saúde, os problemas e as ramificações são potencialmente 10, 20, 30 vezes maiores.

JON NICHOLAS
Sim, e com relação a esses tipos de números, quando você analisa uma violação de dados nesse tipo de cenário, os registros médicos são extremamente valiosos quando negociados na dark web, mais do que os detalhes do cartão de crédito, por exemplo, e uma das áreas em que eles podem ser usados seria como fraude de seguro, que pode acarretar uma enorme compensação monetária, suponho que, se alguém fizer essa solicitação, conhecer seu histórico médico, poderá fazer o seguro em seu nome e isso é incrivelmente lucrativo. Portanto, é nesse ponto que os invasores querem entrar. Esperamos, diz ele, que eles não queiram, sabe, arriscar a vida de ninguém, mas a recompensa financeira de ter esses registros médicos e, em seguida, usá-los para obter ganhos financeiros é o que eles buscarão.

INGO SCHUBERT
Ou seja, essas informações seriam perfeitas para um invasor realizar um ataque de caça submarina contra alguém. Se você já conhece detalhes médicos, sim, isso apenas aumenta o nível de confiança, o que o torna mais suspeito para esses tipos de ataques, certo? Ou simplesmente, você sabe, eu não sei, chantagem ou algo assim. Sim, há muitas coisas que poderiam ser feitas com esses registros, certo? Então, sim, posso ver isso. Então, voltando à prática, o que acontece, por exemplo, em um hospital? Qual é o fluxo de trabalho típico de autenticação pelo qual alguém precisa passar?

JON NICHOLAS
Não sei se eles seriam típicos.

INGO SCHUBERT
Bem, tudo bem.

JON NICHOLAS
Falamos sobre os sistemas, mas o que eles devem fazer? Talvez essa seja a pergunta, mas sempre deve haver uma etapa de MFA com um processo adicional no back-end, processo adicional no back-end, você sabe, você pode aproveitar o acesso condicional quando estamos falando do ponto de vista do IAM, você pode aproveitar, vou dizer, pode aproveitar a IA para entender se aquele usuário é o usuário certo no momento certo e fazer isso dinamicamente, em vez de os administradores tentarem juntar políticas de acesso condicional com base em uma base de usuários tão vasta e em uma pilha de tecnologia tão vasta, então, sim, use as ferramentas a seu favor e sempre tenha alguém fazendo o step-up quando estiver realmente em registros críticos.

INGO SCHUBERT
Então, uma coisa que notei nesse setor, acho que o mais próximo que vejo talvez seja a fabricação no chão de fábrica, são os dispositivos compartilhados. Isso parece ser, não diria a norma, mas uma quantidade desproporcionalmente alta de dispositivos compartilhados. Como lidamos com isso?

PAUL MULVIHILL
Bem, sim, você tem uma força de trabalho em turnos de, digamos, 8 horas, você não terá todos os dias uma pessoa em uma função com seu próprio dispositivo, então você terá um dispositivo compartilhado por pelo menos 3 pessoas e, em casos prováveis, compartilhado por 5, 6, 7, pois pode ser um terminal em um posto de enfermagem, esse tipo de coisa. Qual é a melhor maneira de protegê-lo? Quero dizer, você colocará algum tipo de credencial no nome de usuário e na senha. Quero dizer, tenho visto pessoas com pequenos tokens OTP, tokens de hardware, porque eles são difíceis de matar. Eles são muito resistentes. Mas será que isso é suficiente? Porque é uma senha de uso único. É preciso que alguém entre em um computador, faça login e use a senha. Mas elas foram testadas e comprovadas. As pessoas sabem como usá-las e há muitas pessoas nesse setor que poderiam conversar com qualquer um de nós sobre o corpo e como a área do corpo delas funciona, dar a elas uma chave FIDO e pedir que se acostumem a usá-la ou um celular com biometria push to approve, é uma área completamente diferente para elas pensarem, é uma espécie de zona de conforto e seu conhecimento técnico está aqui. Mas então estamos tentando dizer, bem, para usar isso. Você precisa acrescentar todos esses outros elementos.

INGO SCHUBERT
Além disso, acho que, mais uma vez, não é tão diferente de outras áreas em outros setores em que, por exemplo, não se pode levar um telefone celular para todos os lugares. Há lugares em que não é permitido levar smartphones ou dispositivos inteligentes, ponto final, seja por motivos de privacidade, porque tenho câmeras ou, sei lá, como, por exemplo, não é permitido ter uma conexão Wi-Fi em algum lugar porque isso atrapalha outras máquinas. Então, sim, você precisa de opções, sim. Além disso, como o gerador de OTP, você pode mergulhá-lo em desinfetante, se quiser.

PAUL MULVIHILL
Sim. Quer dizer, eu estava conversando com um cliente outro dia, e ele tem exatamente esse tipo de situação, bem, não é médica, mas é um cenário em que não há telefones celulares. O ambiente físico é fechado em termos de segurança. Então, sim, eles têm o token de hardware com os códigos de passagem de uso único ou usam as chaves Fido. Alguns dos novos tokens, como o RSA iShield, incluem o FIDO sem contato e elementos desse tipo. Assim, enquanto no passado era possível usar o nome de usuário, a senha e a senha de uso único ou usá-los na senha. Você pode ir a um computador, usar o nome, tocar nele, colocar o PIN e pronto.

INGO SCHUBERT
É isso aí.

PAUL MULVIHILL
É a aceleração dos nossos processos. E há outras áreas em que isso também está avançando, onde pode ficar ainda mais simples no futuro. Quero dizer, alguns elementos do FIDO e das chaves de acesso podem reter, de certa forma, começam a aprender um pouco sobre quem são, para que você possa associá-los a uma pessoa. Assim, em um futuro próximo, basta entrar com uma chave FIDO e colocá-la na máquina.

INGO SCHUBERT
É claro que, se você tiver esse toque NFC, haverá menos problemas de usabilidade. Você não precisa ler algo e tocar em algo novamente, o que pode dar errado se você ler os números certos e errados ou se tiver os números certos e tocar neles de forma errada. Portanto, esse problema foi eliminado.

PAUL MULVIHILL
E se você tiver alguém com problemas de visão, ler isso em uma pequena tela que gira pode não ser fácil. Então, novamente, é NFC.
INGO SCHUBERT
Estou vendo isso.

PAUL MULVIHILL
Qualquer pessoa, em qualquer setor, pode se beneficiar desse elemento.

JON NICHOLAS
Provavelmente, um dos setores mais críticos é equilibrar segurança e conveniência, pois não queremos retardar o fluxo de autenticação e o fluxo de acesso das pessoas, provavelmente quando elas estão com pressa para fazer algo muito importante, portanto, segurança e conveniência ao mesmo tempo serão fundamentais.

INGO SCHUBERT
Portanto, ter vários métodos de autenticação é importante, não apenas para um usuário, pois pode haver usuários que tenham vários métodos, mas porque todos os tipos de funções são diferentes, como se sabe, certo? Portanto, não existe um tipo que sirva para todos.

PAUL MULVIHILL
Sim.

JON NICHOLAS
Absolutamente não. Certamente em uma organização desse porte.

PAUL MULVIHILL
Como você mencionou sobre as diferentes funções, você volta ao lado da governança para garantir que cada pessoa desempenhe sua função e que você tenha mapeado adequadamente o que ela pode fazer. Uma enfermeira e um hospital terão um conjunto de coisas que devem ser capazes de fazer, um médico, outro porteiro ou alguém na recepção. Provavelmente, eu nem conseguiria listar o número de funções diferentes que existem e todas elas têm requisitos diferentes e direitos de acesso diferentes. Portanto, você precisa ter certeza de que pode mapear isso e dizer, certo, ok, essa pessoa tem essa função e garantir que o processo de governança em vigor e os sistemas de ciclo de vida em vigor digam, certo, ok, essa é a sua função, isso é o que você pode ter e, em seguida, mapear isso de volta para um método adequado para que você possa fazer o seu trabalho sem gastar 20 minutos por dia fazendo MFA, talvez uma ou duas vezes por dia e, em seguida, talvez aproveitar um pouco do lado da IA e algumas análises comportamentais para dizer, certo, eu entrei, Estou no computador que estou sempre ligado, estou acessando o recurso que estou sempre acessando, faça isso uma vez e estou dentro, continue.

INGO SCHUBERT
Então, permanecendo no lado da governança, no lado da governança de identidade, como e por que, por exemplo, a alavanca de união, por que isso é tão importante no ambiente de saúde?

JON NICHOLAS
Acho que quando analisamos, mais uma vez, mencionei muito a escala, mas vemos, e o Paul mencionou isso, que as pessoas podem se deslocar entre trusts, mas dentro de um trust também, você se desloca entre funções, provavelmente com regularidade. Portanto, a escala de seu processo JML, quero dizer, dezenas, centenas de milhares de alterações por dia. Portanto, estar em cima disso do ponto de vista automatizado será fundamental. E não apenas automatizá-lo, mas também ter a linha do tempo certa. Você sabe, você vai mudar de função daqui a três dias, certo? Isso está no sistema. Três dias depois, você muda da função A para a função B, o que é feito automaticamente no back-end. E você sabe a função para a qual está indo, ou o sistema sabe a função para a qual você está indo e sabe as permissões de que você precisa, e não um caso em que eu tenha que falar com o seu gerente e dizer ‘ei, o Ingo vai se juntar à sua equipe na próxima semana, o que ele deve ser capaz de fazer’, mas sim um caso em que o Ingo se juntou à equipe e pode fazer tudo o que precisa fazer desde o primeiro dia.

INGO SCHUBERT
E isso também significa que a função A não estará mais comigo se eu mudar de trust, é claro, certo?

JON NICHOLAS
Sim, sim.

INGO SCHUBERT
Portanto, esse acúmulo de direitos ou de tempo, que acho que todos nós já vimos em nossas carreiras em algum momento, é

JON NICHOLAS
Expansão da identidade, se preferir.

INGO SCHUBERT
Sim, sim.

PAUL MULVIHILL
Para complementar o que Jon estava dizendo, se você estiver pulando de um site para outro e de um trust para outro e de uma função para outra, essa conta que foi criada para você no site A, se você não voltar por três, quatro, cinco semanas ou até mesmo por dois ou três dias, com o lado do ciclo de vida e o elemento de alavancas, você pode desativar essa conta instantaneamente. Assim, você não tem o cenário de conta órfã em que essa conta existe, tem um nível de permissões. Ela só está lá sem ser usada, o que significa que é outro vetor de ataque. Assim, alguém não pode entrar e, em seguida, entrar na esfera dos ataques de ransomware a fundos e todo esse tipo de coisa. Você simplesmente bloqueia isso porque não estará aqui novamente. Se você voltar em dois dias, em dois dias o sistema o ativará novamente.

INGO SCHUBERT
Certo.

PAUL MULVIHILL
Até esse momento, não é uma opção. Ela está desativada. Não pode ser usada.

INGO SCHUBERT
E a visibilidade que vem com isso, quero dizer, obviamente o sistema sabe, você sabe, quais funções você tem, quais funções você terá, as funções que você teve. Acho que, e me corrija se eu estiver errado, mas se você for auditado, essas informações e essa visibilidade parecem ser muito úteis.

PAUL MULVIHILL
Você teria um histórico completo de quem poderia fazer o quê e em que momento. Portanto, se algo acontecer do ponto de vista da auditoria, você segue esses critérios de auditoria? Sim, aqui está a prova. Se você tiver um tipo de plataforma central de governança, tudo estará lá. Assim, você pode saber, certo, sim, estamos bem, sem problemas. E na eventualidade de, bem, na rara ocorrência em que algo aconteça, você poderá usar o mesmo conjunto de dados para dizer, certo, quem teve acesso a esse material naquele momento? Dependendo do tipo de registro adicional que você pode obter no ecossistema, você pode dizer, certo, bem, essas contas talvez tenham feito algo, mas você pode dizer, certo, bem, quem teve acesso a isso? Quem poderia ter feito alguma coisa.

INGO SCHUBERT
Isso ajuda nas investigações. Se as coisas acontecerem, quero dizer, como um bom engenheiro de segurança, você sempre supõe que as coisas acontecerão, que eventualmente haverá uma violação. Isso também o ajuda, durante o processo de limpeza, a ver o que acontece, quem foi afetado.

PAUL MULVIHILL
Você sempre presume que algo é possível de ser violado. Por isso, você coloca o maior número possível de etapas, verificações e balanços para minimizar o impacto disso, a menos que você pegue o computador, desconecte-o, coloque-o em uma caixa de cimento e jogue-o na trincheira de Areana ou algo assim, isso não acontecerá. Portanto, é preciso investir o máximo possível para que, se ou quando algo acontecer, o impacto seja o menor possível sobre o andamento das coisas.

JON NICHOLAS
Sim, acho que, para acrescentar a isso, se analisarmos os dados obtidos com uma abordagem do tipo governança, não se trata apenas de fornecer informações aos auditores. Acho que você também está analisando se podemos entender o que temos atualmente. Portanto, a maturidade do processo. Falo muito sobre o processo nessas sessões, mas você sabe, você olha para uma equipe, olha para seus direitos de função. Você diz, espere aí, ninguém nessa equipe usou esse direito por seis meses, um ano, seja qual for o período de tempo que você definir, e o sistema deve dizer que ele não foi usado. Vamos dar uma olhada na remoção desse direito, porque esse é um direito a mais, e pode haver uma razão muito boa para que eles não o utilizem mais. Talvez haja um sistema paralelo que eles estejam usando para fazer essa parte da carga de trabalho. Portanto, você terá isso no novo sistema, retirando-o do antigo. Mas você precisa dessa inteligência automatizada para realmente ajudá-lo a descobrir essas informações, porque, caso contrário, você estará fazendo auditorias manuais completas e eu não sei o que você usou no sistema nos últimos seis meses, mas o sistema saberá como você o usou. Portanto, use essa inteligência para dizer, certo, vamos tomar decisões informadas sobre como trabalhar em direção à confiança zero ou ao privilégio mínimo.

INGO SCHUBERT
Sim, é aqui que o privilégio vem à mente.

PAUL MULVIHILL
Então, como você disse, você pode começar a ver onde esse privilégio de permissão específico não estava sendo usado. Bem, na verdade, 80 % da equipe têm feito isso, mas não faz parte de sua função oficial. Será que precisamos acrescentar isso para que possamos garantir que toda a equipe possa fazer isso porque precisa, em vez de 8 em cada 10 dizerem individualmente: "Sim, posso ter acesso ao sistema B, por favor, porque preciso dele para fazer X"?.

INGO SCHUBERT
Gerenciar por exceção, essencialmente, sim. Limpá-lo, sim.

PAUL MULVIHILL
Vamos pensar, bem, na verdade, 80 % deles estão usando. Vamos torná-lo oficialmente parte da função para que possamos aderir a essas auditorias e à conformidade, e isso significa que, certo, sim, essa equipe precisa disso. Faz parte de sua função. Se outra pessoa entrar ou sair, desativamos esse acesso porque faz parte da função que ela desempenha, ou o concedemos à nova pessoa que também está desempenhando essa função, apenas para manter tudo alinhado e a visibilidade de que é isso que essas pessoas podem fazer.

INGO SCHUBERT
Então, o que você diria a um CIO, um CIO do setor de saúde, por onde ele deveria começar? Porque, sabe, há tantas coisas que eles poderiam começar, mas como uma pequena lista de prioridades, talvez, o que você diria a eles?

JON NICHOLAS
Acho que eu os incentivaria, e eles já estão analisando isso, mas as verdadeiras razões para isso é ter um foco real na resistência ao phishing. Acho que é por aí que eu começaria, porque muitos serviços de saúde dependem do e-mail como seu principal método de comunicação. E sabemos que esse é um vetor de ataque realmente vulnerável para a pesca. E não apenas isso, mas aqueles que estão consumindo esses sistemas estão trabalhando em ambientes de alta pressão. Sabe como é, eles estão se conectando, precisam fazer algo rápido, os e-mails chegam, eles conseguiram chegar no momento certo, sim, passam por tudo em pânico. Não em pânico, mas em um fluxo normal e, inadvertidamente, liberam suas credenciais e dados para esse site de phishing. Portanto, levando em conta a autenticação de resistência a phishing, vamos apenas dizer que, desde o início, é principalmente porque se trata de um setor de comunicações por e-mail muito focado, que é certamente onde eu analisaria.

PAUL MULVIHILL
Eu provavelmente concordaria que você começasse com essa parte de resistência a phishing. A próxima coisa seria a visibilidade do que a sua força de trabalho pode fazer, então, talvez um pouco atrás, mas paralelamente, a questão de proteger a porta da frente, certificar-se de que as abordagens de resistência a phishing estejam em ação, mas, em seguida, ter algum tipo de ferramenta de visibilidade de governança em execução para dizer: "ok, quem existe, quais contas existem, o que elas podem fazer", não fazer alterações, mas literalmente apenas coletar todas essas informações para começar a ver realmente qual é a situação que temos com contas e permissões. O que é usado, o que não é, quem pode fazer o quê, quem não pode fazer o quê. Porque, depois de obter os dados, você pode começar a dizer: "Certo, essas são as alterações que posso fazer e que não têm nenhum efeito no início, porque ninguém as está usando". Mas, da mesma forma, que mudanças preciso fazer para capacitar uma equipe a fazer seu trabalho com mais eficiência no futuro.

INGO SCHUBERT
Bem, obrigado, pessoal. Foi um insight muito bom sobre segurança de identidade em sistemas de saúde. Se você gosta desse tipo de discussão, não deixe de se inscrever para ser notificado quando lançarmos um novo episódio. Este foi o RSA Identity Unmasked. Até o próximo mês.
Episódio 2 - Riscos de ataque ao Help Desk

Junte-se a Ingo Schubert, John Nicholas e Paul Mulvihill, da RSA, para discutir um vetor de ataque de alto perfil: os ataques a help desk. Os participantes do painel detalham como os criminosos cibernéticos atacaram a Marks and Spencer, a Jaguar, a Co-Op e outras empresas, explicam por que as soluções de autenticação anteriores não são capazes de impedir esses ataques e analisam soluções que podem ajudar os ataques a desktops antes que eles comecem.

Assista agora para saber mais:

  • Por que os help desks são os principais alvos de ataques cibernéticos
  • Como a MFA pode ajudar a evitar ataques ao help desk - e onde ela deixa a desejar
  • Como as redes sociais levam a ataques de engenharia social
Transcrição do vídeo
INGO SCHUBERT: Bem-vindo ao RSA Identity Unmasked. Hoje, falaremos sobre um assunto que muitas vezes é negligenciado: a segurança do help desk. Hoje, estou acompanhado por John e Paul, e falaremos sobre casos reais, os riscos e os controles que ajudam a mitigar esses riscos.

Por que o help desk está se tornando um alvo tão grande? Comece com esta.

JON NICHOLAS: Sim, fico feliz em participar. Acho que quando você vê a função de um help desk, a primeira coisa que eles querem é ajudar as pessoas. Portanto, qualquer pessoa que ligar para o help desk aproveitará a boa natureza do administrador do help desk para dizer: "Ei, você pode me ajudar com alguma coisa? Portanto, tudo bem quando você é funcionário de uma empresa, eu realmente preciso de ajuda. Mas quando você é um ator ameaçador ligando para a empresa, eles podem rezar e dizer, certo, essa pessoa está disposta a me ajudar. E isso é realmente exagerado se houver um processo deficiente dentro da organização, porque o administrador do Help Desk não está mais limitado pelo processo para dizer: "Só posso fazer X, Y, Z." Ele pode ir além desses limites e dizer: "Vou tentar ajudá-lo a fazer ABC também". Esse é um risco real para o help desk, que pode ser explorado quando não há um processo sólido.

PAUL MULVIHILL: Além disso, em alguns help desks, os KPIs são: "Tenho que fechar, alguém liga, tenho que fechar o tíquete, tenho que resolver o problema". E essas são todas as coisas que, se você não estiver disposto a fazer, eu vou usar. Se você quiser fechar um tíquete, eu telefonei, você criou um, farei o que puder para que você me forneça as informações que eu quero e supere os processos que podem ou não estar em vigor.

INGO SHUBERT: Sim, acho que se você já trabalhou no help desk - eu trabalhei brevemente -, quero dizer, as estatísticas deles, quantos tíquetes estão abertos, o tempo médio de fechamento de um tíquete e tudo isso e, às vezes, está em um monitor grande, então, acho que isso cria um ambiente de alto estresse que é perfeito para ataques de engenharia social. Certo, sim, sim. Isso realmente mudou recentemente, por exemplo, o que mudou para que essa seja agora uma rota de ataque privilegiada?

PAUL MULVIHILL: Provavelmente, já é um ataque a uma rota há algum tempo, mas, obviamente, o assunto tem aparecido muito mais nas notícias ultimamente. Tivemos a cooperativa de Mark Spencer, a JLR, a Jaguar e a Land Rover nos últimos 12 meses. Todas elas foram atingidas, em parte, porque os help desks foram visados. Alguém conseguiu convencer uma pessoa a lhe fornecer as credenciais de uma conta, entrou e depois não conseguiu fazer nada de bom, mas basicamente.

JON NICHOLAS: Sim, e eu me pergunto qual é o papel da TI terceirizada nesse caso, porque não são mais apenas os funcionários da organização A que dependem de terceiros, e sempre falamos sobre terceiros para riscos anteriores no setor. Talvez haja um tipo limitado de conhecimento nesse aspecto também.

INGO SHUBERT: Certo. Sim. Isso e, claro, se eles não conhecem a cultura da empresa, sim, eles estão lidando com isso.

PAUL MULVIHILL: Bem, se você tem, como disse, um help desk terceirizado, você pode conhecer o procedimento, mas não conhece as pessoas. Certo. Então, o que você pode colocar em prática para dizer: "Tudo bem, estou ligando para você? Nunca nos encontramos antes. Nunca estivemos em um escritório antes.

INGO SHUBERT: Como isso poderia acontecer, por exemplo, em um ataque real? Quero dizer, qual é um ataque típico nesse caso? O que o invasor tenta alcançar? E como ele faz isso?

PAUL MULVIHILL: Pode ser, eu acho, desde tentar redefinir uma conta até obter ajuda para entrar em uma rede VPN. Quer dizer, vivemos em um mundo em que há muita mídia social em torno do que as pessoas fazem. Tenho amigos que basicamente publicam sua vida nas redes sociais por vários motivos. Alguns fazem sentido, outros não. Portanto, se você quisesse saber mais sobre alguém, provavelmente poderia começar a rastrear fontes e reunir muitas informações. Então, você liga para um help desk e pode ter descoberto onde alguém nasceu ou o nome de um animal de estimação, tudo isso, aquilo e aquilo outro, de modo que você possa dizer, certo, bem, preciso redefinir a senha. Quais são as etapas hoje para saber, quais são as etapas hoje para você saber quem eu sou, quem eu digo? Provavelmente, perguntas de segurança.

INGO SCHUBERT: Certo. Então, é basicamente uma combinação de algum conhecimento prévio que o invasor tem, seja de redes sociais. Eu sei que poderia ser um ataque diferente, talvez, ou dados que eles compraram de um corretor de dados, ilegal ou não. E, então, combinado com esse ambiente de alta pressão do qual falamos no início, parece ser um alvo muito bom e suculento para os invasores, certo?

JON NICHOLAS: Sim, além disso, também falamos muito sobre pesquisar a pessoa que se deseja imitar, mas acho que, com as ferramentas atuais disponíveis para todos nós, podemos dizer: "O que a empresa X usa em sua infraestrutura de TI? Como é a pilha de tecnologia deles? Assim, quando estiver conversando com o help desk, você poderá ser mais confiável. Não se trata de posso ter acesso à VPN. É como, oh, a VPN da Palo Alto não está funcionando para mim. Você pode me ajudar com isso? Então, instantaneamente, eles estão pensando, isso é mais familiar.

INGO SHUBERT: Eu ia dizer que, nesse caso, parece que você, como atacante, parece mais familiar, o que significa que você é um de nós, sim, então posso confiar mais em você com um help desk terceirizado, sim, você é quase um deles porque, no final, você não faz parte da empresa.

PAUL MULVIHILL: Assisti a um vídeo sobre uma das convenções, não faz muito tempo, e havia uma pessoa que era paga para hackear empresas por meio do help desk. No vídeo, ele obtinha acesso aos sistemas de help desk em cerca de 30 segundos, porque basicamente ligava e conseguia falsificar o número de telefone para parecer que era da empresa, de modo que as pessoas do help desk pensavam instantaneamente: "Ah, eles são internos". E então eles os convenceram, fazendo perguntas sobre - fingindo ser o usuário ou tendo informações sobre os sistemas VPN, o que eram, para que eles os ajudassem a acessar um site, o que, na verdade, lhes deu acesso backdoor ao computador em que a pessoa estava.

INGO SCHUBERT: Então, isso é basicamente confiar em evidências para autenticação. É mais como, você sabe, uma sensação agradável, calorosa e confusa que o invasor gera. Isso é, quero dizer, o que deveria ser feito em vez disso? Quero dizer, o que eles poderiam fazer de diferente para ajudar nisso? Quero dizer, não parece ser um problema novo, certo? Esses help desks existem há décadas, certo?

PAUL MULVIHILL: Bem, sim, quero dizer, acho que chegamos a um ponto em que, quando se trata de segurança de TI, somos a parte mais fraca de toda a equação. Se você estiver confiando em algo que sabemos, provavelmente poderá descobrir. Você precisa chegar ao ponto de fazer algo em que a autenticação de alguém seja feita com algo que essa pessoa tenha, que não possa ser obtido de alguma outra fonte ou que não possa ser aprendido? Então, é como se você estivesse fazendo algum tipo de MFA, algo nesse sentido, dizendo, certo, tudo bem, você tem um sistema, está pedindo ajuda, prove. Mas não fazendo uma pergunta a você, porque isso pode acontecer.

INGO SCHUBERT: Bem, eu ia dizer que a mais popular são aquelas perguntas de segurança como, sim, o nome de solteira da avó e tudo isso. Quantas delas são sempre as mesmas?

PAUL MULVIHILL: Exatamente. Temos o mesmo conjunto de 10 perguntas, escolha três delas. É como se, bem, sabe de uma coisa? Provavelmente posso encontrar essa lista e descobrir qual é a resposta para todo mundo.

INGO SCHUBERT: Certo. Então, voltando ao tema abrangente, em geral, na segurança de identidade, você precisa de provas e provas fortes. Acho que você mencionou a MFA. É aqui que entra a MFA.

PAUL MULVIHILL: Sim. Quero dizer, se você estiver em uma empresa e tiver a MFA implementada, use-a a seu favor. Se o John tiver configurado a MFA e ele estiver ligando para o help desk, use isso para provar que você é quem diz ser. Obviamente, nem todos os MFAs são criados da mesma forma, mas é melhor do que não confiar em nada. Eu pesquiso sobre o John e descubro onde ele nasceu ou onde ele é solteiro, solteira da mãe, isso, aquilo e aquilo outro, e respondo à pergunta. Se fosse uma etapa em que você tem um curso de mestrado, prove.

INGO SCHUBERT: Então, mas como isso funcionaria agora? Então, com o RSA ID Plus nesse caso, porque, quero dizer, o que o help desk precisaria fazer? O que o usuário final precisaria fazer para isso? Porque, por exemplo, se você faz MFA, é como se fosse uma coisa. Mas, por exemplo, como isso funciona passo a passo. Como, o que um usuário precisaria fazer?

PAUL MULVIHILL: Com o tipo de coisa ID Plus, você tem um pouco de dois lados, a chamada acontece entre duas pessoas. A pessoa do help desk encontra o usuário no sistema e aciona uma sessão de verificação. O usuário final que está ligando conhece o URL, ou foi ensinado a conhecer o URL para o qual precisa ir e, então, no ponto de extremidade, é um, ok, faça um MFA. A empresa decidirá se é FIDA, se é empurrado para aprovação, biometria, qualquer que seja o método aceitável escolhido. E, quando ela conseguir fazer isso, receberá um código de verificação. Devolvam-no à pessoa do help desk. Mas esse é apenas um número de verificação de identidade. Não é um número de autenticação. Eles não podem verificar nada com ele.

INGO SCHUBERT: Certo. Assim, eles não precisam revelar sua OTP atual ou algo do gênero.

PAUL MULVIHILL: Eles fazem o OTP, se estiverem fazendo OTP. Eles fazem a aprovação por push, a biometria do Fido. Fazem tudo isso sem compartilhar nenhuma informação nesse momento. Obtêm um resultado. Entregar o resultado à pessoa do help desk, o que, mais uma vez, é apenas para verificação. Não se trata de nenhum tipo de autenticação. E então o
A pessoa do help desk diz, certo, me dê este número, um, dois, três, quatro, cinco, insira-o, o sistema diz, sim, eu estava esperando que ele fosse quem diz ser.
Episódio 1 - Computação Quântica

Junte-se a Ingo Schubert (RSA) e David Lello (Burning Tree) para continuar o debate sobre criptografia quântica, cronogramas de risco e como as organizações podem se preparar para a resiliência de identidade pós-quântica. Neste primeiro episódio estendido, temos a conversa COMPLETA. Acomode-se e pegue a pipoca! É muito bom assistir!

Transcrição do vídeo
INGO SCHUBERT: Bem-vindo ao RSA Identity Unmasked, o vodcast em que analisamos as forças que estão moldando o futuro da segurança de identidade. Sou seu anfitrião, Ingo Schubert, e hoje vamos nos aprofundar no tópico que está gerando muito calor em todo o setor, a computação quântica. Hoje, tenho a companhia de David Lello, da Burning Tree. Vamos direto ao assunto. Hoje, a computação quântica é um exagero, uma ameaça, uma oportunidade ou todos os três. Na verdade, estamos revisitando um debate que começou em Bletchley Park, em setembro do ano passado, com David Lilo, da Burning Tree, e eu, Ingo Schubert. Então, vamos direto ao assunto. David, bem-vindo a este episódio.

DAVID LELLO: Obrigado

INGO SCHUBERT: Acho que, para beneficiar o público, o senhor poderia descrever em algumas palavras o que é computação quântica, para que estejamos em um nível de especialista depois que o senhor terminar?

DAVID LELLO: Bem, vou começar com a maneira básica de ver o computador quântico, porque acho que se começarmos a entrar em física teórica, talvez percamos algumas pessoas.

INGO SCHUBERT: Sim

DAVID LELLO: Então, com os computadores quânticos, os computadores quânticos funcionam de maneira diferente dos computadores tradicionais. Com um computador quântico, ele faz isso de forma diferente. O que ele está usando é a mecânica quântica e, portanto, em um mundo multidimensional de mecânica quântica, ele olha para os dados e vê os dados. Ele não lê os dados da mesma forma e, como resultado, pode levantar hipóteses e analisar vários construtos ao mesmo tempo. É como se, ao ler um livro, um computador tradicional o lesse do início ao fim; com um computador quântico, ele lê o livro e vê os dados. Assim, por causa disso, o computador quântico é capaz de processar informações muito mais rapidamente. E, ao resolver problemas, é como se resolvesse todos os problemas ao mesmo tempo, em vez de olhar para um problema e tentar resolvê-lo em uma série.

INGO SCHUBERT: Sim, então os algoritmos são bem diferentes, é claro. Sim, acho que é provavelmente por isso que muitos, e eu também me incluo nessa categoria, têm dificuldade, é claro, em saber como programar essa coisa. Acho que, por ter uma formação tradicional em TI, o que me ajuda às vezes a entender, por exemplo, que isso é realmente diferente, é que, em um computador tradicional, cada bit, sim. Se você tem N bits, pode armazenar N quantidades de dados. É zero, um, sim? Com o quantum, é dois elevado à potência de N, sim, o que é como, imediatamente, como, se o seu antigo instante entrar em ação, é como, sim, isso é muito mais, sim, na mesma quantidade de qubits nesse caso, certo? Portanto, o armazenamento e o processamento estão em um nível diferente, certo? Então, acho que vamos deixar isso para lá porque, caso contrário, ficaremos aqui por dias, certo? Apenas explicando o básico.

Portanto, o próximo tópico que gostaria de explorar é qual é o estado atual da computação quântica? Onde estamos agora? Porque acho que provavelmente, e se as pessoas que estão assistindo a isso tiverem nos visto em Bletchley Park, temos algumas opiniões diferentes sobre onde estamos e onde estaremos. Então, vamos começar com você. Qual é o estado atual da computação quântica?

DAVID LELLO: Acho que a computação quântica ainda está em um estágio inicial. Portanto, há vários computadores quânticos por aí, e você pode realmente contratar tempo em computadores quânticos para que possa analisar os dados. Mas acho que, da forma como os computadores quânticos foram desenvolvidos, há uma série de problemas. Alguns computadores quânticos estão exigindo muito controle em termos de coisas como temperatura. Assim, um computador quântico opera no zero absoluto, ou seja, 270 graus Celsius negativos, o que é muito frio. Para isso, são necessárias grandes instalações, grandes equipamentos e muita energia. Caso contrário, você perde a coesão e a estabilidade da plataforma.

Os primeiros computadores quânticos estavam queimando o tempo todo por causa desse problema. Portanto, esse é um problema que precisa ser resolvido e abordado. O outro problema é que, como o computador quântico analisa os dados ao mesmo tempo, ele cria muito ruído. Se você tivesse que pegar algo como a Bíblia e lê-la instantaneamente, em vez de percorrê-la do início ao fim, isso criaria uma narrativa em sua mente que seria incompreensível. E tentar digerir, entender e destilar a mensagem se tornaria muito difícil.

Portanto, o ruído no sistema criou um grande número de problemas. Temos visto um bom sucesso vindo de Oxford, onde eles reduziram significativamente a taxa de erro e o ruído dentro do sistema. Mas provavelmente o problema mais importante no momento é a quantidade de cubos que podem ser emaranhados de uma só vez, porque você começa a perder a coesão desses cubos quando ultrapassa cerca de 100 cubos. Portanto, a quantidade de qubits que podem ser emaranhados de uma só vez para processar as informações é limitada. Isso significa que o poder de processamento e a capacidade da máquina são limitados.

Portanto, ainda não é o que chamaríamos de computação quântica criptograficamente relevante, o que é um grande problema, mas está em um estágio em que foi comprovado. Ela funciona. Ela faz o que os cientistas dizem que faz. Trata-se apenas de levá-la ao próximo nível e investir mais. A cada poucos meses, novos avanços acontecem ou estão sendo fortemente investidos, e estamos começando a ver progresso.

INGO SCHUBERT: Sim, e isso é verdade. E acho que se compararmos os computadores quânticos, se olharmos apenas as fotos deles, certo? Há cinco anos e hoje, eu ainda os chamaria parcialmente de experimento físico, mas há cinco anos era muito mais um experimento físico, certo? Se você olhar apenas para a configuração física dessas coisas, certo?

No entanto, embora seja verdade que, você sabe, eles se tornaram tipo, sim, você joga um problema com eles e eles podem resolvê-lo muito mais rápido do que os computadores tradicionais. E parte disso é o que você disse ser a coesão. Sim, a coesão básica é, você sabe, se você conseguir manter o sistema estável por um determinado período de tempo. E isso geralmente é medido, no máximo, em segundos, sim, ou em milissegundos, dependendo do chip em tudo isso. E isso está muito longe de ser útil em muitos casos. Agora, há alguns casos de uso em que isso faz sentido. Pense nisso como um coprocessador quântico. Mas o problema que eu tenho com isso é que, em muitos dos casos de uso, é questionável se você poderia resolver o problema também com algumas GPUs da Nvidia, certo?

Portanto, uma das coisas que vejo que ainda estão sendo feitas constantemente é que há muito entusiasmo nesse espaço da computação quântica. Acho que ele se sobrepõe um pouco ao hype da IA também. Você também pode argumentar que, se isso é um exagero, é real. Mas a questão é que há muita propaganda e muito dinheiro circulando por aí. Acho que parte desse dinheiro agora está procurando uma estratégia de saída. E a computação quântica parece ser atraente, certo? Portanto, eles estão injetando muita coisa lá dentro e há empresas que, fundamentalmente, estão supervalorizadas e também superestimadas em termos do que prometem e do que fazem, e isso, na verdade, abrange todo o espectro, certo? No Bletchley Park, eu tinha o chip willow do Google como exemplo, no qual o Google tinha um comunicado de imprensa sobre esse novo chip, no qual eles tinham uma ótima correção de erros e tudo isso, e a alegação que foi captada pela imprensa popular foi que esse chip pode fazer em cinco minutos o que um computador tradicional pode fazer em 10 anos, o que é extraordinário. de 35 anos, o que é extraordinário, porque o universo tem apenas 10 à potência de 25 anos de idade, certo? e se você ler o artigo, verá que ele não é capaz de fazer isso, certo? era como se essa coisa pudesse funcionar por cinco minutos e como se fosse milhões, milhões de vezes, eles não são capazes de fazer isso, então seria assim. E se você observar outros comunicados à imprensa de diferentes empresas, grandes e pequenas, há uma certa tendência de exagerar o que elas alcançam.

E acho que, infelizmente, isso abafa alguns dos avanços reais que a computação quântica realmente fez nos últimos anos, certo? E acho que, e é aqui que chegamos, isso faz com que a ameaça da computação quântica pareça muito mais real, em termos de que ela está chegando, do que realmente é. Mas antes de entrarmos no assunto de por que o mundo acabará, se a computação quântica aparecer de repente, quais seriam os benefícios de um computador quântico que você tem em mente? Então, o que ele poderia fazer melhor do que qualquer outra coisa?

DAVID LELLO: Vou responder a isso reagindo também ao que você disse sobre o computador quântico em termos de sua situação atual. E, embora concorde que há problemas em termos de computador quântico, acho que estamos muito mais próximos de realmente alcançar a estabilidade em um computador quântico do que o que está sendo sugerido. Se eu olhar para trás, acho que uma das melhores maneiras de realmente olhar para o futuro é olhar para a história. Quando eu era jovem e trabalhava em um banco, havia um mainframe, e era um mainframe IBM da velha guarda. O mainframe ocupava uma sala. Era uma sala grande. Não era uma sala pequena. Era uma sala bem grande. E ele enchia a sala. Havia válvulas nesse mainframe. Ele tinha três tanques de resfriamento de água. Havia piscinas subterrâneas no porão desse banco. Essa coisa era enorme. E apenas alguns anos antes disso, eles haviam substituído o sistema de cartões perfurados desse mainframe.

Quando retiraram o antigo mainframe, que precisou de empilhadeiras e maquinário muito pesado para ser retirado, tiveram que cortar algumas portas porque não conseguiam encaixar fisicamente o mainframe novamente. E eles o substituíram por um rack e um computador mainframe que era exponencialmente maior do que o que existia antes. Vimos uma aceleração maciça nos avanços dos computadores ao longo dos anos. E se voltarmos apenas 30 anos, sabe, se voltarmos 40 anos, é simplesmente enorme a quantidade de mudanças que estamos vendo acontecer.

INGO SCHUBERT: Sim.

DAVID LELLO: E o que vimos com os computadores quânticos agora, sim, há indicadores iniciais e a ciência, quase parece um pouco com aquele velho mainframe no porão com os três tanques, porque você precisa dos sistemas de resfriamento, precisa do equipamento grande, precisa de todo o tipo de coisa que o acompanha. Há uma enorme quantidade de dinheiro investido nisso. Há muito investimento sendo feito. E esses problemas serão resolvidos. E eles podem ser resolvidos mais rapidamente do que imaginamos. E os avanços que temos visto mês a mês no momento sugerem que estamos cada vez mais próximos da coesão. Portanto, acho que pode estar um pouco mais perto.

E, se isso acontecer, acho que será realmente muito empolgante, pois o que o computador quântico pode fazer é processar dados muito mais rapidamente, não tão rapidamente quanto algumas pessoas afirmam, mas, como ele pode processar esses dados muito mais rapidamente, isso significa que ele poderá analisar e resolver problemas que não podiam ser resolvidos antes.

Então, você sabe que na física teórica existe o conceito do gato de Schrodinger, e o gato está vivo ou morto? Ele está se deteriorando? Ele está, o que é? Qual é o estado do gato? Bem, o computador quântico seria capaz de realmente olhar e ver o gato em todas as possibilidades e, portanto, seria capaz de resolver os principais problemas que não conseguimos resolver.

INGO SCHUBERT: Sim, e acho que, em termos de medicina, por exemplo, dobramento de proteínas, etc., os computadores quânticos teriam vantagem sobre os computadores tradicionais, com certeza, certo? E há outras coisas em que, simplesmente, tudo o que tem uma quantidade enorme de dados que precisam ser processados, como a previsão do tempo, seria uma coisa, como qualquer coisa, dados geológicos, há muitos casos de uso que se beneficiariam da computação.

Agora, voltando à questão de que isso é mais cedo, por mais que você pense que não é assim, porque não é uma linha reta onde ele diz que isso aconteceu no passado com os transistores e que acontecerá novamente, então pode ser que não seja, é como na loteria, só porque você ganhou da última vez não significa que não ganhará da próxima vez, começa do zero todas as vezes, especialmente com a coesão, Se você falar sobre, por exemplo, algumas centenas de qubits, talvez alguns milhares, para ser um computador quântico universal que, por exemplo, possa executar o Algoritmo de Shor, o que seria uma ameaça à criptografia. Você está falando de algumas centenas de milhares de qubits, certo? E, no caminho para isso, talvez batamos em uma parede em algum lugar, certo? Não há garantia de que resolveremos esses problemas. Talvez, e, na verdade, sim, claro, pode haver, mas não há garantia. E, ao mesmo tempo, um computador quântico precisa sobreviver comercialmente em um ambiente em que temos visto um aumento maciço no poder de computação em todo o mundo, essencialmente graças às GPUs, certo? Graças à IA. Bem, antes era a mania do Bitcoin, agora é a IA. Portanto, sem avanços, como avanços fundamentais no design de chips. Quero dizer, sim, eles ficam menores com isso. Aumentamos enormemente o poder de computação, tanto que, basicamente, o fator limitante agora é a energia, certo? Portanto, a energia elétrica.

E nesse ambiente, um computador quântico precisa sobreviver. Agora, você pode argumentar que, especialmente para aqueles que quebram chaves, alguns governos farão isso, tudo bem. Sim, então está tudo bem. Eles têm dinheiro suficiente. Eles realmente não se importam com isso. Bem, talvez eles devessem se importar. São nossos impostos, mas vamos supor que eles não se importem.

Há casos práticos de uso da computação quântica no caminho para um computador quântico universal totalmente funcional. Acho que isso é indiscutível. Não estou dizendo que não seja o caso. E há bons casos de uso para isso. Como eu disse, como, por exemplo, o dobramento de proteínas, na pesquisa farmacêutica, certo?

Mas vamos falar sobre as ameaças, certo? E não estou falando de consumo de energia, porque temos isso hoje com as unidades tradicionais, certo? Quero dizer, ameaças em particular à segurança de TI, e então é segurança, certo? Porque há algumas, você sabe, eu mencionei o algoritmo de Shor, então talvez devêssemos, você sabe, explicar brevemente, você sabe, o que é isso e como isso afeta a segurança.

DAVID LELLO: Sim, então com o computador quântico, porque ele pode processar essas informações e os dados muito mais rapidamente, ele é capaz de usar o algoritmo de Shaw para fazer engenharia reversa de chaves criptográficas e, portanto, quando temos um computador quântico criptográfico relevante, ele seria capaz de quebrar essas chaves em segundos, minutos.

INGO SCHUBERT: Sim.

DAVID LELLO: E, portanto, a maioria dos dados que consumimos, usamos e acessamos estaria vulnerável a ataques.

INGO SCHUBERT: Sim. E o argumento de Schor, como mencionei antes, é que hoje não existe um computador quântico que possa executar isso porque são necessárias centenas de milhares de qubits em coesão e funcionando por algum tempo. Então, sim, são alguns segundos, mas mesmo alguns segundos são um problema hoje em dia para alguns computadores quânticos. Portanto, isso essencialmente quebraria ou invalidaria, em certo sentido, o algoritmo RSA, sim, portanto, uma chave pública privada, usando RSA, mas também usando Diffie-Hellman e usando curvas elípticas, ECC. Então, basicamente, todos os que são populares e que foram usados nas últimas duas décadas seriam essencialmente quebrados, certo? Elas seriam quebradas com um computador quântico. É claro que os computadores tradicionais ainda teriam dificuldades, como sempre têm, portanto, não há ameaça.

E, sim, se isso estiver quebrado, esses algoritmos são usados em todos os lugares, certo? Então, esses são, você sabe, seu TLS tradicional, uma comunicação de servidor da Web, de um cliente para o servidor da Web, VPNs, assinaturas de e-mail, criptografia de arquivos sendo enviados e tudo isso, você sabe, todos eles são frequentemente baseados em RSA, ECC e ou Diffie-Hellman, certo? Portanto, isso seria, na verdade, catastrófico.

DAVID LELLO: Seria, com certeza. Seria completamente catastrófico. Acho que, quanto mais eu analisar o assunto e quanto mais casos de uso eu tiver, mais sistemas falharão. É um problema global. Como a autenticação e a autenticação no sistema financeiro. Até mesmo coisas como o Bitcoin ficam comprometidas. Eles usam criptografia de curva elíptica e isso pode ser comprometido. Como consequência, o sistema financeiro é totalmente quebrado.

Então, sim, isso pode ser absolutamente catastrófico. Acho que podemos ver os principais problemas nos casos típicos de uso amplo, mas também em problemas menores e menos públicos, nos quais as pessoas nem sempre pensam, portanto, quando começamos a falar sobre IOT e OT e começamos a pensar em dispositivos médicos e equipamentos médicos, a capacidade de comprometer isso. Pegue uma pessoa que esteja usando uma bomba de insulina.

Se eu conseguir comprometer a criptografia dessa bomba de insulina, posso matar alguém.

INGO SCHUBERT: Sim.

DAVID LELLO: De repente, a criminalidade por trás dessas coisas pode se tornar exponencialmente mais significativa. E começamos a ver coisas como Minority Report e casos de uso do tipo Terminator acontecendo.

INGO SCHUBERT: Agora você está falando. Isso ficou interessante agora, sim.

Mas, voltando à disponibilidade de computadores quânticos, isso não acontecerá da noite para o dia, porque não seria apenas de um dia para o outro. Vamos supor que alguém, sim, finalmente consiga um computador quântico com 200.000 cúbitos para executar o algoritmo de Shor, por exemplo. Normalmente, são cerca de um milhão. Há algumas pesquisas que dizem que você só precisa de cerca de 100 mil qubits. Não é como se, de repente, todo mundo tivesse um computador quântico. São apenas alguns governos e instalações de pesquisa que têm acesso à computação quântica. Não é como se todo criminoso cibernético tivesse acesso a ela.

Mas a ameaça é real. Acho que é um pouco semelhante ao problema do ano 2000. Então, já prevíamos isso há algum tempo, mas fizemos coisas para mitigá-lo e acabou sendo um pouco inútil.

DAVID LELLO: Mas só porque fizemos alguma coisa.

INGO SCHUBERT: Exatamente. Só porque fizemos alguma coisa, certo? Portanto, se não tivéssemos feito nada, isso provavelmente teria sido um grande problema, mas fizemos algo e acabou dando tudo certo, certo? E acho que provavelmente será semelhante a esse caso aqui, porque há coisas que podem ser feitas, o que nos leva ao próximo trabalho.

Sim, então podemos discordar sobre quanto tempo teremos, certo? Então, apenas para esclarecer isso, houve um relatório do MITRE, um instituto de pesquisa financiado pelo governo dos EUA, um relatório recente no início do ano e eles colocaram o algoritmo do Shor em algum lugar como o início da década de 2040, provavelmente mais para a década de 2050, então não é como se eles tivessem um incentivo para divulgá-lo corretamente, então foi um relatório sólido, mas mesmo que você diga que é muito mais cedo, é improvável que seja antes da década de 2030. Acho que é altamente improvável, a menos que aconteça algum milagre. Então, o que você pode fazer hoje para se preparar para esse apocalipse quântico?

DAVID LELLO: Acho que definitivamente será muito mais rápido do que 2050. Acho que, sabe, odeio tentar prever, porque é algo impossível. Sabe, quando alguém tenta prever o futuro, inevitavelmente fracassa porque não temos uma mente sobrenatural.

INGO SCHUBERT: Bem, vamos nos encontrar em 2055. No mesmo horário, sim, para podermos conversar sobre isso. Se eu ainda estiver lá dentro.

DAVID LELLO: Com certeza. Vamos fazer isso. No mesmo horário, no mesmo lugar. Vamos fazer isso. Tudo bem, mas se for antes, acho que vamos ver como podemos comemorar esse evento, porque acho que com qualquer avanço na tecnologia, uma descoberta acontece, e acontece em um momento. Pode acontecer na próxima semana. Pode acontecer daqui a 10 anos. Não sabemos. Mas isso vai acontecer, tenho certeza, porque a ciência existe. Ela é confiável. É real. Você sabe, um campo de girassóis é capaz de manter a coesão neste momento. A estabilidade existe à temperatura ambiente, em um campo, com todas as coisas que estão acontecendo ao seu redor. Animais correndo lá embaixo, poluição e tudo o mais. Um campo de girassóis pode ter coesão.

INGO SCHUBERT: É isso mesmo.

DAVID LELLO: Por que vários cientistas fazem isso?

INGO SHCUBERT: Sim, mas eles têm alguns milhões de anos para evoluir, certo? Esse é o meu ponto de vista. Concordo com isso, mas eles têm um pouco de vantagem, certo?

DAVID LELLO: Voltando à questão, acho que um dos problemas que temos, e abordamos um pouco no Bletchley Park, é que o que temos no momento em termos de prática e o que chamaríamos de boa prática em relação ao gerenciamento de chaves criptográficas, acho que muitas empresas falharam. Portanto, quando se trata de eventos, há alguns anos, tivemos a vulnerabilidade do SSL, e todo mundo se agitou e procurou substituir as chaves. Isso fez com que as organizações se tornassem muito mais ágeis em termos de rotação de suas chaves TLS, o que é fantástico. Isso está resolvendo uma boa parte do problema. Se você tiver agilidade em suas chaves TLS, isso significa que poderá alterá-las. Talvez seja necessário fazer alguns testes ao longo do caminho para garantir que tudo funcione.

Mas as organizações podem começar a pensar agora em sua autoridade de certificação e em como elas emitem suas chaves e como substituem suas chaves em um nível TLS. E isso é bom. O problema que encontramos quando entramos em uma organização é que 20 a 30, talvez até 40% das chaves não são gerenciadas dessa forma. Muitas vezes, muitos hardwares têm chaves incorporadas em uma infraestrutura de hardware e algumas dessas peças de hardware podem durar 20 anos, e a capacidade de alterar as chaves nesse hardware significa alterar o hardware.

Também temos muitas práticas ruins de codificação, especialmente nos dias de compilações monolíticas em que os aplicativos têm chaves incorporadas nos próprios aplicativos. E quando começamos a pensar sobre o que não aconteceu apenas.

INGO SCHUBERT: Acho que esse é o meu ponto. Essa foi uma prática ruim, independentemente de haver ou não computação quântica.

DAVID LELLO: É. Portanto, quando começamos a pensar nessa ideia do Dia Q, que no Y2K foi fácil porque tínhamos uma data. Com o Dia Q, não temos uma data.

INGO SCHUBERT: Muito bem visto.

DAVID LELLO: Mas quando isso acontecer, e pode acontecer amanhã ou daqui a 10 anos ou, se você estiver certo, daqui a muito mais tempo, teremos uma situação em que uma boa parte da organização e suas chaves não poderão ser substituídas facilmente, e entraremos em pânico. Teremos um problema enorme, pois os dados ficarão comprometidos.

Mas também, o outro problema que temos é algo que me fazem muitas perguntas, que é a ameaça ‘coletar agora, descriptografar depois’. E temos visto dados criptografados sendo roubados há anos. Quero dizer, neste país, com David Cameron, ele disse que todos os nossos dados foram roubados pela China, mas isso não importa. Eles são criptografados. Portanto, voltando alguns anos atrás, esse tipo de afirmação não deixa de ser verdade agora, considerando as tecnologias que temos com o tempo, com um computador quântico, isso se torna um problema. E sim, é claro, os dados envelhecem.

INGO SCHUBERT: Mas alguns desses dados ainda serão relevantes. Não todos, mas alguns. Então, acho que é a mesma coisa. Por exemplo, eles ficaram lá fora e, sim, se forem descriptografados daqui a cinco anos, quem se importa, certo? Ou em 10 anos, sim. Portanto, você pode argumentar que muitos dos dados de identidade para autenticação, se eles forem descriptografados em cinco ou dez anos, você não se importará muito com eles, pois já estarão desatualizados. Mas há muitos dados estratégicos em que, sim, isso pode prejudicá-lo por décadas, certo? E você nem precisa ser um estado. Você pode ser apenas uma corporação normal, uma empresa normal.

DAVID LELLO: Exatamente.

INGO SCHUBERT: E qual é o caso?

DAVID LELLO: Quero dizer, você sabe, a quantidade de organizações em que eu entro que têm sistemas legados. Na verdade, estive em uma organização há pouco tempo em que havia um aplicativo. Eles o tratavam como uma caixa preta, e o tratavam como uma caixa preta porque o código-fonte havia sido perdido. A pessoa que o escreveu já se foi há muito tempo, não toque nele. Se ele cair, a resposta é ligá-lo ou desligá-lo, ligá-lo novamente e rezar, porque é a única coisa que você pode fazer. Não há nada que você possa fazer. E esse sistema controlava todo o acesso em suas lojas, todo o acesso em suas lojas. E se for comprometido, se for derrubado, você derruba a organização.

INGO SCHUBERT: Ponto único de falha.

DAVID LELLO: Ponto único de falha. A quantidade de organizações que estamos visitando onde há esse ponto único de falha é extraordinária. As organizações realmente precisam começar a pensar em como modernizar sua infraestrutura de gerenciamento de identidade e acesso. Quando começamos a pensar em gerenciamento de identidade e acesso, o gerenciamento de identidade e acesso é o caminho para tudo. Vimos os últimos ataques de ransomware que estão ocorrendo na Alemanha, bem como aqui no Reino Unido, na Itália e em outros lugares. Esses ataques de ransomware têm como alvo os sistemas de controle de acesso. Eles têm como alvo a autenticação porque é um alvo fácil e suave, seja o Active Directory ou um sistema como o que descrevi, a capacidade de realmente comprometer o acesso derruba a organização, interrompe a comunicação e a capacidade de acesso. A modernização do gerenciamento de acesso à identidade nesse contexto será uma das grandes prioridades.

INGO SCHUBERT: Sim, sim. É difícil argumentar contra isso porque, você sabe, isso faz sentido, não importa como você olhe para isso, certo? Acho que quando voltamos ao gerenciamento de chaves de criptografia básica, muitos clientes não sabem o que têm, certo? Eles não têm uma boa visão de onde criptografam, onde estão as chaves, onde assinam digitalmente. Eles não têm essa visão geral. Acho que isso é parte do problema, certo? Porque não se pode consertar o que não se sabe que existe. Muitos dos clientes tiveram dificuldades com a simples higiene cibernética básica. Infelizmente, é isso que vejo constantemente, certo? Hoje de manhã, em uma ligação sobre um cliente que está usando um software da RSA com 20 anos de idade, com 20 anos de idade, certo?

DAVID LELLO: Uau.

INGO SCHUBERT: Então, na verdade, eles ligaram para o nosso suporte sobre algo e o suporte não conseguiu responder, e é como se, sim, claro, você sabe, provavelmente o pessoal de suporte que estava atendendo à chamada telefônica provavelmente estava no jardim de infância quando esse software foi lançado, certo? Portanto, o que quero dizer é que, enquanto não fizermos essa higiene e visibilidade cibernéticas básicas, em primeiro lugar, não será possível atingir esse estado de prontidão quântica, ou seja, estar pronto para o dia Q. Isso é simplesmente impossível. Isso é simplesmente impossível.

Além disso, minha opinião é que você não pode se preocupar com a computação quântica até que conserte essas coisas, certo? Porque se você não sabe qual software está executando, se não o mantém atualizado, é claro que você depende que os fornecedores consertem isso, como se você estivesse implementando criptografia pós-quântica, por exemplo, certo?

Mas se o software for lançado com a nova versão, com todas essas coisas legais de computação quântica, e você não o instalar, isso fará com que ele não exista, certo? E, além disso, mesmo que você faça isso, se suas políticas e procedimentos relacionados, por exemplo, ao gerenciamento de dados, não estiverem corretos, do que estamos falando aqui? Então, se o invasor puder simplesmente telefonar para o seu help desk e pedir para entrar, ele não precisará de um computador quântico para fazer isso, certo? Ele não precisa disso hoje. Não precisou ontem. Não precisará amanhã. Eles simplesmente telefonam para o seu help desk se suas políticas não estiverem corretas e obtêm acesso.

Portanto, há muitas coisas que podem dar errado, deram errado e darão errado, que não têm nada a ver com computadores quânticos. E meu medo é que as pessoas estejam olhando para essa coisa quântica, esse Q-Day, e se distraiam com esse brinquedo bonito e brilhante, certo? Enquanto elas têm muito dever de casa para fazer, o que provavelmente não tem sido feito há décadas, certo? E, é claro, você pode argumentar que precisa fazer isso, ter visibilidade, aplicar patches, corrigir seus procedimentos. Se for necessária essa ameaça da computação quântica para que um cliente faça isso, que assim seja, certo? Eu poderia ficar feliz.

Mas uma parte de mim pensa: "Não, porque o que acontecerá se encontrarmos um obstáculo com a computação quântica? E, por alguns anos, não houver nenhuma vantagem ou avanço real, e então você pensa: "ah, isso é tipo, você sabe, década de 2060, como se eu já tivesse saído do mercado de trabalho há muito tempo, então não preciso me preocupar com isso", e essa é a abordagem errada, porque você deve resolver isso, não importa o que aconteça.

Vou lhe dar um pouco de conhecimento, sim, alguns nomes, sim, o filósofo alemão Emmanuel Kant, sim, agora não corte esse editor, sim, isso é k, isso é k. Isso é K -A -N -T, certo? Portanto, eu o chamo de Emmanuel de agora em diante, sim.

Filósofo alemão, século 18, e muitas coisas inteligentes que ele disse. Mas uma das coisas que acredito ser uma das mais inteligentes é que você faz a coisa certa porque é a coisa certa a fazer, certo? Não porque isso lhe rende alguns pontos com alguma divindade, algo assim. Você faz isso porque é a coisa certa a fazer.

E ter uma boa visão geral de onde você criptografa, como você criptografa sobre políticas, procedimentos, patches e tudo isso é a coisa certa a fazer, independentemente de a computação quântica estar a 10 anos, 20 ou 30 anos de distância. Não importa. Você precisa fazer isso. Agora, você deveria estar fazendo isso nos últimos 20 anos. Esse é essencialmente um ponto. Acho que é nesse ponto que concordamos. Sim, com certeza. Acho que a motivação por trás disso é o ponto em que discordamos, pois temos opiniões diferentes sobre onde a computação quântica está e onde ela estará. Mas, com certeza, se houver um cliente que diga que preciso estar pronto para a computação quântica, o esforço não será desperdiçado.

DAVID LELLO: Não, absolutamente não. Acho que também, Ingo, uma das coisas que é uma realidade que sempre me desafia, porque passamos muito tempo com diretorias de grandes empresas conversando com diretores financeiros e afins, e uma empresa existe com o objetivo de fornecer um produto ou serviço e, se estiver no setor privado, terá lucro, a não ser, é claro, que seja uma instituição de caridade, mas não vamos nos preocupar com isso. Assim, investir em algo porque é a coisa certa a fazer torna-se mais uma discussão filosófica. Não acho que essa seja necessariamente a abordagem correta.

INGO SCHUBERT: Bem, sim, com certeza.

DAVID LELLO: Embora eu concorde com você, absolutamente 100%, sabe, do ponto de vista da fé, do que eu acredito, eu sempre gostaria de fazer a coisa certa. Mas a realidade é que as empresas não existem para isso. Elas não existem para fazer a coisa certa. Às vezes, elas são um pouco imorais.

INGOSCHUBERT: Sério? É a primeira vez que ouço isso. Deixe-me anotar isso.

DAVID LELLO: Então, acho que o que você faz é olhar para isso de uma forma diferente e acho que uma das realidades que vemos e que ressoa e as pessoas entendem é medir, reconhecer e perceber qual é a minha exposição ao risco associada a um determinado ambiente e precisamos vinculá-la a algo que seja tangível, precisamos sempre voltar a pensar em como posso construir um caso de mudança neste mundo, sim, e como é a mudança? Um dos desafios que enfrentamos, porque quando começamos a procurar ajudar as organizações a responder a esse problema, é que não existe uma estrutura que lide com a preparação quântica. Não há uma.

Então, nós escrevemos um. Escrevemos um padrão para dizer que aqui está uma abordagem para analisar a quântica. Pegamos vários padrões diferentes do NIST e de boas práticas, ISF e várias coisas diferentes para podermos criar um modelo e uma estrutura para que possamos começar a analisá-los. Mas o que isso faz é permitir que comecemos a analisar e dizer: "Bem, quando você pega um sistema como esse sistema de identidade que gerencia todo o acesso que é um ambiente de caixa preta, qual é a minha exposição ao risco de ter uma máquina como essa? E vou retirar completamente a quântica. Qual é o meu risco? Eu realmente entendo meu risco? Se isso cair, o que acontecerá com meu ambiente? E se eu puder avaliar esse risco, tenho que fazer algo a respeito.

INGO SCHUBERT: Ah, e isso é, quero dizer, no final das contas, é o gerenciamento de risco adequado, que vejo que está faltando em muitas empresas ou organizações em geral, certo? E isso de fato precisa ser feito e deveria ter sido feito há anos e deveria ser feito hoje, independentemente da computação quântica ou não. Esse é o meu ponto de vista.

Bem, é claro que eles não fazem isso porque é a coisa certa a fazer, certo? Esse é um argumento financeiro difícil de ser apresentado. Concordo plenamente com você. Mas há todas as outras ameaças pelas quais eles deveriam estar fazendo isso, certo? E, mais uma vez, se você precisar vender esse conceito de analisar tudo isso e descobrir e ter um gerenciamento de risco adequado por causa da computação quântica, pode ser minha opinião, certo? Acho que esse é o caminho certo. Se essa for a alavanca de que você precisa para obter a assinatura, sim, com certeza, faça isso. Porque, no final, mesmo que a computação quântica ainda esteja a 30 anos de distância, você ainda se beneficia hoje. Porque ter essa prontidão ajuda você a estar seguro hoje também. Você não está desperdiçando dinheiro. Sim, então acho que essa é a coisa certa a se fazer. E há algumas recomendações e algumas estruturas da Europa, por exemplo, eles dizem que até 2026 - o que, para ser franco, você já deveria ter feito se quiser estar em conformidade com o DORA. Talvez você veja as mesmas coisas novamente porque não vê algumas pessoas fazendo isso. Portanto, visibilidade e gerenciamento de risco até 2026 e, em seguida, alguma preparação quântica de alguma forma até 2030 para alto risco e 2035 para baixo e médio risco, certo? Portanto, parece estar muito longe, mas, sabe, já estamos, tipo, no final de 2025, quando registramos isso, o lançamento é 2026.

Portanto, é como se isso estivesse a apenas alguns anos de distância. E se voltarmos ao início de nossa conversa, se olharmos para o problema do Y2K, sim, se você começou em 1999, provavelmente está um pouco atrasado para isso, certo? Portanto, você precisa estar preparado agora, com certeza, certo.

DAVID LELLO: Acho que uma das coisas que você mencionou, que considero um ponto fascinante em termos de psicologia humana, são as regulamentações, as regulamentações europeias e coisas como Dora. As regulamentações só entram realmente em vigor porque as empresas são negligentes em fazer a coisa certa.

INGO SCHUBERT: Sim, com certeza.

DAVID LELLO: E como não estão fazendo a coisa certa, os legisladores dizem que teremos um grande problema no país, a menos que analisemos a questão. Portanto, as leis entram em ação quando é preciso fazer algo. Portanto, o NCSC do Reino Unido criou orientações sobre quantum. E temos o DORA na Europa. E, infelizmente, por causa do Brexit...

INGO SCHUBERT: Você trouxe isso, eu não trouxe.

DAVID LELLO: Estamos apenas começando a analisar o nosso Projeto de Lei de Resiliência. Portanto, o Projeto de Lei de Resiliência foi liberado para comentários públicos. Portanto, a primeira edição foi liberada e os comentários estão sendo feitos. Em breve, teremos uma leitura no Parlamento. Esperamos estar em dia com o resto do mundo nessa questão específica.

INGO SCHUBERT: Bem, exceto os EUA. Os EUA parecem ser, você sabe, um lugar selvagem no mapa, sim. Sim, realmente é. Sim, é como se, e vejo isso conversando também com colegas americanos, sim, é como se, sim, nós realmente não tivéssemos isso, certo? Mas em todos os outros lugares do mundo, parece que a resiliência, o gerenciamento de riscos parece ser um pouco mais maduro em termos de regulamentações e perdas, sim, o que é...

DAVID LELLO: Você tem que ter isso.

INGO SCHUBERT: Você tem que ter isso, certo? E quando você as lê, e você provavelmente já leu tanto ou mais do que eu, algumas dessas coisas são óbvias, como ter um gerenciamento de risco adequado. É como se você devesse saber que, se essa coisa cair, você saberá as consequências, certo? Claro que sim, porque sua empresa está ganhando dinheiro e há algo que a impede de fazer isso. Você deve saber por que e como consertar isso. E, no entanto, eles não fazem isso até serem obrigados por lei, o que é triste em alguns sentidos, certo?

DAVID LELLO: Infelizmente, a natureza humana entra em ação. No entanto, tenho dificuldade em lidar com isso porque essas coisas não são difíceis, você sabe que analisar os riscos e o gerenciamento de riscos não é difícil.

INGO SCHUBERT: Não, mas leva tempo.

DAVID LELLO: E isso leva tempo, mas quero dizer que existem muitas tecnologias diferentes que podem ajudar a simplificar o processo. Sabe, os computadores são projetados para automatizar processos. A razão pela qual temos computadores é porque temos processos manuais que exigem exércitos de pessoas para realmente fazer algo. Com os computadores, podemos automatizar todo esse processo. E com os sistemas modernos, podemos automatizar ainda mais. Por exemplo, você pode pegar coisas como o gerenciamento de vulnerabilidades. Se você tiver um ambiente modernizado e uma varredura de vulnerabilidades implementada, terá uma visibilidade relativamente boa em termos de riscos tecnológicos.

INGO SCHUBERT: Sim. A mesma coisa para nós. Governança de identidade. No fim das contas, não se trata de ciência de foguetes. Sim, é claro. Você conectará todos os sistemas diferentes, talvez crie algumas regras e tudo isso. Mas então você tem essa visibilidade e tem a visão de você, sabe, em termos de segregação de funções, conformidade e tudo isso. E, sim, é um trabalho. Sim, é um investimento em termos de dinheiro e tempo, é claro, mas você ganha algo com isso.

DAVID LELLO: Sim.

INGO SCHUBERT: Certo. Acho que as pessoas também não percebem que o gerenciamento de risco provável também lhe dá algo em troca, porque você descobre coisas que talvez não devesse investir todo esse dinheiro nessa proteção ou está tornando essa coisa resiliente porque não tem um impacto tão grande, enquanto na outra você deveria investir mais porque, se ela cair, coisas ruins acontecerão. Acho que isso também acontece, e é claro que você não percebe isso porque, se não fizer um gerenciamento de risco adequado, não terá essa visibilidade, então como tomar essa decisão, certo? Portanto, as pessoas, basicamente, as organizações estão se prejudicando por não fazerem isso, certo?

DAVID LELLO: E a governança de identidade é muito importante em termos de capacitação e ajuda. É verdade. Sabe, quando converso com muitas organizações sobre identidade, a identidade não é uma daquelas coisas de segurança que você faz porque, sabe, é uma apólice de seguro. A identidade é um facilitador. É um verdadeiro facilitador de negócios para ajudar as organizações a serem mais eficientes e mais eficazes em termos de como as pessoas têm acesso. Mas é fundamental ter o acesso certo, na hora certa e no lugar certo, e ter os modelos de governança que realmente conduzam a isso. Portanto, quando começamos a analisar os controles de ITGC e os sistemas financeiros, e você começa a analisar como o acesso precisa ser criado em seus direitos, sua segregação de funções e os mandatos que o acompanham. Essas coisas não são novidade. Elas estão escritas na Lei das Empresas e na Regulamentação Financeira há décadas.

INGO SHUBERT: Com certeza.

DAVID LELLO: E a capacidade de controlar isso com um bom sistema de governança de identidade já existe. E com uma solução modernizada, isso se torna realmente muito fácil. Não é tão difícil quanto as pessoas pensam.

INGO SCHUBERT: Olhe para nós. Falando sobre governança de segurança de identidade e começamos com quantum. É como se, sim, mas esse é o ponto. Acho que isso é algo que também abre as portas para algumas discussões com clientes ou organizações em geral, onde, por exemplo, sim, está tudo bem. Falar sobre a ameaça quântica e, você sabe, mas no final você acaba em discussões que não são realmente sobre quântica, mas sobre outras coisas. Que, sim, você pode consertar agora, você deve consertar agora, independentemente do que aconteça no futuro.

DAVID LELLO: É o conceito básico de higiene.

INGO SCHUBERT: É o conceito básico de higiene, exatamente. Essa é uma maneira perfeita de encerrar o assunto. Então, David, obrigado. Poderíamos conversar por horas, de fato, toda vez que nos encontramos. Então, muito obrigado. Acho que a ameaça quântica pode parecer distante.

Pode ser que sim, pode ser que não. Mas esperamos que, durante essa conversa, nossos telespectadores e ouvintes tenham tido a ideia de que, independentemente de você dever fazer coisas hoje para se preparar para a quântica. Isso não faz mal algum.

O que você obtém com isso o beneficia hoje em relação às ameaças que existem hoje, certo? Você não precisa esperar 20 anos para perceber os benefícios. Na verdade, você os obtém hoje.

Isso encerra o debate de hoje sobre a computação quântica e seu impacto na segurança da identidade. O futuro quântico é ficção científica e as organizações precisam entender onde estão os riscos e as oportunidades reais. Se você quiser obter mais informações sobre a resiliência da identidade e as tecnologias que preparam as organizações para o futuro, acesse RSA.com. Se você quiser ter acesso a mais episódios do RSA Identity Unmasked, não se esqueça de se inscrever. Obrigado por nos acompanhar e até a próxima.

Solicite uma Demonstração

Obrigado por seu interesse na RSA.
Solicite uma Demonstração