0
0
Por David Holmes
Os seres humanos são espetacularmente ruins em prever o futuro. Por isso, quando alguém parece conseguir fazê-lo com frequência, eles são celebrados como visionários, luminares e ganham nomes incríveis como Nostradamus e The Amazing Kreskin.
Nostradamus ganhou fama com previsões sobre um futuro distante, mas essa abordagem tem apelo limitado hoje em dia, porque todos têm o tempo de atenção de um peixe dourado. Então, como CTO de AppSec na Imperva, uma empresa do grupo Thales, vou compartilhar cinco previsões sobre cibersegurança para 2025. E, se todas se confirmarem, exijo que me chamem de The Amazing David Holmes (se ainda não o fazem).
Previsão #1: Uma empresa do Global 2000 perderá propriedade intelectual significativa devido a uma violação por injeção de prompts
A IA generativa criou um novo aplicativo revolucionário: a interface de linguagem natural para dados. Com essa nova interface surge um novo vetor de ameaça: a injeção de prompts. Em 2025, uma empresa do Global 2000 perderá propriedade intelectual significativa devido a uma violação por injeção de prompts, jailbreak ou outro erro relacionado a prompts.
Previsão #2: O investimento em IA ultrapassará US$ 1 trilhão no auge da hype
Até o quarto trimestre de 2024, a comunidade tecnológica já havia investido mais de US$ 750 bilhões em IA. Gigantes da tecnologia estão construindo novos data centers e usinas de energia apenas para computação em IA. No entanto, os casos iniciais de uso para IA generativa serão aplicações básicas, como portais para funcionários e clientes. Embora possam gerar alguma economia, será suficiente para justificar esse enorme investimento global?
Com a segurança de prompts ainda em estágio inicial e uma violação significativa envolvendo injeção de prompts (veja acima), 2025 acelerará a queda para o “vale da desilusão” do Hype Cycle mais rápido do que o esperado.
Previsão #3: Uma ferramenta de super hacking habilitada por IA redefinirá os “script kiddies”
IA generativa é uma ferramenta, e ferramentas podem ser usadas tanto para o bem quanto para o mal. Atores maliciosos já estão utilizando IA generativa para reconhecimento, campanhas de phishing e outras atividades de pré-violação. Em um estudo publicado em março de 2024, pesquisadores compararam diferentes modelos de IA para atividades de pós-violação. Pense nisso como conectar IA generativa ao Metasploit, acender o pavio e sair correndo.
Prevemos que, em 2025, um grupo de atacantes combinará as fases de pré e pós-violação em uma única ferramenta de super hacking que exigirá apenas o nome de uma empresa-alvo para lançar um ataque devastador. Quando essa ferramenta inevitavelmente vazar, defensores em todo o mundo estarão lutando para reagir.
Previsão #4: Segurança de APIs deixará de ser apenas para inovadores e ganhará adoção ampla
Recentemente, participei do Forrester Security & Risk Summit de 2024, onde a analista Madelein van der Hout apresentou uma sessão sobre segurança de APIs. Segundo sua pesquisa, a maioria das empresas está interessada em segurança de APIs, mas ainda não adotou essas soluções. Ou, se o fizeram, ainda estão nos primeiros estágios, focando apenas em descoberta e inventário de APIs.
Minha previsão é que 2025 será o ano em que a maioria das organizações empresariais na América do Norte adotará ou planejará adotar soluções de segurança de APIs nos próximos 24 meses. Algumas avançarão para monitoramento, análise de risco e, eventualmente, remediação.
Previsão #5: Um ataque significativo à cadeia de suprimentos de OSS será bem-sucedido
Em 2024, quase começamos o ano com um grande susto. Atores estatais maliciosos, após meses de engenharia social, sequestraram a manutenção do XZ Utils, uma biblioteca amplamente utilizada de software de código aberto para compressão. Eles inseriram uma backdoor oculta e a lançaram em distribuições beta. Um administrador de rede notou que o novo código causava um atraso de meio segundo nas conexões SSH e descobriu a backdoor.
Para 2025, prevemos que um ataque como o do XZ Utils será bem-sucedido. Não há nada impedindo que estados-nação determinem operações semelhantes em dezenas de projetos de código aberto. Eles só precisam de um ou dois sucessos para causar um impacto devastador.
Conclusão
Essas são as cinco previsões mais ousadas da Imperva para 2025. Embora algumas pareçam sombrias, esperamos estar errados sobre a ferramenta de super hacking com IA e os ataques devastadores à cadeia de suprimentos de OSS. Mas também esperamos que o mundo abrace a segurança de APIs em 2025. Se todas acontecerem, lembrem-se: The Amazing David Holmes avisou você!
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.