Uma versão anterior desta postagem do blog foi publicada em NASDAQ em 1º de junho de 2023
Quando você elimina todo o jargão, as políticas, os títulos e os padrões, a segurança cibernética sempre foi um jogo de números. As equipes de segurança precisam proteger X usuários, aplicativos, direitos e ambientes. As organizações contam com Y profissionais de segurança para proteger esses recursos. Elas têm um orçamento Z para gastar em tecnologias, ferramentas e treinamento.
Esses números estão se afastando de nós. O universo da identidade está se expandindo muito mais rápido do que os atores humanos conseguem acompanhar: em um 2021 Na pesquisa, mais de 80% dos entrevistados disseram que o número de identidades que gerenciavam havia mais do que dobrado, e 25% relataram um aumento de 10 vezes.
E não é só porque estamos criando mais identidades - estamos criando identidades que podem fazer muito mais do que o necessário. Aproximadamente 98% de permissões não são utilizadas. Esses riscos aumentam à medida que as organizações acrescentam mais ambientes de nuvem: Gartner prevê que o "gerenciamento inadequado de identidades, acesso e privilégios causará 75% de falhas de segurança na nuvem" este ano, e que metade das empresas exporá por engano alguns de seus recursos diretamente ao público.
Não é de se admirar, portanto, que 58% das vezes, as equipes de segurança descobriram que haviam sido violadas por meio da divulgação de um agente de ameaças. É isso mesmo: mais da metade das vezes, as organizações só souberam que tinham sido derrotadas quando os bandidos lhes disseram que tinham perdido.
Repetidamente, vimos os agentes de ameaças explorarem esses números atacando as infraestruturas de identidade das organizações e lançando alguns dos ataques cibernéticos de maior visibilidade e mais prejudiciais da história recente. A Colonial Pipeline, a SolarWinds, a LAPSUS$ e os agentes de ameaças patrocinados pelo Estado demonstraram como as infraestruturas de identidade se tornaram grandes, interconectadas e vulneráveis.
Não me entenda mal: não pretendo culpar as equipes de segurança cibernética por essas violações. Não se trata apenas de seus adversários serem espertos, sortudos ou ambos. Não se trata apenas do fato de que não se pode esperar que organizações privadas tenham os mesmos recursos de um estado-nação. Concentrar-se nessas variáveis não é o mais importante, ou seja, não se pode mais esperar que agentes humanos garantam a segurança, a conformidade e a conveniência do patrimônio de TI de uma organização. A velocidade, o escopo e a complexidade do que precisamos proteger cresceram várias magnitudes além do que a mente humana pode sequer conceber, quanto mais proteger.
Não é que os números não se somem; é que sua soma excede a capacidade humana.
Considerando o tamanho e a complexidade do universo de TI atual - e o quão maior e mais complexo ele está prestes a se tornar -, não é razoável esperar que as equipes de identidade e segurança criem universos de TI seguros, compatíveis e convenientes. Não acho que os humanos pode fazer isso por conta própria.
A boa notícia é que eles não precisam fazer isso. Assim como o universo da identidade está se expandindo além da capacidade humana, a inteligência artificial - IA - chegou a um ponto em que pode ajudar a proteger todo o ciclo de vida da identidade. Estamos criando novas ferramentas adequadas a esse momento e capazes de proteger as lacunas e os pontos cegos que os agentes de ameaças exploram.
A IA é adequada para este momento porque é excelente em fazer algo com que os humanos sempre tiveram dificuldade: entender rapidamente grandes quantidades de dados.
Como exemplo, lembre-se de que 98% de direitos nunca são usados. Isso provavelmente é resultado do excesso de provisionamento de contas pelas equipes de TI e de identidade desde o momento em que um novo usuário é integrado e uma conta é criada. Temos muitos direitos incorporados desde o início e não conseguimos reagir com rapidez suficiente para provisionar o acesso adequado quando necessário.
Os seres humanos tendem a ver o mundo em aproximações de granularidade grosseira: consideramos que a engenharia precisa de acesso ao servidor de desenvolvimento, a equipe de operações precisa de acesso ao servidor de produção e que os administradores precisam de acesso a ambos. Muitas soluções de governança são criadas com base nessas aproximações de granulação grossa: o controle de acesso baseado em função (RBAC) atribui privilégios com base no departamento ao qual alguém está atribuído em uma organização. Os funcionários do Marketing devem ter acesso aos direitos A, B e C, enquanto o Financeiro deve ter acesso aos direitos D, E e F.
E, embora as aproximações de granulação grossa sejam construções úteis, elas estão fundamentalmente em desacordo com a diretriz de confiança zero de fornecer o mínimo necessário de direitos para cumprir uma função. A confiança zero exige análise e tomada de decisões refinadas e just-in-time. Chegar à confiança zero significa ter uma compreensão quase molecular de quem é o usuário, do que ele precisa, quando precisa, como deve usá-lo e por quê. Isso também exige reexaminar essas informações quase a todo momento e garantir continuamente que uma solicitação seja apropriada.
Os seres humanos não conseguem operar nesse nível ou nessa velocidade. Mas a IA pode. Uma máquina não se intimida com milhares de usuários com milhões de direitos que mudam a cada segundo. Pelo contrário, uma máquina pode se tornar mais eficiente ao aprender com um conjunto de dados mais amplo. Enquanto os humanos podem ficar sobrecarregados com essa quantidade de dados, as máquinas podem usá-los para desenvolver uma segurança cibernética mais forte, melhor e mais rápida.
Eu já disse isso antes, mas vale a pena repetir: não temos nenhuma chance de chegar à confiança zero sem IA.
Vimos em primeira mão as contribuições da IA para a segurança cibernética. Por quase 20 anos, a RSA tem usado o aprendizado de máquina e a análise comportamental para melhorar a autenticação dos clientes. Nosso recurso de IA de risco aprende o comportamento típico de cada usuário e, em seguida, aplica sinais contextuais - incluindo a hora do dia em que o usuário está fazendo uma solicitação, o dispositivo que está usando, o endereço IP, os padrões de acesso e outros fatores - para chegar a uma pontuação de confiança de identidade e, se necessário, automatizar a autenticação por etapas.
E isso é apenas autenticação: as organizações podem obter melhores resultados, mais valor e maior segurança aplicando a inteligência de identidade em uma plataforma de identidade unificada que integra autenticação com acesso, governança e ciclo de vida. A RSA anunciou recentemente novos recursos automatizados de inteligência de identidade para Governança e ciclo de vida da RSA. Em breve, traremos painéis e inteligência adicionais às nossas soluções e ajudaremos os clientes a entender sua postura geral de risco de acesso, identificar usuários, aplicativos e locais de alto risco e determinar as mudanças de política necessárias para proteger melhor os ativos essenciais.
A identidade sempre foi o escudo de uma organização. A identidade nos diz quem devemos deixar entrar e estabelece como verificamos se alguém é quem diz ser. Ela determina o que nossos usuários devem ter acesso. Ela determina a que nossos usuários devem ter acesso.
A identidade cria as defesas iniciais e mais importantes de toda organização. Mas se a identidade é o escudo do defensor, ela também é o alvo do atacante. De fato, a identidade é a parte mais atacada da superfície de ataque: 84% das organizações relataram uma violação relacionada à identidade em 2022, de acordo com a Aliança de Segurança Definida por Identidade. Verizon descobriu que as senhas são a principal causa de todas as violações de dados todos os anos nos últimos 15 anos.
Não podemos esperar que o SOC (Security Operations Center, Centro de Operações de Segurança) entre em ação: um universo de identidade em rápido crescimento significa mais endpoints, tráfego de rede e infraestrutura de nuvem para eles monitorarem. As equipes do SOC já não têm nenhuma visibilidade das ameaças à identidade, como força bruta, rainbow tables ou atividade incomum do usuário - não é razoável esperar que elas assumam as ameaças à identidade agora que elas estão se tornando mais pronunciadas.
Com o SOC sobrecarregado e a identidade sob ataque, a identidade precisa se adaptar. Não basta que uma plataforma de identidade seja excelente na defesa. No futuro, a identidade também precisa ser excelente em autodefesa.
Precisamos criar plataformas que façam detecção e resposta a ameaças à identidade (ITDR) de forma intrínseca, não como um recurso ou uma opção, mas como parte fundamental de sua natureza.
Nosso setor está trabalhando para desenvolver esses recursos. Na RSA, estamos expandindo a autenticação baseada em riscos em nossa Unified Identity Platform para evitar riscos, detectar ameaças e automatizar respostas.
Devemos priorizar esse trabalho, pois nossos adversários já estão usando a IA para aprimorar e acelerar seus ataques. A IA pode escrever malware polimórfico, aprimorar e executar campanhas de phishing, e até mesmo hackear o julgamento humano básico e o raciocínio com deepfakes.
A integração da IA à segurança cibernética será um trabalho difícil, mas essencial. Em última análise, isso significará uma segurança cibernética melhor, mais inteligente, mais rápida e mais forte. Nosso setor está nos primeiros dias do uso da IA para proteger as organizações, mas os sinais são promissores: IBM descobriu que as organizações com segurança e automação de IA totalmente implementadas reduziram o tempo necessário para identificar e conter uma violação em 74 dias e diminuíram o custo de uma violação de dados em mais de $3 milhões.
Mas não será sem seus desafios: nós, humanos, enfrentamos um desafio pendente crise de identidade. Os profissionais de segurança cibernética precisarão reimaginar nossas funções trabalhando ao lado da IA. Teremos que aprender novas habilidades para treinar, supervisionar, monitorar e até mesmo proteger a IA. Precisaremos priorizar a solicitação de melhores serviços de IA perguntas, definindo suas políticas e refinando seus algoritmos para ficar um passo à frente de nossos adversários.
Em última análise, não é apenas a tecnologia que precisa evoluir. Somos todos nós.
