0
0
Por Zachary Curley
É conhecimento comum que, quando se trata de segurança cibernética, não existe uma definição de risco que sirva para todos, nem há lugar para planos estáticos. Novas tecnologias são criadas, novas vulnerabilidades são descobertas e mais atacantes surgem no horizonte. Mais recentemente, o surgimento de modelos avançados de linguagem, como o ChatGPT, levou esse conceito a um nível superior. Essas ferramentas de IA são capazes de criar malware direcionado sem a necessidade de treinamento técnico e até mesmo podem orientar o usuário sobre como usá-las.
Embora as ferramentas oficiais tenham salvaguardas em vigor (com mais sendo adicionadas à medida que os usuários encontram novas maneiras de contorná-las) que reduzem ou impedem o abuso delas, existem várias ofertas na dark web que estão dispostas a preencher o vazio. Indivíduos empreendedores criaram ferramentas especificamente treinadas com dados de malware e capazes de apoiar outros ataques, como phishing ou comprometimento de e-mail.
Reavaliação do risco
Embora o risco deva ser avaliado regularmente, é importante identificar quando mudanças tecnológicas significativas impactam materialmente o cenário de risco. Seja a proliferação de dispositivos móveis no local de trabalho ou o fácil acesso a dispositivos conectados à Internet com segurança mínima (para citar alguns dos desenvolvimentos mais recentes), há momentos em que as organizações precisam reavaliar completamente seu perfil de risco. Vulnerabilidades improváveis de serem exploradas ontem podem de repente se tornar o novo vetor de ataque mais eficaz hoje.
Existem inúmeras maneiras de avaliar, priorizar e abordar os riscos à medida que são descobertos, variando entre organizações, setores e preferências pessoais. No nível mais básico, os riscos são avaliados multiplicando a probabilidade e o impacto de qualquer evento específico. Esses fatores podem ser determinados por inúmeros métodos e podem ser afetados por inúmeros elementos, incluindo:
- Geografia
- Setor
- Motivação dos atacantes
- Habilidade dos atacantes
- Custo do equipamento
- Maturidade do programa de segurança do alvo
Neste caso, a chegada de ferramentas como o ChatGPT reduz consideravelmente a barreira de entrada ou a “habilidade” necessária para um ator malicioso executar um ataque. Ataques sofisticados e direcionados podem ser criados em minutos com um esforço mínimo por parte do atacante. Organizações que antes estavam seguras devido ao seu tamanho, perfil ou setor, agora podem ser alvo simplesmente porque é fácil fazê-lo. Isso significa que todos os perfis de risco estabelecidos anteriormente estão desatualizados e não refletem adequadamente o novo ambiente no qual as empresas se encontram. Mesmo empresas com um processo de gerenciamento de risco robusto e um programa maduro podem enfrentar dificuldades para se adaptar a essa nova realidade.
Recomendações
Embora não haja uma solução única que sirva para todos, há algumas ações que as empresas podem adotar e que provavelmente serão eficazes. Em primeiro lugar, a empresa deve realizar uma avaliação e análise imediatas de seus riscos atualmente identificados. Em seguida, a empresa deve avaliar se alguns desses riscos podem ser razoavelmente combinados (também conhecido como agregados) de maneira que altere materialmente sua probabilidade ou impacto. Por fim, a empresa deve garantir que suas equipes executivas estejam cientes das mudanças no perfil de risco da empresa e considerem a possibilidade de ajustar a apetite por risco e tolerâncias existentes da organização.
Avaliação e análise de risco
É importante começar reavaliando o estado atual de risco dentro da organização. Como mencionado anteriormente, riscos ou ataques que antes eram considerados improváveis agora podem estar a apenas alguns cliques de serem implantados em massa. A organização deve percorrer seu registro de riscos, se existir, e avaliar todos os riscos identificados. Isso pode ser demorado, e a organização deve, é claro, priorizar os riscos críticos e elevados em primeiro lugar, mas é importante garantir que a empresa tenha as informações necessárias para abordar eficazmente os riscos.
Agregação de risco
Uma vez que os riscos tenham sido reavaliados e priorizados adequadamente, eles também devem ser revisados para ver se podem ser combinados. Com a ajuda de ataques de IA, os atacantes podem descobrir novas maneiras de encadear diferentes vulnerabilidades para apoiar seus ataques. Isso pode ser feito em paralelo com a avaliação e análise de risco, mas a organização deve garantir que essa revisão seja incluída assim que razoavelmente possível.
Conscientização executiva e contribuição
Durante todo esse processo, a equipe executiva da organização deve ser informada das mudanças no perfil de risco da empresa. Isso pode incluir sessões de aprendizado ou apresentações formais sobre o que é a IA e como ela é usada, apresentação formal do registro de riscos reavaliado, ou qualquer outro método eficaz. No mínimo, a equipe executiva deve estar ciente de:
- Quaisquer mudanças nos riscos identificados pela organização
- Quaisquer recomendações relacionadas a opções de tratamento de risco ou à apetite por risco da organização
- Quão eficazes são os controles existentes contra ataques com suporte de IA
Riscos imediatos ou de curto prazo que exigem atenção imediata
À luz das recentes decisões da SEC (Comissão de Valores Mobiliários dos Estados Unidos) (consulte este blog para obter informações adicionais), esse passo é duplamente importante para qualquer organização que seja de capital aberto. Garantir que a equipe executiva esteja devidamente informada é vital para apoiar o tratamento eficaz e adequado do risco.
Essas recomendações não são abrangentes, no entanto. As empresas devem garantir que estão aderindo às melhores práticas do setor e têm uma base suficiente para apoiar seu programa, além do que foi mencionado acima.
No cenário digital em constante evolução de hoje, o surgimento de modelos de linguagem poderosos levanta novas questões e desafios que as organizações não podem se dar ao luxo de ignorar. Esses modelos e as ferramentas maliciosas construídas a partir deles estão remodelando a fronteira da segurança cibernética, oferecendo avanços e vulnerabilidades. Portanto, é imperativo que as organizações integrem ativamente a compreensão dessas novas tecnologias em suas avaliações de risco em andamento e estruturas de governança. Fazendo isso, elas podem não apenas se proteger contra ameaças emergentes, mas também aproveitar essas tecnologias para obter vantagem competitiva. Como diz o ditado, ‘a única constante é a mudança.’ Na segurança cibernética, a capacidade de se adaptar à mudança não é apenas uma vantagem, é uma necessidade.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.