Quais são as cinco tendências mais importantes de segurança cibernética e tecnologia nativa da nuvem para 2024? O aumento de 1000 vezes de desenvolvedores e hackers, ataques de envenenamento de IA e falhas relacionadas a certificados representarão desafios para o setor de segurança.
Venafi, fabricante de gerenciamento de identidade de máquina, lançou hoje suas previsões de segurança cibernética e cenário nativo da nuvem para 2024. A IA representa novas ameaças e agrava os riscos existentes, a vida útil das identidades das máquinas diminui e a autenticidade dos códigos está sujeita a um escrutínio mais rigoroso. Como resultado, o próximo ano será um desafio para a indústria de segurança.
“Em 2023, as empresas experimentaram uma onda de inovação em IA, mas à medida que começaram a experimentar novos casos de uso, os riscos aumentaram e surgiram novas ameaças”, disse Kevin Bocek, vice-presidente de ecossistema e comunidade da Venafi. “Novas ameaças, como envenenamento de IA e fuga de modelo, surgiram, enquanto ondas massivas de código generativo de IA estão sendo exploradas por desenvolvedores e novatos de maneiras que ainda não foram compreendidas. Além disso, a IA e o aprendizado de máquina são executados em infraestruturas nativas de nuvem, tornando o uso de tecnologias como o Kubernetes um alvo ainda maior para os invasores. Estas questões terão grandes implicações de segurança em 2024 e além, se não forem abordadas.”
Cinco previsões mais importantes para 2024
1. Em 2024, o “desenvolvedor 1000x” combinado com o “hacker 1000x” formarão a estrutura ideal para violações de segurança.
“O impulso crescente por trás do movimento ‘1000x Developer’, que visa tornar os desenvolvedores mil vezes mais produtivos através da IA, irá exacerbar ainda mais os desafios de segurança no próximo ano. A velocidade e a complexidade da proteção de ambientes modernos são notavelmente altas. As organizações já enfrentam desafios: 75% dos líderes de TI e de segurança acreditam que a velocidade e a complexidade dos Kubernetes e dos contentores estão a criar novas vulnerabilidades de segurança, enquanto 59% dos entrevistados admitem ter enfrentado problemas relacionados com a segurança em Kubernetes ou em ambientes de contentores.
75% dos líderes de TI e segurança acreditam que a velocidade e a complexidade dos Kubernetes e dos contêineres estão criando novas vulnerabilidades de segurança...
Para complicar ainda mais a situação está a ascensão do “hacker de 1000 vezes” – atacantes habilitados para IA que são igualmente prolíficos e poderosos. As empresas não podem contratar 1000 profissionais cibernéticos para competir com estas ameaças. A solução é abraçar o poder da automação que opera na velocidade da máquina. A única maneira de acompanhar as ameaças é implantar a automação na velocidade da máquina. Quando os desenvolvedores usam IA para serem 1000 vezes mais produtivos, também precisamos de 1000 vezes um CISO e 1000 vezes um arquiteto de segurança.” – Kevin Bocek, vice-presidente de ecossistema e comunidade da Venafi
2. 2024 será o ano crucial para o ataque de envenenamento de IA, já que as eleições são o alvo.
“Em 2024, os ataques de envenenamento por IA serão as novas ameaças à cadeia de fornecimento de software. Esses ataques são caracterizados por invasores que visam os pipelines de dados de entrada e saída para manipular dados e envenenar os modelos de IA e os resultados que eles produzem. Como a IA é utilizada numa vasta gama de cargas de trabalho críticas para os negócios – potencialmente com muito pouca supervisão – a integridade de tais sistemas é de suma importância. Mesmo pequenas alterações nos dados de entrada podem afetar drasticamente os resultados, seja imediatamente ou lentamente ao longo do tempo. Portanto, é crucial proteger todos os dados inseridos na IA. Isto significa que a origem dos dados deve ser rastreada e tecnologias como a assinatura de código devem ser utilizadas para garantir a segurança dos dados.
Coincidindo com as principais eleições globais, espera-se que a adoção generalizada da IA generativa em 2024 conduza a um aumento significativo da interferência eleitoral. Desde a criação de deepfakes convincentes até à crescente disseminação de desinformação direcionada, o conceito de confiança, identidade e até mesmo a própria democracia estão sob sério escrutínio. Isto significará maior responsabilidade para os indivíduos pensarem criticamente e tomarem decisões informadas. Da mesma forma, as plataformas de mídia são obrigadas a combater ativamente e erradicar conteúdos falsos.” – Shivajee Samdarshi, gerente sênior de produtos da Venafi
3. No próximo ano, as regulamentações irão interferir ainda mais no desenvolvimento, uma vez que as alterações à responsabilidade por violações de dados poderão ter impacto na inovação.
“No próximo ano, a UE será provavelmente forçada a rever a Lei de Resiliência Cibernética, uma vez que é impraticável na sua forma atual. A redação da lei relativa à responsabilidade por violações da proteção de dados e do código aberto é particularmente preocupante. Da forma como está atualmente, um desenvolvedor de 16 anos que cria código-fonte aberto e recebe apenas um café como recompensa poderia, teoricamente, ser responsabilizado se uma organização que usa seu código sofrer uma violação de dados. Por conseguinte, é necessário clarificar a legislação relativa às disposições de responsabilidade para garantir que as pessoas que desenvolvem código-fonte aberto na UE possam continuar a contribuir.
Lei de Resiliência Cibernética: Conforme redigida atualmente, um desenvolvedor de 16 anos que cria código-fonte aberto e recebe apenas um café como recompensa poderia, teoricamente, ser responsabilizado...
Olhando para 2024, o tema “Conheça o seu Código” tornar-se-á cada vez mais importante, apoiado por regulamentos como a Ordem Executiva sobre SBOMs. Isso significa que as empresas devem identificar e verificar a origem do código que utilizam. Numa época em que a IA é usada para gerar código, determinar a origem do código é mais difícil do que nunca. As empresas que não aderirem a este princípio enfrentam não apenas ataques, mas também possíveis multas.” – Matt Barker, chefe global de serviços nativos de nuvem da Venafi.
4. À medida que as empresas lutam para escalar a segurança e a governação através dos limites de confiança, a identidade da máquina e a gestão de acesso em 2024 concentrar-se-ão na camada de carga de trabalho.
“A pesquisa mostra que 76% dos líderes de TI acreditam que estamos caminhando para uma conta de nuvem em termos de custo e segurança. Muitas organizações começaram sua jornada com um único provedor de nuvem, exigindo que gerenciassem a identidade e o acesso somente dentro desse ambiente. No entanto, 69% admitem que levaram consigo muitos problemas de segurança antigos ao migrar para a nuvem. À medida que as organizações amadureceram, começaram a utilizar a nuvem de forma distribuída através de múltiplos limites de confiança, exigindo a gestão de todas as identidades.
O desafio em 2024 é garantir que os controlos de segurança funcionam em todo o lado e podem ser geridos de forma consistente. Isto requer uma mudança estratégica para um método neutro e descentralizado de gerenciamento de identidades de máquinas e controle de acesso. Essa alteração permite identidade em nível de carga de trabalho e autenticação de acesso. Como resultado, a adoção de identidades federadas, como as identidades de máquina SPIFFE, aumentará. As empresas podem então aproveitar sua infraestrutura de chave pública existente para criptografar cargas de trabalho de forma robusta, independentemente de onde elas sejam executadas.” – Sitaram Iyer, Diretor Sênior de Soluções Nativas de Nuvem da Venafi.
5. As falhas duplicarão até 2024 à medida que a vida útil das identidades das máquinas diminuir.
“A vida útil mais curta das identidades das máquinas pode causar o caos, pois as falhas podem duplicar ou até triplicar. O Google já anunciou que reduzirá o período de validade dos certificados TLS públicos confiáveis para 90 dias – um passo importante para tornar mais difícil para os cibercriminosos o uso indevido de identidades. Porém, a maioria das empresas não está preparada para isso. Vimos o impacto mais recente da inadimplência de certificados, quando sistemas de pagamento inteiros entraram em colapso e as pessoas não conseguiram mais abastecer seus carros ou comprar mantimentos. À medida que a vida útil dos certificados continua a diminuir, isso se tornará mais comum, a menos que as organizações automatizem o gerenciamento de identidades de máquinas.” – Kevin Bocek, vice-presidente de ecossistema e comunidade da Venafi.
Mais em Venafi.com
Sobre Venafi A Venafi é líder em segurança cibernética para gerenciamento de identidade de máquinas. Da fundação à nuvem, as soluções Venafi gerenciam e protegem identidades para todos os tipos de máquinas - de dispositivos físicos e IoT a aplicativos de software, APIs e contêineres. Venafi fornece visibilidade global, automação do ciclo de vida e inteligência acionável para todos os tipos de identidades de máquina e seus riscos associados de segurança e confiabilidade.