Autores: Morey J. Haber, Chief Security Officer, Christopher Hills, Chief Security Strategist, e James Maude, Diretor de Pesquisa
À medida que nos aproximamos do término de 2023, é hora de analisar as tendências de segurança cibernética que tomaram corpo ao longo do ano e começar a planejar o futuro. Para esta edição de nossas previsões anuais de tendências de segurança cibernética, compartilhamos nossos principais prognósticos para 2024, bem como um vislumbre das principais tendências que prevemos que se estabeleçam nos próximos cinco anos.
Mas antes, vamos analisar o cenário atual. A Inteligência Artificial (IA) realmente chegou com força total em 2023. Em particular, a IA generativa fez sua estreia na consciência mainstream com o ChatGPT. A aceitação da IA em vários aspectos dos negócios, da codificação à contabilidade, promete inúmeros benefícios para a produtividade no ambiente corporativo – mas também muda o jogo quando se trata de ameaças cibernéticas.
Continue lendo para saber mais sobre os desenvolvimentos que achamos que impactarão o cenário de segurança cibernética em 2024. As previsões deste ano podem parecer uma "edição de IA" – mas os autores ainda são humanos (esperamos que sejam).
Tendências de Cibersegurança para 2024
1. A Evolução das Ameaças da Inteligência Artificial (IA)
A IA virá com tudo em 2024. Mas com ela, também devemos esperar a evolução das ameaças relacionadas a ela em três estágios:
Parte I – Entram em cena os atores de ameaças de IA
Os atores humanos de ameaças aumentarão ainda mais, considerando os recursos de IA. Essas capacidades atuarão como um multiplicador de força, ampliando rapidamente o alcance e as capacidades técnicas que os atacantes podem exercer.
Já testemunhamos o aproveitamento de recursos de IA para gerar ransomware e malware, mas ainda não fomos totalmente testados pela IA como uma ameaça cibernética aos negócios. A IA generativa (pense em tecnologias como o ChatGPT) já abriu caminho para o que está por vir: a Weak IA (também chamada de Narrow IA), que se concentra em tarefas específicas. A Weak IA prosperará em 2024, fornecendo uma vantagem para os agentes de ameaças em áreas específicas, como descobrir vulnerabilidades e evitar a detecção.
Também esperamos ver um crescimento significativo da Strong AI, que oferece uma inteligência muito mais ampla e semelhante à humana. A Strong IA também é conhecida como Inteligência Geral Artificial (AGI) ou Super Inteligência Artificial (ASI). Isso pode levar ao surgimento de agentes de ameaças baseados em computador que são capazes de conduzir ataques cibernéticos de ponta a ponta e de forma autônoma.
Uma Strong IA também permitirá que um único ator de ameaça atue como um grande grupo. Isso compensará as habilidades técnicas fornecidas por outros humanos e, ao mesmo tempo, dará ao atacante uma vantagem competitiva em velocidade e escala para capitalizar no mercado negro contra atores de ameaças legados e somente humanos.
Parte II – Novos vetores de ameaças de IA surgem
A IA continuará a aprimorar os vetores de ataque existentes, como phishing, vishing e smishing. Ela também criará vetores de ataque com base na qualidade dos resultados da própria IA generativa. Essa, por sua vez, será tão disruptiva para o mundo quanto a era das pontocom (.com) foi no início dos anos 2000. Alguns argumentarão que a IA será tão revolucionária quanto a própria Internet.
Os agentes de ameaças sempre encontraram uma maneira de aproveitar as novas tecnologias para comportamentos mal-intencionados. Alguns indicadores iniciais já se materializaram na forma de artigos de notícias falsas de jornais importantes, casos legais falsos e correspondências e anúncios falsos de empresas. Eles se materializarão na forma de vídeos, anúncios e até mesmo históricos falsos ou anúncios de produtos falsos que desafiarão nossa capacidade de determinar o que é real e o que é golpe.
Parte III – Assistentes de código de IA introduzem mais vulnerabilidade
O aumento da adoção de assistentes de IA irá, talvez contra-intuitivamente, introduzir mais erros no desenvolvimento dos softwares. Ou seja, gravar vulnerabilidades de segurança no código-fonte.
Pesquisadores de Stanford publicaram resultados de estudos mostrando que desenvolvedores que usam assistentes de IA para escrever código são mais propensos a introduzir vulnerabilidades de segurança do que aqueles que não dependem de assistentes de IA.
À medida que os desenvolvedores continuam a adotar ferramentas para facilitar suas vidas e aumentar sua produtividade, veremos o código-fonte sendo enviado para serviços de nuvem que podem não ser seguros, e isso resultará em riscos de código-fonte. O aumento do uso dessas ferramentas também começará a introduzir vulnerabilidades e configurações incorretas não intencionais geradas por IA nos softwares.
Modelos de IA generativa sendo treinados em exemplos de código on-line que contêm erros farão com que o erro de máquina, em vez de erro humano, seja a causa de vulnerabilidades dos softwares.
2. Aplicações Dedicadas Estão em Extinção
A IA generativa tornará obsoletas as aplicações dedicadas a partir de 2024.
Há um potencial para que a colaboração ocorra quando abandonarmos nossas aplicações de dispositivos móveis e lojas de mercado em favor da IA. A IA generativa já provou que pode construir itinerários de viagem completos, informar o status de dados com base em conectividade confiável e exibir informações dinamicamente com base em solicitações verbais ou escritas.
Com tanta flexibilidade e poder, aplicações dedicadas para serviços bancários, viagens e recuperação de informações podem se tornar obsoletas, se conexões confiáveis puderem ser estabelecidas usando conceitos como Zero Trust. Perguntas como "qual é o meu extrato bancário", "por favor, reserve a minha viagem" ou "por favor, recupere as últimas 10 vendas para a minha empresa" podem tornar-se realidade. Na verdade, as próprias aplicações podem se tornar conectores que criam confiança para uma interface comum que fornece os resultados, assim como um navegador.
Este é o futuro da IA generativa. Tudo o que precisamos será um comando de voz usando uma interface padrão. Isso pode fazer com que telas de dispositivos móveis maiores se tornem obsoletas, pois o conceito de interfaces de usuário complexas para aplicações detalhadas se tornará orientado a resultados e específico para funções.
3. Abaixo o VoIP e o POTS - UCS é o Futuro
Em 2024, esperamos ver a sentença de morte definitiva para o POTS (Plain Old Telephone System), contas telefônicas de longa distância e telefones de mesa – e o VOIP dedicado não ficará muito atrás.
A morte do POTS não é surpresa. Há vinte anos, antecipávamos o seu declínio. Hoje, poucos sistemas POTS evitaram a substituição por VOIP (Voice Over Internet Protocol) — smartphones físicos conectados ao TCP/IP usando várias tecnologias para transmitir chamadas telefônicas.
Os primeiros sistemas VOIP tinham tecnologia de gateway complexa para comunicar implementações VOIP locais para POTS no mundo exterior. Então a nuvem entrou. Se sua organização tivesse uma boa largura de banda para oferecer suporte a dados, streaming e chamadas telefônicas de voz com base em configurações de qualidade de serviço, o VOIP poderia ser gerenciado a partir da nuvem.
Hoje, tudo isso está mudando para Serviços de Comunicação Unificada (UCS) e aplicações. Microsoft Teams, Zoom, Ring Central, etc. levaram as comunicações para o próximo nível e tornaram as chamadas telefônicas com telefones dedicados quase obsoletas. Podemos atender chamadas telefônicas em nossos computadores, usando aplicativos em nossos smartphones, e quase suprimimos a necessidade de VOIP e POTS dedicados. Na verdade, é apenas uma questão de tempo até que os números de telefone se tornem um ponto discutível também e sejam totalmente ofuscados por endereços de e-mail e aliases.
Finalmente, com as comunicações não dependendo mais de um sistema analógico dedicado, espere que vulnerabilidades, hacks e explorações violem o que antes era considerado um meio seguro para comunicações.
4. Overdose de Assinaturas
Espere que até mesmo itens simples tenham assinaturas, desde o direito de usar sua impressora remotamente até a tecnologia de casa inteligente e as contas de mídia social que temos dado como garantidas.
Quando criança, ouvíamos a expressão "se você gosta de alguma coisa, e pode pagar, você pode comprá-la". Quando os cartões de crédito se tornaram prontamente disponíveis para todos na década de 1980, milhões de pessoas aprenderam a comprar produtos e serviços a crédito. Embora o crédito tenha mudado os limites da acessibilidade, todas essas compras foram perpétuas.
Em 2024, os pagamentos eletrônicos continuarão a substituir o dinheiro, mas em vez de comprar coisas definitivamente, vamos licenciá-las cada vez mais por meio de uma assinatura. Se você quiser receber a versão mais recente de um aplicativo ou se quiser serviços de entrega sem custo adicional, eles serão baseados em assinatura. Na verdade, cada vez mais itens que compramos no passado se tornarão disponíveis/utilizáveis apenas através de uma assinatura.
Uma consideração aqui é que quaisquer lacunas no licenciamento de assinatura ou rescisão de um contrato podem levar à perda de dados (durante a lacuna) ou arquivamento de informações que podem estar sujeitas a uma violação de dados posterior. Solicitar a exclusão de dados do término intencional de uma assinatura pode ser o melhor recurso do usuário para combater as informações digitais armazenadas durante seu período.
5. Juice Jackers Exploram a Padronização USB-C
2024 será o ano do USB-C. Tudo, desde celulares até computadores, mudará para USB-C seguindo novas leis dos USA e considerando o potencial para recarga de alta velocidade e transferência de dados. Ao longo do ano, podemos esperar ver os conectores USB-A antigos, retangulares, unidirenciais lentamente removidos de tudo, desde aviões até despestadores.
Ter um conector USB padrão irá garantir a compatibilidade, nos aproximará do uso do mesmo conector de energia em todo o mundo e eliminará toneladas de lixo eletrônico de conectores proprietários. Do ponto de vista da ameaça, você também pode esperar um aumento de juice jackers e outros vetores de ataque relacionados a conexões físicas. Com apenas um tipo de conexão para os agentes de ameaças serem direcionados, a barra foi rebaixada.
6. Explorando o Mapeamento para Ransomware
Espere ver o foco do ataque mudar de dados para extorsão para dados exploráveis para venda. Os agentes mal-intencionados se concentrarão mais em vender informações de exploração e vulnerabilidade sobre uma empresa do que em realizar o resgate por conta própria.
Ao longo deste último ano, já vimos o propósito de um ataque evoluir de informações de identificação pessoal (PII) e informações de saúde protegidas (PHI) para spyware, malware e ransomware. Vimos até onde os ataques de ransomware aproveitaram dados exfiltrados para extorsão.
Em 2024, podemos esperar uma nova mudança no propósito do ataque para vulnerabilidade de informações identificáveis (VII) e exploração de informações identificáveis (EII), uma vez que se torne acoplado à IA. Em vez de colocar a mão na massa (e arriscar a detecção) injetando malware e mantendo as empresas reféns do pagamento de ransomware, veremos os agentes de ameaças começarem a aproveitar a ameaça para vender dados exploráveis, como vulnerabilidades corporativas, exploits, identidades, privilégios e higiene.
Esse invasor recém-projetado terá como alvo dados que podem levar alguém a um comprometimento ou que podem violar uma organização. Semelhante a um auditor que revisa suas práticas de segurança e diz o que você precisa corrigir, os agentes de ameaças criarão uma lista de como você pode ser atacado e aproveitarão essas informações como parte do resgate com uma presença persistente para provar sua intenção.
7. A Padronização do Seguro Cibernético
O seguro cibernético se tornará mais padronizado entre os provedores, em vez de corretores terem seus próprios requisitos ou checklists.
O seguro cibernético continuou a amadurecer nos últimos três anos. À medida que as tecnologias e os riscos continuam a se diversificar e evoluir rapidamente com IA, conflitos globais e conectividade 5G (para citar apenas alguns), as seguradoras cibernéticas responderam adotando novas categorias específicas. Por exemplo, os " Acts of War" já foram amplamente adotados em apólices de seguro e operadoras.
Infelizmente, várias operadoras de seguros cibernéticos pesam o risco de forma diferente. Mas os atores de ameaças não se importam se você é uma loja de mãe e pop ou uma empresa multibilionária. Eles só veem oportunidade.
Em 2024, espere ver mais de um controle central ou abordagem baseada em estrutura para o seguro cibernético. Essa evolução permitirá que os provedores se padronizem contra todas as ameaças quando se trata de reduzir o risco e a responsabilidade relacionados às políticas cibernéticas.
Tendências de segurança cibernética nos próximos cinco anos
1. A Era do Malware Chega ao Fim
Com as aplicações em nuvem e SaaS sendo o novo normal, o comprometimento de identidades se tornará a bola da vez. A maioria das invasões interativas envolverá identidades comprometidas e ferramentas nativas, em vez de explorações de software e malware personalizado.
A época dos agentes de ameaças encontrando e explorando vulnerabilidades críticas de dia zero e usando malware personalizado está acabando. Usar malware causa ruído e aumenta a probabilidade de ser detectado por ferramentas cada vez mais inteligentes. Para evitar a detecção, os agentes de ameaças se esforçarão para explorar identidades e seu acesso, tornando-se livres de malware usando ferramentas nativas, APIs e acesso em ataques do tipo living-off-the-land (LotL).
Essa poderosa combinação de identidades comprometidas e invasões livres de malware causará desafios reais às organizações que estão acostumadas a caçar malware e explorações de código em seu ambiente para identificar invasores. Essa evolução acelerará a necessidade de as equipes do IAM e da segurança melhorarem a colaboração. O resultado será uma mudança centrada nas identidades e na tentativa de estabelecer uma linha de base da atividade normal para detectar desvios que possam indicar comprometimento.
2. Supply Chain de IA na Mira
Haverá uma concentrarão na exploração das cadeias de suprimentos de IA para introduzir fraquezas que podem ser aproveitadas mais tarde.
Por exemplo, os assistentes de código de IA podem adicionar vulnerabilidades em dados e até mesmo documentação. Esse efeito pode ser alcançado por meio do direcionamento direto de assistentes de IA ou pela disseminação de desinformação online, onde será consumida pelo assistente de IA. Isso pode levar à entrada automática de vulnerabilidades no código por ferramentas que ajudam a melhorar a eficiência da codificação.
Por outro lado, à medida que as empresas dependem mais de tecnologias de IA, elas enviarão cada vez mais dados confidenciais da empresa para serviços de IA. Esses dados tornarão a infraestrutura de IA um alvo altamente valorizado. Este risco será difícil de resolver. A empresa nem sempre terá visibilidade das ferramentas de IA que os funcionários estão usando, especialmente se ele as estiver usando para automatizar seu próprio trabalho, como realizar uma verificação gramatical em uma documentação interna confidencial.
3. A Vintage Tech Está de Volta
Espere um retorno "vintage moderno" da eletrônica. Em outras palavras, espere novos produtos que proporcionem uma experiência vintage, mas com conectividade e componentes modernos.
Quer se trate de roupas antigas, móveis ou discos de vinil, temos um gosto natural por antiguidades e um desejo de nos reconectar com nosso passado. A maioria dos eletrônicos vintage tem pouco uso prático. Afinal, os consumidores de hoje esperam suporte integrado para conectividade com a internet e outras funcionalidades básicas que nem sequer eram uma consideração nas décadas passadas. Dito isso, várias categorias de dispositivos eletrônicos quebram esse molde. Videogames antigos, câmeras e alguns brinquedos eletrônicos ainda encantam os consumidores.
Nos próximos cinco anos, espere ver mais eletrônicos nostálgicos reaparecerem. Muitos serão quase réplicas de seus lançamentos mais antigos, embora modernizados com suporte para conectividade e outros componentes "indispensáveis" para o público de hoje. A fusão dessa tecnologia também pode levar a vulnerabilidades modernas, falhas e hacks que representam novos vetores de ataque contra a tecnologia vintage.
4. Método de Verificação de Identidades Evoluem para Assumir Ameaças Modernas
Os serviços de verificação de identidade surgirão como uma estratégia de mitigação em resposta ao aumento das ameaças baseadas em identidade.
Durante anos, os agentes de ameaças falsificaram as identidades das pessoas e os indivíduos alteraram suas próprias identidades (ou seja, um menor tentando comprar bebida alcoólica ou entrar em um estabelecimento com restrição de idade). Os governos estadual e federal responderam com carteiras de motorista aprimoradas como iniciativas para afirmar positivamente a identidade de uma pessoa (RealID). Na verdade, alguns sites de mídia social agora estão permitindo que você carregue essas formas de identificação para evitar vetores de ataque de identidade on-line.
No entanto, o que falta é a aceitação universal da verificação de identidade em um mundo eletrônico. Algumas organizações usam e-mail, mensagens de texto SMS e outras formas de verificação em duas etapas para criar ou verificar uma identidade. Esses métodos de segurança estão falhando cada vez mais à medida que os agentes de ameaças perfuram os mesmos.
O que é necessário é um serviço de verificação de identidade que possa fornecer um alto nível de confiança. Isso é muito parecido com um serviço de relatório de crédito, mas totalmente independente em comparação com as iniciativas governamentais existentes.
5. IA Define Meta para Governança
Espere que a governança e conformidade de IA evoluam rapidamente nos próximos cinco anos.
À medida que as tecnologias baseadas em IA e machine learning (ML) expandem sua presença em sistemas, processos, produtos e tecnologias, maior ênfase será colocada na regulação responsável da inteligência artificial no setor público e privado, e as organizações precisarão cada vez mais cumprir.
Os regulamentos se concentrarão em como a IA é construída e usada para garantir que ela cumpra os padrões éticos e de privacidade. Nos estágios iniciais, essas regulamentações podem variar muito de acordo com a região. Espere que este seja um alvo móvel de leis, regulamentos e estruturas que ampliarão o que a IA pode fazer por região, vertical e governo.
6. O Fim do Controle Remoto
Uma das expressões mais faladas nas muitas línguas do mundo em breve desaparecerá do nosso vocabulário.
“Cadê o controle remoto?" (e são variações comuns como, "Querida, cadê o controle remoto?" "Você já viu o controle remoto?" ou "Cadê o @#&*! Remoto?!") é um conceito que precisaremos explicar para as gerações futuras.
A ascensão de aplicações para celulares, assistentes pessoais digitais e comandos de voz diretos anuncia o fim do controle remoto físico.
Uma das formas mais simples de lixo eletrônico são os controles remotos para TVs, aparelhos de som, ventiladores e outros dispositivos inteligentes. Nos próximos cinco anos, espere que esses dispositivos eliminem os controles remotos físicos e só permitam o controle por meio de apps dedicados, assistentes pessoais digitais e/ou comandos de voz diretos. O controle remoto será realizado usando a tecnologia de casa inteligente de escolha do usuário final, ou simplesmente emparelhando com dispositivos Bluetooth (teclados e mouses) para atingir os mesmos objetivos.
À medida que o mundo luta contra o lixo eletrônico, mudanças simples como essa podem eliminar toneladas de dispositivos em fim de vida. Essas mudanças também podem abrir vetores de ataque. À medida que mais dispositivos se tornam "inteligentes" e conectados, e como comum, ferramentas de infravermelho que controlam uma ampla variedade de tecnologias são substituídas por aplicações que usam tecnologia de rede ou Bluetooth, mais oportunidades para os agentes de ameaças invadirem sua rede surgem
Seja Proativo em Relação à Segurança Cibernética em 2024
Já dissemos isso muitas vezes, mas é sempre bom repetir. Não importa os momentos, preparar-se para o que vem pela frente faz toda a diferença na eficácia da gestão de riscos.
A pesquisa mostra continuamente que as empresas com posturas de segurança de TI mais proativas previnem mais ameaças, identificam os problemas de segurança mais rapidamente, sofrem menos violações e minimizam os danos de ataques de forma mais eficaz do que as organizações menos preparadas.
Se você está procurando ser proativo sobre sua postura de segurança cibernética, entre em contato com a BeyondTrust é um ótimo começo.
Histórico de Previsões de Segurança Cibernética da BeyondTrust
A equipe da BeyondTrust tem um longo histórico de fazer previsões de segurança. Você pode conferir algumas de nossas previsões anteriores abaixo para avaliar como nos saímos!
Cybersecurity Trend Predictions for 2023 & Beyond: BeyondTrust Edition
BeyondTrust Cybersecurity Trend Predictions for 2022 & Beyond
BeyondTrust Cybersecurity Predictions for 2020 & Beyond
BeyondTrust 2019 Security Predictions
Cybersecurity Predictions for 2018 (+ 5-Year Predictions, Too!)
5 Cybersecurity Predictions for 2018
10 Cybersecurity Predictions for 2017
2017: Looking Forward to a New Year in Cybersecurity
2016 Cyber Security Predictions & Wishes
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.
Christopher Hills, Chief Security Strategis
Christopher L. Hills has more than 15 years’ experience as a Senior Security and Architecture Engineer operating in highly sensitive environments. Chris is a military veteran of the United States Navy and started with BeyondTrust after his most recent role leading a Privileged Access Management (PAM) team as a Technical Director within a Fortune 500 organization. In his current position, he has responsibilities as a Senior Solutions Architect consulting on PAM implementations and reports to the Office of the CTO as Chief Security Strategist for the Americas. In his free time, Chris enjoys spending time with his family on the water with their 32-foot speedboat in the summer and taking to the sand dunes and off-roading in the winter.