Bolt42

Participe de nossas newsletters diárias e semanais para ficar por dentro das últimas atualizações e conteúdos exclusivos sobre a cobertura líder do setor em IA. Saiba Mais

Uma brecha de cinquenta e um segundos. É o tempo que um atacante leva para invadir e se mover lateralmente pela sua rede sem ser detectado, utilizando credenciais roubadas para evitar a deteção.

Adam Meyers, vice-presidente sênior de operações contra adversários da CrowdStrike, explicou ao VentureBeat o quão rapidamente os intrusos podem escalar privilégios e se mover lateralmente uma vez que penetram um sistema. “[A] próxima fase geralmente envolve algum tipo de movimento lateral, e isso é o que gostamos de calcular como tempo de explosão. Em outras palavras, do acesso inicial, quanto tempo leva até que eles entrem em outro sistema? O tempo de explosão mais rápido que observamos foi de 51 segundos. Portanto, esses adversários estão ficando mais rápidos, e isso torna o trabalho do defensor muito mais difícil,” disse Meyers.

IA armada exige uma necessidade cada vez maior de velocidade

A IA é, de longe, a arma preferida dos atacantes hoje. É barata, rápida e versátil, permitindo que os atacantes criem fraudes de vishing (phishing por voz) e golpes com deepfakes, além de lançar ataques de engenharia social em uma fração do tempo que tecnologias anteriores poderiam.

O vishing saiu de controle, em grande parte devido ao aprimoramento das habilidades dos atacantes com a IA. O Relatório Global de Ameaças 2025 da CrowdStrike revelou que o vishing explodiu em 442% em 2024. É o principal método de acesso inicial que os atacantes usam para manipular vítimas a revelar informações sensíveis, redefinir credenciais e conceder acesso remoto pelo telefone.

“Observamos um aumento de 442% no phishing por voz em 2024. Isso é engenharia social, e isso é indicativo do fato de que os adversários estão encontrando novas maneiras de ganhar acesso porque… estamos meio que em um novo mundo onde os adversários precisam trabalhar um pouco mais ou de forma diferente para evitar ferramentas modernas de segurança de endpoint,” disse Meyers.

O phishing também continua sendo uma ameaça. Meyers afirmou: “Vimos que com e-mails de phishing, eles têm uma taxa de cliques mais alta quando o conteúdo é gerado por IA, uma taxa de cliques de 54%, em comparação com 12% quando um humano está por trás disso.”

A rede Green Cicada da China utilizou um gerador de conteúdo impulsionado por IA para criar e operar mais de 5.000 contas falsas nas redes sociais para espalhar desinformação eleitoral. O grupo adversário FAMOUS CHOLLIMA da Coreia do Norte está utilizando IA generativa para criar perfis falsos no LinkedIn de candidatos a empregos de TI com o objetivo de infiltrarse em empresas globais de aeroespacial, defesa, software e tecnologia como funcionários remotos.

CIOs e CISOs encontram novas maneiras de lutar contra os ataques

Um sinal claro de que a habilidade dos atacantes em IA está amadurecendo rapidamente é o quão bem-sucedidos eles estão sendo com ataques baseados em identidade. Os ataques de identidade estão superando o malware como o método primário de violação. Setenta e nove por cento dos ataques para ganhar acesso inicial em 2024 foram sem malware, dependendo em vez disso de credenciais roubadas, phishing impulsionado por IA e golpes com deepfake. Um em cada três, ou 35%, das intrusões em nuvem usaram credenciais válidas no ano passado.

“Os adversários descobriram que uma das maneiras mais rápidas de ganhar acesso a um ambiente é roubar credenciais legítimas ou usar engenharia social. Introduzir malware na empresa moderna que possui ferramentas de segurança modernas é como tentar levar uma garrafinha de água para o aeroporto – a TSA provavelmente vai pegar você,” explica Meyers.

“Encontramos uma lacuna em nossa capacidade de revogar tokens de sessão de identidade legítimos do lado do recurso,” disse Alex Philips, CIO da National Oilwell Varco (NOV), ao VentureBeat em uma entrevista recente. “Agora temos uma empresa startup que nos ajuda a criar soluções para nossos recursos mais comuns onde precisaríamos revogar rapidamente acesso. Não é suficiente apenas redefinir uma senha ou desativar uma conta. Você precisa revogar tokens de sessão.”

A NOV está lutando contra os ataques usando uma ampla variedade de técnicas. Philips compartilhou o seguinte como essencial para acabar com ataques cada vez mais driven por IA que dependem de enganação através de vishing, credenciais e identidades roubadas:

  • “Zero Trust não é apenas útil; é obrigatório. Isso nos dá um gateway de aplicação forçada de política de segurança que torna tokens de sessão roubados inúteis,” aconselha Philips. “O roubo de tokens de sessão de identidade é o que é usado em alguns dos ataques mais avançados.” Com esse tipo de ataques aumentando, a NOV está apertando as políticas de identidade, aplicando acesso condicional e encontrando maneiras rápidas de revogar tokens válidos quando são roubados.
  • A recomendação de Philips para colegas que buscam acabar com ataques baseados em identidade ultra-rápidos é focar em eliminar pontos únicos de falha. “Certifique-se de ter uma separação de deveres; assegure que ninguém ou conta de serviço possa redefinir uma senha, ter acesso multifatorial e ignorar o acesso condicional. Tenha processos já testados para revogar tokens de sessão de identidade válidos,” recomenda Philips.
  • Não perca tempo redefinindo senhas; revogue imediatamente os tokens de sessão. “Redefinir uma senha não é mais suficiente — você precisa revogar tokens de sessão instantaneamente para parar o movimento lateral,” disse Philips ao VentureBeat.

Três estratégias essenciais para parar violações rápidas como um raio

Explosões de 51 segundos são um sintoma de uma fraqueza muito maior e mais severa na gestão de identidade e acesso (IAM) nas organizações. O núcleo dessa falha na segurança IAM é assumir que a confiança é suficiente para proteger seu negócio (não é). Autenticar cada identidade, sessão e solicitação de recursos é. Assumir que sua empresa já foi violada é o ponto de partida.

O que segue são três lições sobre como acabar com violações rápidas como um raio, compartilhadas por Philips e validadas pela pesquisa da CrowdStrike mostrando que esses ataques são a nova norma da IA armada:

Corte os ataques na camada de autenticação primeiro, antes que a violação se espalhe. Faça com que credenciais e tokens de sessão roubados se tornem inúteis o mais rápido possível. Isso deve começar com a identificação de como encurtar a vida útil dos tokens e implementar revogação em tempo real para parar os atacantes enquanto estão em movimento.

    • Se você ainda não tem uma, comece a definir uma estrutura sólida e um plano para zero trust — uma estrutura adaptada ao seu negócio. Leia mais sobre o framework de zero trust no padrão NIST, um documento amplamente referenciado entre equipes de planejamento em cibersegurança.
    • Redobre as técnicas de verificação IAM com controles de autenticação mais rigorosos para verificar se uma entidade que está ligando é realmente quem diz ser. Philips confia em múltiplas formas de autenticação para verificar as identidades de quem está ligando para redefinir credenciais, redefinições de senhas ou acesso remoto. “Reduzimos drasticamente quem pode realizar redefinições de senha ou multifatoriais. Ninguém deveria poder ignorar esses controles,” disse ele.

    Utilize detecção de ameaças impulsionada por IA para identificar ataques em tempo real. A IA e o aprendizado de máquina (ML) se destacam na detecção de anomalias em grandes conjuntos de dados que também treinam ao longo do tempo. Identificar uma potencial violação ou tentativa de intrusão e contê-la em tempo real é o objetivo. As técnicas de IA e ML continuam a melhorar conforme os conjuntos de dados de ataque que estão sendo treinados melhoram.

      • As empresas estão obtendo resultados forte com SIEM e análise de identidade alimentados por IA que imediatamente identificam tentativas de login suspeitas, aplicando segmentação para um determinado endpoint ou ponto de entrada.
      • A NOV está aproveitando a IA para detectar o uso indevido de identidade e ameaças baseadas em credenciais em tempo real. Philips disse ao VentureBeat que “agora temos IA examinando todos os nossos registros SIEM e identificando incidentes ou [a] alta probabilidade de incidentes. Não em 100% do tempo real, mas com um tempo de lag curto.”

      Unifique segurança de endpoint, nuvem e identidade para parar o movimento lateral. O núcleo do zero trust é definir segmentação no nível do endpoint e da rede a fim de conter uma violação dentro dos limites do segmento. O objetivo é manter os sistemas e a infraestrutura da empresa seguros. Tendo eles unificados, ataques rápidos como um raio são contidos e não se espalham lateralmente pela rede.

        • Correlacione a telemetria de identidade, nuvem e endpoint e use os dados combinados para identificar e expor intrusões, violações e ameaças emergentes.
        • Os adversários estão explorando vulnerabilidades para ganhar acesso inicial. Cinquenta e dois por cento das vulnerabilidades observadas estavam vinculadas ao acesso inicial, reforçando a necessidade de proteger sistemas expostos antes que os atacantes estabeleçam uma base. Essa descoberta ressalta a necessidade de bloquear planos de controle de SaaS e nuvem para evitar acesso não autorizado e movimento lateral.
        • Mude de detecção de malware para prevenção de abuso de credenciais. Isso precisa começar com uma auditoria de todas as contas de acesso à nuvem, excluindo aquelas que não são mais necessárias.

        Usando IA para bloquear ataques de alta velocidade

        Para vencer a guerra da IA, os atacantes estão armando a IA para lançar ataques rápidos como um raio, enquanto criam vishing, deepfakes e campanhas de engenharia social para roubar identidades. Os métodos de Philips para detê-los, incluindo o uso de detecção impulsionada por IA e a revogação instantânea de tokens para matar sessões roubadas antes que se espalhem, estão se mostrando eficazes.

        No centro das estratégias de Philips e de muitos outros líderes de cibersegurança e TI está a necessidade de zero trust. Vez após vez, o VentureBeat observa que os líderes de segurança que obtêm sucesso em combater ataques na velocidade da máquina são aqueles que defendem acesso com privilégios mínimos, segmentação de rede e endpoint, monitoramento de cada transação e solicitação por recursos, e verificação contínua de identidades.




    18 − catorze =




    Bolt42

    IA