⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A segurança não falha no ponto de violação. Ele falha no ponto de impacto.
Essa linha deu o tom para o Picus Breach and Simulation (BAS) Summit deste ano, onde pesquisadores, profissionais e CISOs ecoaram o mesmo tema: a defesa cibernética não é mais uma questão de previsão. É uma questão de prova.
Quando uma nova exploração é lançada, os scanners vasculham a Internet em minutos. Depois que os atacantes ganham posição, o movimento lateral geralmente ocorre com a mesma rapidez. Se seus controles não foram testados contra as técnicas exatas em jogo, você não está defendendo, você está esperando que as coisas não fiquem seriamente em forma de pêra.
É por isso que a pressão aumenta muito antes de um relatório de incidente ser escrito. No mesmo momento em que uma exploração chega ao Twitter, uma diretoria quer respostas. Como disse um orador: “Não se pode dizer ao conselho: 'Terei uma resposta na próxima semana'. Temos horas, não dias."
O BAS superou suas raízes de conformidade e se tornou o teste diário de tensão da segurança cibernética, a corrente que você percorre em sua pilha para ver o que realmente é válido.
Este artigo não é um argumento de venda ou um passo a passo. É uma recapitulação do que surgiu no palco, em essência, como o BAS evoluiu de uma atividade anual de checkbox para uma forma cotidiana simples e eficaz de provar que suas defesas estão realmente funcionando.
Segurança não é uma questão de design, é uma questão de reação
Durante décadas, a segurança foi tratada como arquitetura: projetar, construir, inspecionar, certificar. Uma abordagem de lista de verificação baseada em planos e papelada.
Os invasores nunca concordaram com esse plano, entretanto. Eles tratam a defesa como física, aplicando pressão contínua até que algo entorte ou quebre. Eles não se importam com o que diz o projeto; eles se importam onde a estrutura falha.
Os pentests ainda são importantes, mas são instantâneos em movimento.
BAS mudou essa equação. Não certifica um design; ele testa a reação com estresse. Ele executa comportamentos adversários seguros e controlados em ambientes reais para provar se as defesas realmente respondem como deveriam ou não.
Como explica Chris Dale, instrutor principal da SANS: A diferença é mecânica: o BAS mede a reação, não o potencial. Não pergunta: "Onde estão as vulnerabilidades?" mas "O que acontece quando os atingimos?"
Porque, em última análise, você não perde quando ocorre uma violação, você perde quando o impacto dessa violação ocorre.
A verdadeira defesa começa com o conhecimento de si mesmo
Antes de imitar/simular o inimigo, você precisa se entender. Você não pode defender o que não vê – os ativos esquecidos, as contas não marcadas, o script legado ainda em execução com direitos de administrador de domínio.
sıla-blog-video-1_1920x1080.mp4
Em seguida, assuma uma violação e trabalhe retroativamente a partir do resultado que você mais teme.
Veja o Akira, por exemplo, uma cadeia de ransomware que exclui backups, abusa do PowerShell e se espalha por unidades compartilhadas. Repita esse comportamento com segurança dentro de seu ambiente e você aprenderá, e não adivinhará, se suas defesas podem quebrá-lo no meio do caminho.
Dois princípios separavam os programas maduros dos demais:
Resultado primeiro: comece pelo impacto, não pelo inventário.
Roxo por padrão: BAS não é um teatro vermelho versus azul; é como a inteligência, a engenharia e as operações convergem — simular → observar → ajustar → simular novamente.
Como observou John Sapp, CISO da Texas Mutual Insurance, “as equipes que fazem da validação um ritmo semanal começam a ver provas onde costumavam ver as suposições”.
O verdadeiro trabalho da IA é a curadoria, não a criação
A IA estava em toda parte este ano, mas o insight mais valioso não era sobre poder, mas sim sobre contenção. A velocidade é importante, mas a proveniência é mais importante. Ninguém quer um modelo LLM improvisando cargas úteis ou fazendo suposições sobre o comportamento do ataque.
Por enquanto, pelo menos, o tipo mais útil de IA não é aquele que cria, é aquele que organiza, pegando inteligência de ameaças desestruturada e confusa e transformando-a em algo que os defensores possam realmente usar.
sıla-blog-video-2_1920x1080.mp4
A IA agora atua menos como um modelo único e mais como um conjunto de especialistas, cada um com uma tarefa específica e um ponto de verificação intermediário:
Planejador — define o que precisa ser coletado.
Pesquisador – verifica e enriquece os dados de ameaças.
Builder — estrutura as informações em um plano de emulação seguro.
Validador – verifica a fidelidade antes de qualquer coisa ser executada.
Cada agente analisa o último, mantendo a precisão alta e o risco baixo.
Um exemplo resumiu perfeitamente:
"Dê-me o link para a campanha Fin8 e mostrarei as técnicas MITRE mapeadas em horas, não em dias."
Isso não é mais uma aspiração, é operacional. O que antes levava uma semana de referência cruzada manual, scripts e validação agora cabe em um único dia de trabalho.
Título → Plano de emulação → Execução segura. Não chamativo, apenas mais rápido. Novamente, horas, não dias.
Provas de campo mostram que o BAS funciona
Uma das sessões mais esperadas do evento foi uma apresentação ao vivo do BAS em ambientes reais. Não era teoria, era prova operacional.
Uma equipe de saúde executou cadeias de ransomware
Essa linha deu o tom para o Picus Breach and Simulation (BAS) Summit deste ano, onde pesquisadores, profissionais e CISOs ecoaram o mesmo tema: a defesa cibernética não é mais uma questão de previsão. É uma questão de prova.
Quando uma nova exploração é lançada, os scanners vasculham a Internet em minutos. Depois que os atacantes ganham posição, o movimento lateral geralmente ocorre com a mesma rapidez. Se seus controles não foram testados contra as técnicas exatas em jogo, você não está defendendo, você está esperando que as coisas não fiquem seriamente em forma de pêra.
É por isso que a pressão aumenta muito antes de um relatório de incidente ser escrito. No mesmo momento em que uma exploração chega ao Twitter, uma diretoria quer respostas. Como disse um orador: “Não se pode dizer ao conselho: 'Terei uma resposta na próxima semana'. Temos horas, não dias."
O BAS superou suas raízes de conformidade e se tornou o teste diário de tensão da segurança cibernética, a corrente que você percorre em sua pilha para ver o que realmente é válido.
Este artigo não é um argumento de venda ou um passo a passo. É uma recapitulação do que surgiu no palco, em essência, como o BAS evoluiu de uma atividade anual de checkbox para uma forma cotidiana simples e eficaz de provar que suas defesas estão realmente funcionando.
Segurança não é uma questão de design, é uma questão de reação
Durante décadas, a segurança foi tratada como arquitetura: projetar, construir, inspecionar, certificar. Uma abordagem de lista de verificação baseada em planos e papelada.
Os invasores nunca concordaram com esse plano, entretanto. Eles tratam a defesa como física, aplicando pressão contínua até que algo entorte ou quebre. Eles não se importam com o que diz o projeto; eles se importam onde a estrutura falha.
Os pentests ainda são importantes, mas são instantâneos em movimento.
BAS mudou essa equação. Não certifica um design; ele testa a reação com estresse. Ele executa comportamentos adversários seguros e controlados em ambientes reais para provar se as defesas realmente respondem como deveriam ou não.
Como explica Chris Dale, instrutor principal da SANS: A diferença é mecânica: o BAS mede a reação, não o potencial. Não pergunta: "Onde estão as vulnerabilidades?" mas "O que acontece quando os atingimos?"
Porque, em última análise, você não perde quando ocorre uma violação, você perde quando o impacto dessa violação ocorre.
A verdadeira defesa começa com o conhecimento de si mesmo
Antes de imitar/simular o inimigo, você precisa se entender. Você não pode defender o que não vê – os ativos esquecidos, as contas não marcadas, o script legado ainda em execução com direitos de administrador de domínio.
sıla-blog-video-1_1920x1080.mp4
Em seguida, assuma uma violação e trabalhe retroativamente a partir do resultado que você mais teme.
Veja o Akira, por exemplo, uma cadeia de ransomware que exclui backups, abusa do PowerShell e se espalha por unidades compartilhadas. Repita esse comportamento com segurança dentro de seu ambiente e você aprenderá, e não adivinhará, se suas defesas podem quebrá-lo no meio do caminho.
Dois princípios separavam os programas maduros dos demais:
Resultado primeiro: comece pelo impacto, não pelo inventário.
Roxo por padrão: BAS não é um teatro vermelho versus azul; é como a inteligência, a engenharia e as operações convergem — simular → observar → ajustar → simular novamente.
Como observou John Sapp, CISO da Texas Mutual Insurance, “as equipes que fazem da validação um ritmo semanal começam a ver provas onde costumavam ver as suposições”.
O verdadeiro trabalho da IA é a curadoria, não a criação
A IA estava em toda parte este ano, mas o insight mais valioso não era sobre poder, mas sim sobre contenção. A velocidade é importante, mas a proveniência é mais importante. Ninguém quer um modelo LLM improvisando cargas úteis ou fazendo suposições sobre o comportamento do ataque.
Por enquanto, pelo menos, o tipo mais útil de IA não é aquele que cria, é aquele que organiza, pegando inteligência de ameaças desestruturada e confusa e transformando-a em algo que os defensores possam realmente usar.
sıla-blog-video-2_1920x1080.mp4
A IA agora atua menos como um modelo único e mais como um conjunto de especialistas, cada um com uma tarefa específica e um ponto de verificação intermediário:
Planejador — define o que precisa ser coletado.
Pesquisador – verifica e enriquece os dados de ameaças.
Builder — estrutura as informações em um plano de emulação seguro.
Validador – verifica a fidelidade antes de qualquer coisa ser executada.
Cada agente analisa o último, mantendo a precisão alta e o risco baixo.
Um exemplo resumiu perfeitamente:
"Dê-me o link para a campanha Fin8 e mostrarei as técnicas MITRE mapeadas em horas, não em dias."
Isso não é mais uma aspiração, é operacional. O que antes levava uma semana de referência cruzada manual, scripts e validação agora cabe em um único dia de trabalho.
Título → Plano de emulação → Execução segura. Não chamativo, apenas mais rápido. Novamente, horas, não dias.
Provas de campo mostram que o BAS funciona
Uma das sessões mais esperadas do evento foi uma apresentação ao vivo do BAS em ambientes reais. Não era teoria, era prova operacional.
Uma equipe de saúde executou cadeias de ransomware
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #a #morte #da #caixa #de #seleção #de #segurança: #bas #é #o #poder #por #trás #da #defesa #real
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário