📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Quando a correção não é rápida o suficiente, a NDR ajuda a conter a próxima era de ameaças.
Se você acompanha os avanços na IA, sabe que a janela de exploração, o buffer curto em que as organizações confiavam para corrigir e proteger após a divulgação de uma vulnerabilidade, está se fechando rapidamente.
O novo modelo da Anthropic, Claude Mythos, e seu Projeto Glasswing, mostraram que encontrar vulnerabilidades exploráveis e rachaduras sutis em suas defesas em sistemas operacionais e navegadores – trabalho que antes levava semanas para especialistas – agora pode ser feito em minutos com IA. Como resultado, a janela de oportunidade do patch agora está próxima de zero. A situação é tão crÃtica que o secretário do Tesouro, Scott Bessent, e o presidente da Reserva Federal, Jerome Powell, convocaram recentemente uma reunião urgente com os CEO das principais instituições financeiras dos EUA para discutir os riscos implÃcitos. A conclusão foi clara: o aumento das capacidades de IA alterou os perfis de risco, com implicações profundas para a estabilidade institucional e a integridade em todos os setores.
Mythos também destaca a lacuna entre a descoberta e a remediação. Superou facilmente a experiência humana, resolvendo uma simulação de rede corporativa complexa que exigiria mais de 10 horas de habilidade especializada em programação. Suas descobertas também encontraram problemas em softwares com décadas de existência que haviam passado despercebidos em milhares de análises de segurança.
Do Mythos à era da suposição de violação
Mythos não é o único modelo de IA capaz de encontrar vulnerabilidades tão rapidamente. Outras partes descobriram que eles usavam LLMs mais básicos.
Se sua empresa usa qualquer tipo de software, você deve presumir que o software provavelmente contém milhares dessas vulnerabilidades desconhecidas, apenas esperando para serem exploradas pela descoberta assistida por IA. Isto não é uma falha da sua equipe de segurança; em vez disso, é a consequência estrutural de 30 anos de complexidade acumulada de software que corresponde a um salto na capacidade ofensiva de IA.
Agora que as janelas de exploração quase nulas são a norma, “corrigir mais rápido” ou “corrigir melhor” não são mais suficientes. As equipes de segurança precisarão de novos manuais, baseados em um modelo de suposição de violação: as violações acontecerão, e detectá-las à medida que ocorrem e contê-las em grande escala será fundamental. Esses resultados são decididos em tempo real, na rede.
Como trazer um modelo de suposição de violação para as operações diárias
O modelo de suposição de violação tem três requisitos operacionais, cada um dos quais utiliza métodos automatizados projetados para reduzir o tempo de contenção:
Detecte o comportamento pós-violação antes que uma ameaça se espalhe pela sua empresa Reconstrua toda a cadeia de ataque o mais rápido possÃvelContenha as ameaças rapidamente para limitar seu raio de explosão
Na prática, este método de contenção requer:
Visualizando a contenção como o placar
Priorize a redução do tempo médio de contenção (MTTC) para limitar os danos, mantendo a vigilância sobre as métricas de detecção e resposta (MTTD e MTTR). À medida que a IA acelera a exploração e remodela os métodos de ataque, aumenta a importância da velocidade na identificação, contenção e resolução de ameaças. A compactação do MTTC começa com visibilidade abrangente da rede em tempo real. Com ele, os SOCs podem detectar comportamento pós-violação, determinar o raio da explosão e interromper eventos antes que se espalhem ainda mais.
Monitoramento de técnicas favorecidas por IA
Os ataques autônomos de IA usam cada vez mais técnicas sofisticadas para evitar a detecção, incluindo métodos de vida fora da terra (LOTL) que ocultam atividades maliciosas em ferramentas e processos legÃtimos. As plataformas de detecção e resposta de rede (NDR) desempenham um papel crucial na identificação desses indicadores sutis de comprometimento. Eles fazem isso monitorando continuamente o tráfego da rede em busca de comportamento incomum. Sinais de tal atividade podem aparecer como compartilhamentos de administração SMB incomuns, NTLM onde Kerberos é esperado ou novos pivôs RDP/WMI/DCOM, todos os quais podem significar movimento lateral em sua rede.
Plataformas NDR avançadas também podem detectar invasores que utilizam técnicas LOTL para manter comunicações de comando e controle e exfiltrar dados enquanto tentam evitar a geração de alarmes. Os indicadores de comando e controle podem se manifestar como padrões de conexão semelhantes a beacons, pares raros de JA3/JA4 e SNI, DNS de alta entropia ou DoH ou DoT não sancionados. Anomalias como uploads fora do horário comercial, assimetria de upload/download, destinos iniciais (por exemplo, S3, Blob, GCS ou novos CDNs), compactação antes da saÃda ou a presença de túneis e VPNs para novos destinos podem indicar exfiltração.
Automatizando e mantendo seu inventário de software
Muitas organizações ainda não possuem um inventário preciso e em tempo real de seus softwares, o que as deixa com dificuldades para entender como os ativos se conectam e se comunicam. Essa lacuna cria aberturas para adversários. Automatizar o inventário e o mapeamento de ativos ajuda as organizações a compreender sua exposição, reagir mais rapidamente a ameaças emergentes e reduzir as janelas disponÃveis para exploração de vulnerabilidades
Se você acompanha os avanços na IA, sabe que a janela de exploração, o buffer curto em que as organizações confiavam para corrigir e proteger após a divulgação de uma vulnerabilidade, está se fechando rapidamente.
O novo modelo da Anthropic, Claude Mythos, e seu Projeto Glasswing, mostraram que encontrar vulnerabilidades exploráveis e rachaduras sutis em suas defesas em sistemas operacionais e navegadores – trabalho que antes levava semanas para especialistas – agora pode ser feito em minutos com IA. Como resultado, a janela de oportunidade do patch agora está próxima de zero. A situação é tão crÃtica que o secretário do Tesouro, Scott Bessent, e o presidente da Reserva Federal, Jerome Powell, convocaram recentemente uma reunião urgente com os CEO das principais instituições financeiras dos EUA para discutir os riscos implÃcitos. A conclusão foi clara: o aumento das capacidades de IA alterou os perfis de risco, com implicações profundas para a estabilidade institucional e a integridade em todos os setores.
Mythos também destaca a lacuna entre a descoberta e a remediação. Superou facilmente a experiência humana, resolvendo uma simulação de rede corporativa complexa que exigiria mais de 10 horas de habilidade especializada em programação. Suas descobertas também encontraram problemas em softwares com décadas de existência que haviam passado despercebidos em milhares de análises de segurança.
Do Mythos à era da suposição de violação
Mythos não é o único modelo de IA capaz de encontrar vulnerabilidades tão rapidamente. Outras partes descobriram que eles usavam LLMs mais básicos.
Se sua empresa usa qualquer tipo de software, você deve presumir que o software provavelmente contém milhares dessas vulnerabilidades desconhecidas, apenas esperando para serem exploradas pela descoberta assistida por IA. Isto não é uma falha da sua equipe de segurança; em vez disso, é a consequência estrutural de 30 anos de complexidade acumulada de software que corresponde a um salto na capacidade ofensiva de IA.
Agora que as janelas de exploração quase nulas são a norma, “corrigir mais rápido” ou “corrigir melhor” não são mais suficientes. As equipes de segurança precisarão de novos manuais, baseados em um modelo de suposição de violação: as violações acontecerão, e detectá-las à medida que ocorrem e contê-las em grande escala será fundamental. Esses resultados são decididos em tempo real, na rede.
Como trazer um modelo de suposição de violação para as operações diárias
O modelo de suposição de violação tem três requisitos operacionais, cada um dos quais utiliza métodos automatizados projetados para reduzir o tempo de contenção:
Detecte o comportamento pós-violação antes que uma ameaça se espalhe pela sua empresa Reconstrua toda a cadeia de ataque o mais rápido possÃvelContenha as ameaças rapidamente para limitar seu raio de explosão
Na prática, este método de contenção requer:
Visualizando a contenção como o placar
Priorize a redução do tempo médio de contenção (MTTC) para limitar os danos, mantendo a vigilância sobre as métricas de detecção e resposta (MTTD e MTTR). À medida que a IA acelera a exploração e remodela os métodos de ataque, aumenta a importância da velocidade na identificação, contenção e resolução de ameaças. A compactação do MTTC começa com visibilidade abrangente da rede em tempo real. Com ele, os SOCs podem detectar comportamento pós-violação, determinar o raio da explosão e interromper eventos antes que se espalhem ainda mais.
Monitoramento de técnicas favorecidas por IA
Os ataques autônomos de IA usam cada vez mais técnicas sofisticadas para evitar a detecção, incluindo métodos de vida fora da terra (LOTL) que ocultam atividades maliciosas em ferramentas e processos legÃtimos. As plataformas de detecção e resposta de rede (NDR) desempenham um papel crucial na identificação desses indicadores sutis de comprometimento. Eles fazem isso monitorando continuamente o tráfego da rede em busca de comportamento incomum. Sinais de tal atividade podem aparecer como compartilhamentos de administração SMB incomuns, NTLM onde Kerberos é esperado ou novos pivôs RDP/WMI/DCOM, todos os quais podem significar movimento lateral em sua rede.
Plataformas NDR avançadas também podem detectar invasores que utilizam técnicas LOTL para manter comunicações de comando e controle e exfiltrar dados enquanto tentam evitar a geração de alarmes. Os indicadores de comando e controle podem se manifestar como padrões de conexão semelhantes a beacons, pares raros de JA3/JA4 e SNI, DNS de alta entropia ou DoH ou DoT não sancionados. Anomalias como uploads fora do horário comercial, assimetria de upload/download, destinos iniciais (por exemplo, S3, Blob, GCS ou novos CDNs), compactação antes da saÃda ou a presença de túneis e VPNs para novos destinos podem indicar exfiltração.
Automatizando e mantendo seu inventário de software
Muitas organizações ainda não possuem um inventário preciso e em tempo real de seus softwares, o que as deixa com dificuldades para entender como os ativos se conectam e se comunicam. Essa lacuna cria aberturas para adversários. Automatizar o inventário e o mapeamento de ativos ajuda as organizações a compreender sua exposição, reagir mais rapidamente a ameaças emergentes e reduzir as janelas disponÃveis para exploração de vulnerabilidades
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #depois #do #mythos: #novos #manuais #para #uma #era #de #janela #zero
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário