🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Shadow AI costumava significar que os funcionários colavam coisas que não deveriam no ChatGPT. Agora significa algo maior: funcionários construindo aplicações completas com IA, conectando-as a sistemas de produção e publicando-as na Internet aberta. Sem segurança ou TI no circuito.
O artefato passou de um prompt para um produto. A superfície de risco mudou com ele.
No relatório The Shadow Builders (obtenha aqui), uma nova investigação em nível de categoria coberta em maio pela Axios, WIRED e VentureBeat, a Red Access identificou mais de 380.000 ativos da web acessíveis ao público nas principais plataformas de codificação de vibração.
Aproximadamente 5.000 pareciam corporativos. Mais de 2.000 deles detinham dados corporativos, operacionais ou pessoais confidenciais – localizados na web aberta, implantados sem controles básicos de acesso, muitas vezes concedendo acesso de administrador por padrão a qualquer pessoa que acessasse a URL. Seis continentes. Cada setor é examinado. Nenhuma exploração necessária.
Dentro das organizações, passando por suas auditorias enquanto essas exposições estavam ativas.
O novo Shadow AI não trata de avisos. É sobre produtos.
A codificação Vibe – o espaço mais amplo de plataformas de desenvolvimento orientadas por IA onde qualquer pessoa pode construir um aplicativo funcional descrevendo o que deseja – comprimiu o que costumava levar meses para as equipes de engenharia em algo que um não-desenvolvedor pode enviar antes do almoço.
Um gerente de marketing cria um rastreador de campanha e o conecta à ferramenta de BI onde residem os números reais. Um gerente de operações cria um formulário de admissão de fornecedores e o conecta ao sistema de tickets. Uma equipe financeira cria um painel de preparação do conselho e extrai os dados da fatura antes de sexta-feira. Esses aplicativos são conectados a sistemas de produção sancionados – CRMs, ERPs, ferramentas de tickets, plataformas de BI – e frequentemente publicados na Internet aberta, com quaisquer controles de acesso que o construtor tenha configurado. Muitas vezes, nenhum.
As pessoas que fazem isso não são maliciosas. São funcionários competentes que resolvem problemas reais mais rapidamente do que a sua organização conseguiria, fazendo exatamente o que as plataformas os convidaram a fazer. As plataformas também não são vilãs – elas estão entregando o que seu público original pediu. O que não acompanhou o ritmo foram as proteções, técnicas e comportamentais, que regem o que acontece após a construção.
Este não é Shadow IT no antigo sentido. A Shadow IT era limitada: quando uma equipe comprava uma conta Trello em um cartão corporativo sem avisar ninguém, os dados ficavam dentro de um fornecedor de SaaS não sancionado, mas pelo menos existiam identidade, registros de auditoria e uma superfície de governança. Shadow Builders invertem isso. O aplicativo é personalizado, os dados são carregados de maneira personalizada, as integrações são conexões diretas com sistemas de registro de produção e o artefato é frequentemente publicado na Internet aberta. A plataforma abaixo pode ser auditada; o aplicativo criado nele não é. Existe o construtor, a plataforma e o URL. ISTO? Principalmente não na sala.
Por que uma pilha de segurança madura ainda não percebe isso
O reflexo de um CISO ao ler os números acima é verificar a pilha. O EDR está em execução. O DLP está configurado. CASB é licenciado. Firewall e SSE estão em vigor. Algumas organizações adicionaram um navegador corporativo. Cada uma dessas ferramentas está fazendo o que foi projetada para fazer. A categoria fica nas lacunas entre eles.
O EDR vê o processo do navegador, não a construção dentro dele. Para um agente de endpoint, um Shadow Builder usando uma plataforma de codificação de vibração parece uma atividade de navegador comum e não maliciosa - a mesma forma de telemetria de alguém lendo notícias. Onde o EDR moderno ou um navegador corporativo tem uma visão mais profunda, isso só acontece nos dispositivos que a organização possui e dentro dos navegadores que ela gerencia. Laptops pessoais, máquinas terceirizadas, dispositivos BYOD e guias de navegadores pessoais são invisíveis por definição.
O DLP observa canais enumerados. Ele pode sinalizar um usuário colando dados regulamentados em um bate-papo de IA conhecido. Ele não consegue ver um aplicativo codificado por vibração conectando-se programaticamente a uma ferramenta de BI sancionada via API, movendo dados de nuvem para nuvem, ignorando fisicamente o endpoint por completo.
O CASB foi desenvolvido para Shadow IT – para fornecedores de SaaS com identidades detectáveis. Ele não consegue distinguir facilmente uma população ilimitada de aplicativos personalizados hospedados nos subdomínios de uma plataforma de codificação vibe da própria plataforma. Toda a população tende a se registrar como um fornecedor de SaaS aprovado.
O Firewall e o SSE veem o tráfego para o domínio da plataforma, mas não possuem o contexto de aplicativo como objeto de negócios. E a maioria das implantações SASE/SSE são parciais – mesmo as mais maduras deixam o problema do dispositivo não gerenciado sem solução.
Nenhuma dessas ferramentas está falhando. A categoria apenas fica entre as lacunas que a arquitetura existente deixa entre as camadas, gerando fragmentos de sinal que nunca se reúnem em uma imagem única e governável.
Onde a visibilidade realmente precisa estar
A codificação de vibração de ponta a ponta é um evento de sessão da web. A compilação é um evento do navegador. A concessão OAuth t
O artefato passou de um prompt para um produto. A superfície de risco mudou com ele.
No relatório The Shadow Builders (obtenha aqui), uma nova investigação em nível de categoria coberta em maio pela Axios, WIRED e VentureBeat, a Red Access identificou mais de 380.000 ativos da web acessíveis ao público nas principais plataformas de codificação de vibração.
Aproximadamente 5.000 pareciam corporativos. Mais de 2.000 deles detinham dados corporativos, operacionais ou pessoais confidenciais – localizados na web aberta, implantados sem controles básicos de acesso, muitas vezes concedendo acesso de administrador por padrão a qualquer pessoa que acessasse a URL. Seis continentes. Cada setor é examinado. Nenhuma exploração necessária.
Dentro das organizações, passando por suas auditorias enquanto essas exposições estavam ativas.
O novo Shadow AI não trata de avisos. É sobre produtos.
A codificação Vibe – o espaço mais amplo de plataformas de desenvolvimento orientadas por IA onde qualquer pessoa pode construir um aplicativo funcional descrevendo o que deseja – comprimiu o que costumava levar meses para as equipes de engenharia em algo que um não-desenvolvedor pode enviar antes do almoço.
Um gerente de marketing cria um rastreador de campanha e o conecta à ferramenta de BI onde residem os números reais. Um gerente de operações cria um formulário de admissão de fornecedores e o conecta ao sistema de tickets. Uma equipe financeira cria um painel de preparação do conselho e extrai os dados da fatura antes de sexta-feira. Esses aplicativos são conectados a sistemas de produção sancionados – CRMs, ERPs, ferramentas de tickets, plataformas de BI – e frequentemente publicados na Internet aberta, com quaisquer controles de acesso que o construtor tenha configurado. Muitas vezes, nenhum.
As pessoas que fazem isso não são maliciosas. São funcionários competentes que resolvem problemas reais mais rapidamente do que a sua organização conseguiria, fazendo exatamente o que as plataformas os convidaram a fazer. As plataformas também não são vilãs – elas estão entregando o que seu público original pediu. O que não acompanhou o ritmo foram as proteções, técnicas e comportamentais, que regem o que acontece após a construção.
Este não é Shadow IT no antigo sentido. A Shadow IT era limitada: quando uma equipe comprava uma conta Trello em um cartão corporativo sem avisar ninguém, os dados ficavam dentro de um fornecedor de SaaS não sancionado, mas pelo menos existiam identidade, registros de auditoria e uma superfície de governança. Shadow Builders invertem isso. O aplicativo é personalizado, os dados são carregados de maneira personalizada, as integrações são conexões diretas com sistemas de registro de produção e o artefato é frequentemente publicado na Internet aberta. A plataforma abaixo pode ser auditada; o aplicativo criado nele não é. Existe o construtor, a plataforma e o URL. ISTO? Principalmente não na sala.
Por que uma pilha de segurança madura ainda não percebe isso
O reflexo de um CISO ao ler os números acima é verificar a pilha. O EDR está em execução. O DLP está configurado. CASB é licenciado. Firewall e SSE estão em vigor. Algumas organizações adicionaram um navegador corporativo. Cada uma dessas ferramentas está fazendo o que foi projetada para fazer. A categoria fica nas lacunas entre eles.
O EDR vê o processo do navegador, não a construção dentro dele. Para um agente de endpoint, um Shadow Builder usando uma plataforma de codificação de vibração parece uma atividade de navegador comum e não maliciosa - a mesma forma de telemetria de alguém lendo notícias. Onde o EDR moderno ou um navegador corporativo tem uma visão mais profunda, isso só acontece nos dispositivos que a organização possui e dentro dos navegadores que ela gerencia. Laptops pessoais, máquinas terceirizadas, dispositivos BYOD e guias de navegadores pessoais são invisíveis por definição.
O DLP observa canais enumerados. Ele pode sinalizar um usuário colando dados regulamentados em um bate-papo de IA conhecido. Ele não consegue ver um aplicativo codificado por vibração conectando-se programaticamente a uma ferramenta de BI sancionada via API, movendo dados de nuvem para nuvem, ignorando fisicamente o endpoint por completo.
O CASB foi desenvolvido para Shadow IT – para fornecedores de SaaS com identidades detectáveis. Ele não consegue distinguir facilmente uma população ilimitada de aplicativos personalizados hospedados nos subdomínios de uma plataforma de codificação vibe da própria plataforma. Toda a população tende a se registrar como um fornecedor de SaaS aprovado.
O Firewall e o SSE veem o tráfego para o domínio da plataforma, mas não possuem o contexto de aplicativo como objeto de negócios. E a maioria das implantações SASE/SSE são parciais – mesmo as mais maduras deixam o problema do dispositivo não gerenciado sem solução.
Nenhuma dessas ferramentas está falhando. A categoria apenas fica entre as lacunas que a arquitetura existente deixa entre as camadas, gerando fragmentos de sinal que nunca se reúnem em uma imagem única e governável.
Onde a visibilidade realmente precisa estar
A codificação de vibração de ponta a ponta é um evento de sessão da web. A compilação é um evento do navegador. A concessão OAuth t
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #que #2.000 #aplicativos #codificados #pelo #vibe #expostos #revelam #sobre #os #limites #da #maioria #das #pilhas #de #segurança
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário