🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Claude Mythos Preview da Anthropic dominou as discussões sobre segurança desde seu anúncio em 7 de abril. Os primeiros relatórios descrevem um poderoso sistema de IA focado na segurança cibernética, capaz de identificar vulnerabilidades em escala e levantar sérias questões sobre a rapidez com que as organizações podem validar, priorizar e remediar o que encontram.
O debate que se seguiu centrou-se principalmente nas questões certas: Será isto uma mudança radical ou um avanço incremental? Restringir o acesso à Microsoft, Apple, AWS e JPMorgan reduz realmente o risco ou apenas concentra a vantagem defensiva entre os já bem defendidos? O que acontece quando os adversários – intervenientes estatais, empresas criminosas – desenvolvem capacidades equivalentes?
Estes são importantes. Mas há um problema operacional mais silencioso que está a ter menos tempo de antena, e é esse que irá realmente determinar se a maioria das organizações sobreviverá a esta mudança.
A lacuna entre descoberta e remediação
O anúncio da Mythos, e a conversa mais ampla sobre segurança de IA que ele iniciou, trata principalmente de encontrar vulnerabilidades com mais rapidez. Isso é valioso. Mas encontrar uma vulnerabilidade e corrigi-la são dois fluxos de trabalho totalmente diferentes, e a lacuna entre eles é onde a maioria dos programas de segurança desaparece silenciosamente. Essa é exatamente a lacuna para a qual o PlexTrac foi criado.
Considere o que normalmente acontece depois que um teste de penetração ou uma verificação de vulnerabilidade revela uma descoberta crítica: ela vai para uma planilha, ou um ticket, ou um relatório em PDF que chega à caixa de entrada de alguém. A equipe de segurança sabe disso. A equipe de engenharia pode ou não saber disso. A propriedade da remediação é ambígua. Não há uma maneira clara de rastrear se o patch realmente foi enviado, se foi despriorizado ou se um novo teste foi agendado. Enquanto isso, as descobertas são.
Modelos de IA como o Mythos acelerarão drasticamente o lado de entrada desse pipeline. Eles podem descobrir vulnerabilidades em um ritmo e profundidade que as equipes vermelhas humanas simplesmente não conseguem igualar. Mas se a infraestrutura organizacional para triagem, priorização, comunicação e verificação de correções não tiver acompanhado o ritmo, uma descoberta mais rápida significa apenas um acúmulo cada vez maior de problemas críticos não resolvidos.
Este é o problema que um modelo como o Mythos realmente torna mais agudo. Se o seu processo de pentest atual leva três semanas para revelar dez descobertas de alta gravidade, e a correção já está lutando para acompanhar, o que acontece quando essa mesma área de superfície é varrida continuamente e gera descobertas a uma taxa dez vezes maior?
O problema do falso positivo de Schneier é real
Bruce Schneier levantou um ponto importante em seu artigo: não sabemos a taxa de falsos positivos da Mythos na produção não filtrada. A Anthropic relata 89% de concordância de gravidade com empreiteiros humanos nas descobertas que apresentaram - mas essa é uma amostra selecionada, não uma distribuição completa. Os sistemas de IA que detectam quase todos os bugs reais também tendem a gerar vulnerabilidades que parecem plausíveis em códigos corrigidos ou corrigidos.
Isso é importante operacionalmente. Uma ferramenta que gera falsos positivos que parecem altamente confiáveis em grande escala não reduz a carga da equipe de segurança – ela a aumenta. Cada descoberta crítica espúria que precisa ser triada e descartada é tempo que um engenheiro de segurança não está gastando em uma descoberta real. O valor da descoberta de vulnerabilidades assistida por IA só será percebido se as descobertas resultantes puderem ser avaliadas de forma eficiente, contextualizadas em relação ao risco comercial real e encaminhadas para as pessoas certas.
Como realmente é o problema de infraestrutura
As equipes mais bem posicionadas para absorver a velocidade de descoberta da era Mythos são aquelas que já possuem três coisas em vigor:
Gerenciamento centralizado de descobertas. Não é um sistema de tickets, nem um quadro JIRA preso a uma planilha. Um local criado especificamente onde descobertas de vulnerabilidades de diversas fontes (resultados do scanner, relatórios de testes de invasão, engajamentos da equipe vermelha) permanecem em um formato normalizado e consultável. Sem isso, a integração das descobertas geradas pela IA apenas adiciona outro silo de dados.
Priorização contextualizada de risco. As pontuações brutas do CVSS são um ponto de partida, não uma decisão. Uma descoberta crítica em um sistema isolado e interno não representa o mesmo risco que a mesma descoberta em uma API voltada para o cliente. As organizações que só conseguem classificar por pontuação de gravidade ficarão sobrecarregadas quando a descoberta de IA começar a produzir descobertas em grande volume; as organizações que podem pontuar em relação à criticidade dos ativos, ao impacto nos negócios e ao contexto de exposição podem fazer uma triagem de forma inteligente.
Remediação dinâmica e baseada em riscos por meio de pontuação configurável
Rastreamento de remediação em circuito fechado. É aqui que a maioria dos programas falha. Uma constatação que não é verificada como fixa é apenas um passivo que tem nome. Novos testes contínuos, fluxos de trabalho de remediação estruturados e transferências claras de propriedade não são recursos interessantes – eles são a diferença entre um programa de segurança que melhora com o tempo e um programa de segurança que melhora com o tempo.
O debate que se seguiu centrou-se principalmente nas questões certas: Será isto uma mudança radical ou um avanço incremental? Restringir o acesso à Microsoft, Apple, AWS e JPMorgan reduz realmente o risco ou apenas concentra a vantagem defensiva entre os já bem defendidos? O que acontece quando os adversários – intervenientes estatais, empresas criminosas – desenvolvem capacidades equivalentes?
Estes são importantes. Mas há um problema operacional mais silencioso que está a ter menos tempo de antena, e é esse que irá realmente determinar se a maioria das organizações sobreviverá a esta mudança.
A lacuna entre descoberta e remediação
O anúncio da Mythos, e a conversa mais ampla sobre segurança de IA que ele iniciou, trata principalmente de encontrar vulnerabilidades com mais rapidez. Isso é valioso. Mas encontrar uma vulnerabilidade e corrigi-la são dois fluxos de trabalho totalmente diferentes, e a lacuna entre eles é onde a maioria dos programas de segurança desaparece silenciosamente. Essa é exatamente a lacuna para a qual o PlexTrac foi criado.
Considere o que normalmente acontece depois que um teste de penetração ou uma verificação de vulnerabilidade revela uma descoberta crítica: ela vai para uma planilha, ou um ticket, ou um relatório em PDF que chega à caixa de entrada de alguém. A equipe de segurança sabe disso. A equipe de engenharia pode ou não saber disso. A propriedade da remediação é ambígua. Não há uma maneira clara de rastrear se o patch realmente foi enviado, se foi despriorizado ou se um novo teste foi agendado. Enquanto isso, as descobertas são.
Modelos de IA como o Mythos acelerarão drasticamente o lado de entrada desse pipeline. Eles podem descobrir vulnerabilidades em um ritmo e profundidade que as equipes vermelhas humanas simplesmente não conseguem igualar. Mas se a infraestrutura organizacional para triagem, priorização, comunicação e verificação de correções não tiver acompanhado o ritmo, uma descoberta mais rápida significa apenas um acúmulo cada vez maior de problemas críticos não resolvidos.
Este é o problema que um modelo como o Mythos realmente torna mais agudo. Se o seu processo de pentest atual leva três semanas para revelar dez descobertas de alta gravidade, e a correção já está lutando para acompanhar, o que acontece quando essa mesma área de superfície é varrida continuamente e gera descobertas a uma taxa dez vezes maior?
O problema do falso positivo de Schneier é real
Bruce Schneier levantou um ponto importante em seu artigo: não sabemos a taxa de falsos positivos da Mythos na produção não filtrada. A Anthropic relata 89% de concordância de gravidade com empreiteiros humanos nas descobertas que apresentaram - mas essa é uma amostra selecionada, não uma distribuição completa. Os sistemas de IA que detectam quase todos os bugs reais também tendem a gerar vulnerabilidades que parecem plausíveis em códigos corrigidos ou corrigidos.
Isso é importante operacionalmente. Uma ferramenta que gera falsos positivos que parecem altamente confiáveis em grande escala não reduz a carga da equipe de segurança – ela a aumenta. Cada descoberta crítica espúria que precisa ser triada e descartada é tempo que um engenheiro de segurança não está gastando em uma descoberta real. O valor da descoberta de vulnerabilidades assistida por IA só será percebido se as descobertas resultantes puderem ser avaliadas de forma eficiente, contextualizadas em relação ao risco comercial real e encaminhadas para as pessoas certas.
Como realmente é o problema de infraestrutura
As equipes mais bem posicionadas para absorver a velocidade de descoberta da era Mythos são aquelas que já possuem três coisas em vigor:
Gerenciamento centralizado de descobertas. Não é um sistema de tickets, nem um quadro JIRA preso a uma planilha. Um local criado especificamente onde descobertas de vulnerabilidades de diversas fontes (resultados do scanner, relatórios de testes de invasão, engajamentos da equipe vermelha) permanecem em um formato normalizado e consultável. Sem isso, a integração das descobertas geradas pela IA apenas adiciona outro silo de dados.
Priorização contextualizada de risco. As pontuações brutas do CVSS são um ponto de partida, não uma decisão. Uma descoberta crítica em um sistema isolado e interno não representa o mesmo risco que a mesma descoberta em uma API voltada para o cliente. As organizações que só conseguem classificar por pontuação de gravidade ficarão sobrecarregadas quando a descoberta de IA começar a produzir descobertas em grande volume; as organizações que podem pontuar em relação à criticidade dos ativos, ao impacto nos negócios e ao contexto de exposição podem fazer uma triagem de forma inteligente.
Remediação dinâmica e baseada em riscos por meio de pontuação configurável
Rastreamento de remediação em circuito fechado. É aqui que a maioria dos programas falha. Uma constatação que não é verificada como fixa é apenas um passivo que tem nome. Novos testes contínuos, fluxos de trabalho de remediação estruturados e transferências claras de propriedade não são recursos interessantes – eles são a diferença entre um programa de segurança que melhora com o tempo e um programa de segurança que melhora com o tempo.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #mythos #mudou #a #matemática #da #descoberta #de #vulnerabilidades. #a #maioria #das #equipes #não #está #pronta #para #o #lado #da #correção
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário