⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
"Você sabia e poderia ter agido. Por que não o fez?"
Esta é a pergunta que você não quer que seja feita. E cada vez mais, é a pergunta que os líderes são obrigados a responder após um incidente.
Durante anos, muitas equipes executivas e conselhos trataram um grande acúmulo de vulnerabilidades como um fato da vida desconfortável, mas tolerável: “aceitamos o risco”. Se você já viu um relatório mostrando milhares (ou dezenas de milhares) de CVEs altos e críticos abertos, provavelmente também já ouviu as racionalizações usuais de pessoas que preferem olhar para o outro lado: temos outras prioridades, isso levará anos de tempo de engenharia para consertar, como você sabe que são realmente críticos, ainda estamos priorizando, vamos chegar lá.
No velho mundo, essa história, embora não fosse boa, muitas vezes era possível sobreviver. A exploração era mais lenta, mais manual e exigia mais habilidade do operador. Mesmo os atacantes mais sofisticados tinham restrições. As organizações apoiaram-se nessas restrições como uma parte tácita do modelo de risco: “Se fosse realmente tão mau como diz, estaríamos comprometidos neste momento”.
Esse mundo se foi.
A IA reduziu o custo da exploração
Agora estamos observando os agentes de ameaças usarem sistemas de IA de agentes para acelerar todo o fluxo de trabalho ofensivo: reconhecimento, descoberta de vulnerabilidades, desenvolvimento de exploração e ritmo operacional. A Anthropic detalhou publicamente a interrupção de uma campanha de ciberespionagem na qual os invasores usaram Claude de maneiras que aumentaram materialmente sua velocidade e escala, e alertaram explicitamente que esse tipo de capacidade pode permitir que grupos menos experientes realizem trabalhos que anteriormente exigiam muito mais habilidades e pessoal.
Como líderes de segurança, sabemos que a IA permite que os invasores se movam mais rapidamente. Mas agora, a automação transforma o atraso em uma arma. No modelo antigo, ter 13.000 Highs em produção poderia ser racionalizado como um problema de triagem. No novo modelo, os invasores podem passar da descoberta da cadeia para a validação e exploração em muito menos tempo. “Estamos trabalhando no backlog” deixa de soar como uma estratégia e passa a soar como uma desculpa.
A frase mais perigosa na sala de reuniões
“Não se preocupe, o CISO cuida disso.”
Eu vivi a realidade por trás dessa frase. Os CISOs podem criar programas, estabelecer prioridades, reportar métricas e impulsionar a remediação multifuncional, mas em muitas empresas, o problema da vulnerabilidade é estruturalmente maior do que a responsabilidade de qualquer executivo. É um problema de sistema: dependências legadas, restrições de velocidade de lançamento, ambientes de produção frágeis e recursos de engenharia limitados. Os conselhos não podem delegar governança.
A linha de casos Caremark de Delaware é frequentemente citada em discussões sobre supervisão de diretores: os conselhos devem ter sistemas de relatórios projetados para revelar riscos consequentes e devem realmente se envolver com o que esses sistemas relatam. A questão não é assustar os diretores com teoria jurídica – é deixar claro que, se o seu relatório disser que “temos milhares de vulnerabilidades graves abertas”, a função do conselho é exercer supervisão.
O que os conselhos devem exigir (e como os CISOs devem responder)
Se você é membro do conselho, deve buscar a verdade operacional. Concentre-se na resiliência da tecnologia da sua empresa, não apenas na conformidade. E se você é um líder em segurança, deveria criar os sistemas operacionais que fornecem isso. Estas são as perguntas que as equipes podem usar para superar a segurança cibernética performática:
Como é o nosso programa de gerenciamento de vulnerabilidades de ponta a ponta?
Quantas vulnerabilidades (especialmente Críticas e Altas) existem em nossos produtos atualmente?
Quanto tempo demorou para remediar totalmente os novos Pontos Críticos e Altos no último trimestre? O ano passado?
Se um novo dia 0 fosse descoberto em nosso produto mais vendido hoje, quanto tempo levaria até que pudéssemos dizer aos clientes que era seguro?
Qual é o custo em dólares do nosso atual acúmulo de vulnerabilidades? (Multiplique as horas de trabalho para consertar pelo custo total de engenharia e você obterá um número que o conselho pode controlar.)
É assim que você torna o backlog tangível o suficiente para que a liderança pare de se esconder atrás de abstrações.
“Patch mais rápido” não é uma resposta completa
Muitas organizações respondem à pressão do conselho prometendo corrigir mais rapidamente. Isso ajuda, até quebrar a produção.
Se a aplicação de patches de emergência causar impacto confiável no cliente (e em alguns ambientes causa), você será forçado a uma escolha terrível: aceitar a exposição ou aceitar o tempo de inatividade. A empresa moderna precisa de um modelo que reduza a frequência e o raio de ação da remediação de emergência, e não um que apenas acelere o mesmo processo frágil.
A realidade da cadeia de abastecimento: os passivos estão mudando
Assistimos a uma mudança nas responsabilidades à medida que os reguladores e os tribunais se concentram na higiene da cadeia de fornecimento de software e na resiliência operacional.
Na UE, a Lei de Resiliência Cibernética (CRA) está agora em vigor, com as suas principais obrigações a entrar em vigor
Esta é a pergunta que você não quer que seja feita. E cada vez mais, é a pergunta que os líderes são obrigados a responder após um incidente.
Durante anos, muitas equipes executivas e conselhos trataram um grande acúmulo de vulnerabilidades como um fato da vida desconfortável, mas tolerável: “aceitamos o risco”. Se você já viu um relatório mostrando milhares (ou dezenas de milhares) de CVEs altos e críticos abertos, provavelmente também já ouviu as racionalizações usuais de pessoas que preferem olhar para o outro lado: temos outras prioridades, isso levará anos de tempo de engenharia para consertar, como você sabe que são realmente críticos, ainda estamos priorizando, vamos chegar lá.
No velho mundo, essa história, embora não fosse boa, muitas vezes era possível sobreviver. A exploração era mais lenta, mais manual e exigia mais habilidade do operador. Mesmo os atacantes mais sofisticados tinham restrições. As organizações apoiaram-se nessas restrições como uma parte tácita do modelo de risco: “Se fosse realmente tão mau como diz, estaríamos comprometidos neste momento”.
Esse mundo se foi.
A IA reduziu o custo da exploração
Agora estamos observando os agentes de ameaças usarem sistemas de IA de agentes para acelerar todo o fluxo de trabalho ofensivo: reconhecimento, descoberta de vulnerabilidades, desenvolvimento de exploração e ritmo operacional. A Anthropic detalhou publicamente a interrupção de uma campanha de ciberespionagem na qual os invasores usaram Claude de maneiras que aumentaram materialmente sua velocidade e escala, e alertaram explicitamente que esse tipo de capacidade pode permitir que grupos menos experientes realizem trabalhos que anteriormente exigiam muito mais habilidades e pessoal.
Como líderes de segurança, sabemos que a IA permite que os invasores se movam mais rapidamente. Mas agora, a automação transforma o atraso em uma arma. No modelo antigo, ter 13.000 Highs em produção poderia ser racionalizado como um problema de triagem. No novo modelo, os invasores podem passar da descoberta da cadeia para a validação e exploração em muito menos tempo. “Estamos trabalhando no backlog” deixa de soar como uma estratégia e passa a soar como uma desculpa.
A frase mais perigosa na sala de reuniões
“Não se preocupe, o CISO cuida disso.”
Eu vivi a realidade por trás dessa frase. Os CISOs podem criar programas, estabelecer prioridades, reportar métricas e impulsionar a remediação multifuncional, mas em muitas empresas, o problema da vulnerabilidade é estruturalmente maior do que a responsabilidade de qualquer executivo. É um problema de sistema: dependências legadas, restrições de velocidade de lançamento, ambientes de produção frágeis e recursos de engenharia limitados. Os conselhos não podem delegar governança.
A linha de casos Caremark de Delaware é frequentemente citada em discussões sobre supervisão de diretores: os conselhos devem ter sistemas de relatórios projetados para revelar riscos consequentes e devem realmente se envolver com o que esses sistemas relatam. A questão não é assustar os diretores com teoria jurídica – é deixar claro que, se o seu relatório disser que “temos milhares de vulnerabilidades graves abertas”, a função do conselho é exercer supervisão.
O que os conselhos devem exigir (e como os CISOs devem responder)
Se você é membro do conselho, deve buscar a verdade operacional. Concentre-se na resiliência da tecnologia da sua empresa, não apenas na conformidade. E se você é um líder em segurança, deveria criar os sistemas operacionais que fornecem isso. Estas são as perguntas que as equipes podem usar para superar a segurança cibernética performática:
Como é o nosso programa de gerenciamento de vulnerabilidades de ponta a ponta?
Quantas vulnerabilidades (especialmente Críticas e Altas) existem em nossos produtos atualmente?
Quanto tempo demorou para remediar totalmente os novos Pontos Críticos e Altos no último trimestre? O ano passado?
Se um novo dia 0 fosse descoberto em nosso produto mais vendido hoje, quanto tempo levaria até que pudéssemos dizer aos clientes que era seguro?
Qual é o custo em dólares do nosso atual acúmulo de vulnerabilidades? (Multiplique as horas de trabalho para consertar pelo custo total de engenharia e você obterá um número que o conselho pode controlar.)
É assim que você torna o backlog tangível o suficiente para que a liderança pare de se esconder atrás de abstrações.
“Patch mais rápido” não é uma resposta completa
Muitas organizações respondem à pressão do conselho prometendo corrigir mais rapidamente. Isso ajuda, até quebrar a produção.
Se a aplicação de patches de emergência causar impacto confiável no cliente (e em alguns ambientes causa), você será forçado a uma escolha terrível: aceitar a exposição ou aceitar o tempo de inatividade. A empresa moderna precisa de um modelo que reduza a frequência e o raio de ação da remediação de emergência, e não um que apenas acelere o mesmo processo frágil.
A realidade da cadeia de abastecimento: os passivos estão mudando
Assistimos a uma mudança nas responsabilidades à medida que os reguladores e os tribunais se concentram na higiene da cadeia de fornecimento de software e na resiliência operacional.
Na UE, a Lei de Resiliência Cibernética (CRA) está agora em vigor, com as suas principais obrigações a entrar em vigor
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #que #os #conselhos #devem #exigir #na #era #da #exploração #automatizada #por #ia
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário