


Repensando a segurança cibernética: da conscientização ao empoderamento
Neste episódio, o apresentador Raghu Nandakumara se senta com Kyla Guru, estudante da Universidade de Stanford e defensora apaixonada da cibersegurança. A jornada de Kyla começou aos 14 anos, levando-a a fundar a Bits N' Bytes Cybersecurity Education. Ela compartilha a importância da educação cibernética proativa, os insights de seu trabalho com organizações governamentais e do setor privado e o papel da IA na defesa da segurança cibernética. Kyla também enfatiza a integração da segurança no desenvolvimento de produtos e a importância do envolvimento da comunidade de base na promoção da conscientização sobre segurança cibernética.
Transcrição
00:00
Então, novamente, outro episódio de The Segment. Desta vez, estou super animada em receber Kyla Guru. Ela tem um passado incrível e uma história incrível. Então, sem mais delongas, quero ir direto ao assunto. Kyla, bem-vinda ao The Segment.
00:19
Obrigada Obrigado, Raghu. E obrigado por me receber, Illumio.
00:23
É um prazer ter você neste podcast. E quero dizer, normalmente, temos uma pequena introdução que eu crio sobre nosso convidado, mas acho que só você poderia fazer justiça. Então, conte-nos sobre sua experiência. Vou deixar a pergunta por aqui.
00:42
Sim, eu posso te levar de volta para onde tudo começou. Então, eu sou Kyla e sou estudante agora na Universidade de Stanford. Estudei Ciência da Computação e Relações Internacionais. E agora sou estudante de mestrado. Mas antigamente, quando eu tinha 14 anos, foi aí que minha jornada no mundo cibernético realmente começou. Eu estava entrando no ensino médio, acho que era o começo do primeiro ano. E eu estava começando a me interessar pela segurança cibernética. Eu fiz alguns acampamentos de verão na internet. Eu fiquei super interessado e acabei de pesquisar acampamentos de verão perto de mim no Google no ciberespaço. E eu encontrei o mais próximo e fui até ele. E a partir disso, foi isso que realmente deu início a essa jornada maior. E a jornada meio que chegou. Quando voltei do acampamento de verão, percebi que essas eram lições que aprendi que não eram apenas isoladas ou não deveriam ser isoladas em uma semana de aprendizado em um acampamento de verão. Pareceu-me que esse é o tipo de conhecimento comum que as pessoas deveriam ter em mente ao navegar na Internet. E foi exatamente esse pensamento que me ocorreu e, a partir daí, comecei a analisar, ok, como podemos realmente educar as pessoas sobre esse tipo de ameaça cibernética, esses riscos cibernéticos em suas próprias vidas e capacitá-las a sentir que, quando estão na Internet, podem exercitar as habilidades que aprenderam. Então, analisei os programas de educação cibernética existentes na minha área e as ONGs (organizações não governamentais) que existiam. E, na época, muitas das coisas que eu via on-line eram muito reativas e não educavam proativamente as pessoas, apenas para educá-las. E quando conversei com o CIO e o CISO locais do meu bairro, eles também mencionaram que muitos dos esforços que realizaram foram reativos. E foi aí que eu pensei, ok, talvez seja hora de alguém fazer algo um pouco mais proativo. Então, comecei a ver como eu poderia criar um programa de educação cibernética em um nível muito local, apenas pedalando até minha escola primária local e oferecendo aulas de 5 ou 10 minutos sempre que as crianças estivessem livres. E isso realmente se transformou no que é hoje, a organização sem fins lucrativos BitSNbytes Cybersecurity Education. Ou seja, fico feliz em dizer que é uma organização internacional sem fins lucrativos que se dedica a trabalhar na educação cibernética e a tornar a educação cibernética mais acessível para todas as populações em todos os setores. Resumindo, venho liderando esses esforços educacionais há algum tempo, quase oito anos. E, ao longo do caminho, também iniciei uma conferência de tecnologia feminina chamada conferência GirlCon. Isso porque, de alguma forma, percebi que, sempre que entrava nessas salas de profissionais cibernéticos, havia um desequilíbrio chocante entre homens e mulheres na sala. E o desequilíbrio de gênero era bastante proeminente, especialmente em salas, quando eu aumentava os níveis e passava para níveis como conversas de nível C em níveis de diretoria ou CEO. Percebi que essa é uma mudança muito chocante. Então, a partir daí, comecei uma conferência de tecnologia feminina. Então, isso também está acontecendo hoje. Acabamos de realizar nosso sétimo evento anual, continuando a crescer na comunidade, e eu pessoalmente continuo crescendo como líder e aprendiz. Uma jornada muito emocionante.
04:15
Ok, eu só estou maravilhada com tudo isso. Então, deixe-me tirar um momento para deixar isso penetrar. Eu quero voltar, porque quero explorar muito do que você acabou de dizer com um pouco mais de detalhes. Mas vamos voltar ao 14 e você disse que se interessou pelo ciberespaço. Então, eu tenho filhos pequenos e meu e o nosso mais velho não têm muito menos de 14 anos. E ele não está particularmente interessado em cibersegurança. Então, o que te deixou viciado, como o que o atraiu?
04:50
Sim, essa é uma ótima pergunta. Acho que, honestamente, eram essas conversas de jantar que minha família teria. E meu pai costumava ser investigador de fraudes no Canadá. Ele não é um profissional cibernético, mas é contador por profissão, por treinamento. E só por causa disso, ele está a par de coisas como fraude monetária e crimes financeiros. Então, ele costumava começar a falar sobre essas coisas e um dia me levou a um de seus eventos profissionais, onde eles trouxeram um palestrante e o palestrante era um ex-criminoso financeiro, e ele estava meio que discutindo sua maneira de trabalhar e por que ele fazia o que fazia. E ele estava informando a todos sob uma sala de contadores sobre tudo bem, veja como você faz a devida diligência e faz a auditoria para a próxima vez. Por exemplo, foram conversas como essa que me fizeram inicialmente me interessar: o que é esse espaço? Quem são as pessoas que tentam se defender contra essas coisas e entender essas pessoas? E eu realmente acho que poderia ter acontecido de outra forma quando eu não estava interessado em cibersegurança, mas foi algo sobre o primeiro acampamento que fiz na GenCyber. E acho que parte disso foi que eles acabaram de nos mostrar professores, por exemplo, professores que faziam perícia digital e professores que estudam a psicologia por trás dos cibercriminosos, partes muito legais que me pareceram muito interdisciplinares. Como se você não precisasse ser apenas um profissional de ciência da computação para entender esse campo ou ser um especialista nesse campo. E foi empolgante que parecesse um pouco de tudo. E, sim, mas acho que varia para cada pessoa. Eu diria que talvez ter crianças assistindo filmes mais parecidos com filmes, como os filmes de espionagem, também ajude. Oh, uma das coisas que fiz quando era mais jovem foi assistir ao programa chamado The Arrow. E em The Arrow, há uma mulher hacker que ajuda o super-herói. E ela é uma espécie de salvadora subterrânea que salva o dia fazendo todo o pouco de logística, como ir aqui, marcar esse homem, coisas assim. Então eu vi Felicity Smoke, e eu realmente pude me ver como se fosse a primeira vez que eu pudesse me ver representada pela mídia. E foi aí que eu pensei: Ok, talvez isso seja algo que eu possa realmente fazer. E isso seria muito, muito legal. Então, isso também faz parte disso, eu acho.
07:22
Acho que, definitivamente, acho que o ciber poderia ter muito mais a ver com a imagem de ser descolado. De uma forma que, até certo ponto, uma espécie de cultura de startups fez com que se tornar um desenvolvedor fosse legal, certo? O que definitivamente não era uma profissão legal há 30 anos. Mas agora é meio que todo mundo quer ser, quer ser desenvolvedor. Isso é, isso é incrível. Então, você falou sobre como você meio que caiu e falou com o CISO, ou o CIO de sua comunidade local. E a reação deles foi muito sobre educação cibernética. A forma como falamos sobre cibersegurança é muito, muito reativa. Então, algo ruim acontece e então reagimos e dizemos: “Ah, tipo, vamos evitar isso no futuro”, vamos usar senhas, como exemplo. Sim Não use o nome do seu animal de estimação como senha, certo, mude-o e etc. Então, quais foram as coisas que você começou a apresentar, que adotaram esse tipo de abordagem proativa à educação cibernética?
08:28
Sim, e inicialmente, começou muito pequeno, certo? O que a escola concordou, e obviamente nesse caminho, foi uma parceria com a primeira escola e a escola meio que teve que concordar quando eu propus algumas coisas. Então, a primeira coisa foi um vídeo informativo de cinco minutos animado para os alunos. Então, eu fiz esse vídeo, acho que foi como se fosse um software de animação muito antigo que entrei nas escolas e o apresentei. E foi essa reação à apresentação que eu acho que deu início a muito mais dominós. Como na primeira reação, os alunos estavam muito engajados, interagindo, fazendo perguntas como: “de que tipo de senhas você está falando?” “Devo me preocupar com minha senha de e-mail? Tenho uma conta de e-mail na escola”, como perguntas muito críticas. Dava para perceber que eles estavam começando a pensar em como a segurança se encaixava em suas vidas. E foi aí que eu pensei, ok, você sabe, talvez isso possa ser algo relevante para outras escolas, como não apenas esses estudantes da minha própria comunidade. Porque minha comunidade era bastante voltada para o futuro, como se tivéssemos Chromebooks e dispositivos individuais para estudantes. E eu imaginei, tipo, todas as diferentes comunidades no espectro da acessibilidade tecnológica. Achei que, se não estamos fazendo muita educação cibernética, não consigo imaginar, você sabe, em termos gerais, como seria a educação cibernética. Então, na época, não tínhamos uma padronização de ensino fundamental e médio, um currículo padrão para cibernética. Então foi isso que deu início. E, a partir daí, criei um site; comecei a lançar mais recursos. Foi realmente o primeiro dominó, eu diria.
10:11
E eu diria que a educação cibernética é muito importante. E no mundo corporativo, como toda organização, grande e pequena, tem algum tipo de treinamento de conscientização sobre segurança, certo, que você testa anualmente. E é ótimo. E eu vi isso nas escolas dos meus filhos, onde, desde muito jovem, se fala em estar seguro on-line e estar seguro on-line. Mas minha pergunta é sempre: e a conscientização é muito importante. Mas como medimos o impacto disso? Então, sim, todos nós sabemos que, tipo, deveríamos ter senhas fortes, por exemplo, ou nesse caso, falamos sobre, tipo, mudar para frases secretas, ou até mesmo usar listas de senhas, o que é um grande movimento no momento. Mas como estamos medindo a eficácia da conscientização? E como sabemos que isso está realmente causando um impacto e melhorando a segurança cibernética?
11:09
O impacto é difícil de medir. Provavelmente, a pergunta mais difícil com a qual as ONGs e organizações sem fins lucrativos também lidam é: como você sabe que o que você está educando realmente não acontece? Porque a medida definitiva do sucesso é a redução do crime cibernético ou a redução das ameaças cibernéticas. E isso, mesmo para o pessoal da indústria, é uma coisa muito difícil de medir. Então, eu diria que algumas maneiras de mitigar isso são: temos medições imediatas. Então, medições de curto prazo, por exemplo, enviamos uma pesquisa logo após nossos programas, que captura muitas das informações imediatas, como: você se sente mais seguro após a sessão? Gostamos de ver mais desse conteúdo, desse tipo de reação imediata. E também, ao fazermos perguntas que meio que chegam ao ponto de perguntar: o que eles realmente aprenderam durante a sessão? Às vezes, fazemos uma escolha múltipla para ver se eles estão entendendo o conteúdo e se estão cientes disso. E também fazemos uma espécie de programação de longo prazo, em que podemos ver os alunos várias vezes ou vemos estudantes no próximo ano, no ano seguinte, e também vemos, ok, estudos longitudinais sobre se eles acham que têm maior probabilidade de entrar no ciberespaço por causa desses programas. E essa parte é, tipo, por meio de medidas qualitativas e quantitativas. Como conversar com eles e conversar com eles sobre como foi o ano deles e como o BitsNbytes os impactou. E também quantitativamente por meio dessas pesquisas. Então, eu diria que, em geral, é um pouco dos dois impactos para as ONGs em geral. E para a BitSNbytes é por meio das narrativas e histórias que os alunos compartilham. E muitos deles foram muito poderosos. Por exemplo, estudantes que conseguiram oportunidades de acompanhamento com base nas conferências que organizamos nos eventos que organizamos. E também tivemos alunos que compartilharam que sua irmã havia experimentado um golpe semelhante ou uma situação semelhante de dados, como violação de dados, e finalmente entenderam o que exatamente aconteceu durante a sessão. Por exemplo, eles também compartilharão esses tipos de histórias semelhantes, como na pesquisa. E esses são realmente interessantes de ler, porque fazem você se sentir como se eles realmente conectassem alguma coisa. E sim, acho que o impacto real e definitivo da visão seria que, daqui a 5 a 10 anos, quando essas pessoas entrarem no setor, elas sejam profissionais altamente preocupados com a segurança.
13:53
Sim, com certeza. Certo. E acho que o que você disse no início desse segmento específico é difícil medir o impacto de qualquer um desses programas. Podemos medir a participação, podemos medir o engajamento no programa, todas medidas importantes, mas, na verdade, medir se melhoramos os resultados de nossos clusters de cibersegurança é realmente difícil. E você vê os dados e analisa o número de ataques cibernéticos que tiveram sucesso. E esse número ou mesmo número de ataques cibernéticos tentados. Esse número está apenas subindo, subindo e subindo. Certo? Definitivamente, não está tendendo para baixo. E então você vê qual foi o tipo de vetor de ataque inicial, esse tipo inicial de onda de intrusão, e quase sempre é algum tipo de ataque de engenharia social de phishing, um e-mail de phishing. E eu me lembro de um adesivo na mesa do meu ex-gerente, que dizia: “Não há remédio para a estupidez humana”. E eu meio que penso nisso, quando penso em segurança cibernética, é que quase o que estamos fazendo de várias maneiras é essencialmente criar controles que mitigam o que um ser humano acabará fazendo. Certo? Não porque eles pretendem, mas muitas vezes por ignorância. Então, como eu conheço toda a consciência que programas como o seu estão trazendo, é importante ressaltar que eu estou meio que brincando com esse tipo de estupidez humana. Mas, tipo, qual é o impacto que você viu?
15:41
Sim, ótima pergunta. Ou seja, acho que é uma mentalidade muito comum em segurança. Acho que existem artigos e estudos sobre isso, especialmente no campo do design, sobre quando culpamos o usuário versus quando culpamos o designer. E eu acho que a insegurança, existe essa mentalidade de que, tipo, estamos dando o nosso melhor, tipo, tudo depende do usuário final, você sabe, depois de desenvolvê-la, está fora de nossas mãos. E são eles que clicam nos links e fazem todas essas coisas. Mas, no final das contas, até mesmo os desenvolvedores são humanos. E algumas dessas ameaças e ataques, se você olhar para eles, estão se tornando muito reais e parecem muito emocionais. E esse é o objetivo deles, certo? Eles estão tentando fazer com que você seja estimulado emocionalmente, de forma que você faça algo que normalmente não faria. E, como humanos, todos nós temos essa tendência. E acho que, especialmente com essa geração, já somos meio experientes nisso, crescemos em torno dessas ameaças, conhecemos os assustadores DMers do Instagram, que são como a palma de nossas mãos neste momento. É só uma questão de dar nomes a essas situações. E ensinando isso da seguinte forma, isso é na verdade uma questão de segurança nacional. Assim como você, você é na verdade parte de todo esse círculo de segurança que temos. Então eu acho que a maior peça é a peça de empoderamento. Acho que tem menos a ver com a consciência, acho que é muito fácil, porque eles quase já estão cientes. É mais uma questão de capacitá-los a saber que é assim que respondem suas perguntas. Muitos deles têm muitas perguntas que só precisam ser respondidas, como, você sabe, o que, essa política de privacidade realmente significa no final das contas? Ou o que o Snapchat está fazendo com meus dados? Por exemplo, ele o hospeda no dispositivo ou nos servidores? Como se eles tivessem perguntas complicadas que até mesmo os desenvolvedores, você sabe, gostariam de pensar duas vezes, como pensar novamente, responder. Então, acho que é uma longa maneira de dizer que o empoderamento é realmente importante, mesmo além da consciência. E acho que fico constantemente impressionado com coisas que estudantes e crianças sabem, então isso facilita muito meu trabalho ao falar sobre segurança, porque muitas vezes eles já criam a conversa com muitas perguntas.
18:03
Isso é incrível. Então, eu quero explorar um pouco mais esse elemento humano e a cibersegurança, porque uma das tendências que estamos vendo no ciberespaço dentro das organizações em termos das estratégias que as organizações estão adotando. É um em torno de um em torno de Zero Trust. E, especificamente, e por Zero Trust, não queremos dizer remover completamente a confiança, porque se fosse esse o caso, você poderia muito bem desconectar tudo da rede e pronto. Certo. Então, trata-se de remover uma espécie de confiança implícita e disponível gratuitamente, mas, do lado humano, muito do que fazemos no dia a dia depende da confiança implícita. Certo. E, eu sei, tive conversas, e isso é particularmente delicado em regiões específicas, onde apenas ouvir a palavra Zero Trust causa ofensa, porque, oh, como isso pode ser? Certo? Isso significa que você não confia em mim como usuário. E você não confia no que eu faço. Como você pode não ter conversado especificamente sobre o Zero Trust, mas como equilibrar isso com o fato de que os programas educacionais não têm essa confiança implícita no que você faz on-line? Mas isso não significa que você comprometa sua capacidade de confiar nas pessoas.
19:25
Sim, acho que o Zero Trust é complicado por esse motivo. É porque você não quer dar a ideia de que não deve confiar totalmente nos outros ou de que não deveria, de que não deve confiar em si mesmo on-line. É mais uma nota menos fortalecedora. Acho que confiar, mas verificar, é uma boa postura que costumo ensinar em termos de desinformação e guerra de informação. É como se a verificação fosse extremamente importante. Além disso, acho que apenas mudar a terminologia para dizer, sim, Zero Trust é incrivelmente importante, mas está estruturado. Dentro delas, como muitas outras coisas, há uma razão pela qual não confiamos imediatamente. E há esses, todos esses estudos de caso de quando confiamos imediatamente. E é como colocá-lo em uma lição maior para depois rotulá-lo como Zero Trust. Tipo, eu acho que Zero Trust é uma declaração carregada. Não é simplesmente nada, nenhuma confiança. É confiança, mas verificar geralmente é a ideia por trás disso. Dizemos apenas Zero Trust porque isso faz você se sentir como, ok, eu tenho que começar do nível do solo. Mas acho que em termos de um aspecto educacional, conhecer os estudantes onde eles estão e levar a eles esses estudos de caso, ou esses exemplos semelhantes, é isso que queremos dizer com Zero Trust. Porque naquela época, eles talvez não tivessem visto o caso de uso real de Zero Trust em termos de autenticação semelhante ou concessão de privilégios a pessoas. Então, dê a eles exemplos que façam com que pareça mais real. É definitivamente uma das mitigações para isso.
21:12
Sim, eu realmente gostei do que você disse lá sobre começar no nível do solo e depois construir o andaime, certo? É, está de novo, e você faz com que seja muito real, porque digamos que você está conhecendo um estranho, certo? Você não se associa, como se não associasse necessariamente um alto nível de confiança, até ter validado quem eles são, etc. E vários fatores. Se foi, se você meio que se conectou por meio de um amigo, então há algum nível de aprovação, há algum nível de verificação inicial que foi feito para elevar isso um pouco mais. Em vez de, digamos, alguém com quem vocês acabaram de se conectar no LinkedIn, mas nenhum tipo de referência ou validação realmente formal. É meio que, é meio que, ok, talvez eu esteja um pouco abaixo. E eu acho que isso é uma aplicação do mesmo princípio à forma como você lida com tecnologia e sistemas. Sim, essa mesma abordagem de bom senso, porque, em última análise, você chega a um ponto em que diz que estabeleceu uma validação suficiente para dizer, ok, posso confiar nessa pessoa ou nessa tecnologia tecnológica até certo ponto. E eu acho que, sim, a base desse senso comum está absolutamente correta.
22:22
Sim, com certeza. Eu adoro isso. Acho que espelhar todas as coisas digitalmente, fisicamente, sempre ajuda na educação, porque as pessoas geralmente entendem que, ok, eu tenho que trancar meu carro antes de sair, ou eu tenho que trancar a porta antes de dormir. Como se esses fossem elementos muito importantes para nós, como valores que mantemos próximos. Mas traduzir isso para o ciberespaço é a peça-chave da educação: “Ah, isso é o mesmo digitalmente”. Imagine se alguém tivesse acesso à sua localização física ou às suas coordenadas de GPS que, sempre, esse é o tipo de mentalidade que você deveria ter em termos de pensar sobre seu modelo de ameaça.
23:01
Isso é, isso é ótimo. Vamos começar a modelagem de ameaças em um segundo. Mas essa analogia, eu acho, é muito importante: para suas próprias coisas preciosas, objetos físicos que você deseja proteger, você é muito, muito cauteloso, certo? Você tranca suas portas, você pode ser colocado, então, digamos coisas preciosas em um cofre, ou você as coloca em um cofre ou algo parecido, certo? Então. Mas quando se trata de como interagimos on-line, é quase como se o que quiséssemos fosse facilidade de uso, facilidade de acesso e poder fazer algo rapidamente só porque está on-line e é eletrônico. As barreiras para fazer para ser produtivo, de repente, parecem precisar ser reduzidas. E acho que precisamos, novamente, aplicar o mesmo nível de inspeção e cuidado que faríamos aos objetos físicos.
23:52
Sim E eu acho que não é só uma coisa do usuário. Acho que a Internet foi quase projetada de forma que houvesse essa compensação, ou essa aparente compensação entre conveniência e segurança. Sim. E às vezes nem é apenas uma decisão do usuário. E nós tornamos muito difícil, como designers, incentivar o usuário a escolher estar seguro. Então, acho que o que estou vendo agora é que estou gostando de todos esses movimentos no sentido de incorporar segurança ou incorporar segurança ao produto. Para que o usuário nem precise pensar em segurança, ou a segurança é algo que ele pode ativar e desativar ou alternar, como um louco, como uma configuração bloqueada, para algo como, oh, apenas segura por padrão. Por exemplo, não sei se você já viu o modo de bloqueio da Apple, mas os produtos da Apple são obviamente seguros por design, mas eles têm uma camada adicional de segurança se você for um indivíduo de alto risco. Então, são designs como esses, que realmente impulsionam o avanço, pois o usuário nem precisa tomar essa decisão no final do dia, que é a segurança física quando estamos trancando portas ou trancando carros. Quando fazemos essa análise de custo-benefício, o cálculo faz sentido em nossa cabeça, como se não estivéssemos perdendo nada ao tomar precauções extras. E acho que é assim que devemos tentar criar dispositivos na Internet. Os produtos que os usuários estão usando pensam na segurança como algo que não deveria deixar nada para trás.
25:26
Certo, e é natural. E voltando à analogia do seu carro, quando você sai do carro, você não diz: “Na verdade, eu não me preocupo em trancar o carro” porque isso é mais um toque de botão. Certo? Sim, apenas faça isso, você, subconscientemente você faz isso. Mas eu só quero que você comece a falar sobre segurança por design e incorporação de segurança ao ciclo de vida de desenvolvimento de produtos. Certo. E eu acho que isso é uma evolução interessante. Porque se pensarmos historicamente sobre a função de segurança e o papel que a segurança desempenhou, e novamente, gostaríamos de simplificá-la significativamente. Por muito tempo, e ainda é em grande parte hoje, a segurança desempenha o papel de ser uma função de aprovação. Então é como se você viesse e perguntasse à equipe de segurança, posso fazer alguma coisa? E eles dizem sim ou não. E muitas vezes você vem até eles, quando chega ao fim do que quer que esteja construindo, e então você quer a pergunta “Você pode abençoá-lo, por favor”. Certo? Por outro lado, acho que se, e esse é sempre o desafio, digamos que a Segurança diga não, certo? E então você diz, oh, então você volta para o que realmente prejudica a produtividade? Ou a Segurança diz: Bem, não. E aqui estão todos os seus riscos. E você diz: “Bem, ok, bem, vou aceitar o risco, certo?” Porque eu preciso ser produtivo, e você divulga algo, isso é inseguro. Mas acho que o que você está dizendo sobre incorporar a segurança ao processo muito cedo, diria que quase no início, faça com que a segurança e a garantia funcionem. Isso significa que, como você já incorporou a segurança em todo o processo de design e construção, ao implantar algo, você sabe que é seguro. Então, é quase como se eu o implantasse de volta no mesmo padrão, eu sei que será seguro. Porque só eu posso fazer coisas que são seguras. Acho que essa é a maior mudança cultural que precisamos promover.
27:26
Sim, não, eu adoro isso. Acho que tive um professor uma vez que disse uma frase que eu sempre lembrei neste contexto: “A segurança é sempre pensada como parte do encanamento, mas a segurança realmente precisa ser pensada como parte do problema e parte da definição inicial do problema”. Então, não é só como podemos fazer isso, mas como podemos fazer isso com segurança? E como podemos manter nossos usuários seguros e protegidos. Então, acho que quando busco boas práticas de design e bons valores de design, acho que isso será algo pelo qual os clientes responsabilizarão as empresas. E acho que você vê esse tipo de coisa nos produtos Apple no que eles fazem, vivem e respiram, mas também por meio de muitas soluções de design diferentes atualmente. Especialmente os aplicativos de dois fatores, que tornam muito fácil fazer dois fatores sem nem mesmo pensar que você acabou de abrir o aplicativo e ele já verifica você. E esse é o tipo de mudança de design que eu acho que é segura e protegida. Mas eles também são bem desenhados, muito convenientes, fáceis de usar e bonitos. Então, acho que essa é a próxima geração de design e segurança. E eu realmente gostaria que mais escolas que ensinam design tivessem algum tipo de aula sobre design para proteção e segurança. Porque eu diria que, mesmo em um programa de ciência da computação na minha escola, você meio que precisa construir seu próprio caminho e descobrir exatamente como vou aprender sobre isso em uma sala de aula para ter as habilidades necessárias. Existem vários tipos de outras classes, como design para acessibilidade e design para design de jogos, mas acho que projetar para proteção e segurança é realmente a próxima geração.
29:14
Absolutamente Também é bom saber que, em 25 anos, os cursos de ciência da computação, embora continuem ensinando segurança, ainda não incorporaram totalmente a segurança em todos os aspectos do curso. E é basicamente uma disciplina autônoma e autônoma.
29:33
Sim, eu poderia continuar com isso para sempre. E isso sempre me faz querer me tornar um formulador de políticas para mudar esse fato. Mas há uma estatística maluca que diz que dos 14 melhores programas de ciência da computação do país, apenas um desses programas exige que os desenvolvedores façam um curso de segurança. Nas outras escolas, incluindo a minha, segurança não é uma aula obrigatória; você pode cursá-la se quiser aprender mais sobre ela. Mas muitas vezes você pode se formar sem ter feito nenhum.
30:09
Sim, e isso é sob o comando de alguém que trabalha na área cibernética há quase 20 anos. E só de pensar no número de graduados que estão saindo querendo entrar na tecnologia em qualquer setor, mas essencialmente, na área de tecnologia e desenvolver produtos incríveis. O fato de eles não terem necessariamente uma sólida formação em cibernética, não estou dizendo que são especialistas, mas sim conscientização e afins, isso soa como habilidades essenciais, que serão importantes para sua função. Isso é muito assustador, porque, novamente, remonta ao que são aquelas coisas que somos que estamos desenvolvendo e usando, e mais ou menos quanto a base de segurança não é. E eu sei que as organizações se esforçam muito para compensar isso. Mas parece que, da mesma forma que você, está enfrentando o desafio da educação cibernética em uma idade tão jovem, em uma espécie de escola, na idade escolar, que isso é algo que, no ensino superior, é algo que pode ser facilmente resolvido e é bastante essencial. Se estamos dizendo que todos precisam aprender a programar, porque isso é essencial para qualquer trabalho que eles façam. Bem, vamos garantir que eles possam codificar com segurança
31:29
Sim, eu acho que isso vai ser uma grande mudança no sistema educacional. E eu realmente espero que isso aconteça. E é isso mesmo, acho que usamos as ferramentas certas. Acho que existem algumas startups e empresas emergentes trabalhando em como levar ferramentas para desenvolvedores, de forma que isso torne a segurança, tipo, muito fácil de entender, especialmente em documentações que você também não conhece. Então, acho que com as ferramentas certas, com a base certa de educação, com um mero interesse e com o desejo de saber sobre isso, acho que isso remonta ao que você estava dizendo originalmente: os desenvolvedores não têm o estereótipo ou a perspectiva de que o pessoal de segurança sempre entra e diz: “Você não pode fazer isso, desculpe”. Como se você não pudesse gostar de não poder se desenvolver, você não pode. Geralmente, essa é a sensação que as pessoas têm, especialmente com toda essa revolução da IA, de que, ah, se eu trouxer pessoal de segurança ou se eu me preocupar com a segurança, como se eu não me desenvolvesse tão rápido, não inovaria tão rapidamente. Mas acho que derrubar esse estereótipo que você pode desenvolver com a mesma rapidez, mas também com a segurança em mente. E há muitos exemplos disso. Essa é realmente a peça-chave.
32:50
Sim, com certeza. E acho que uma parte disso é obviamente mudar isso, essa mentalidade, e, na verdade, fazer com que, e esta é a mais antiga, que está muito presente no setor de cibersegurança, se tornem parceiros. Certo? Façam a si mesmos, não sintam que precisam ser esse policial sim/não. Mas muito mais sobre um parceiro, porque é isso que vai gerar mais engajamento e mais adoção. Além disso, acho que o ônus também recai sobre os fornecedores de segurança, aqueles que desenvolvem produtos e tecnologias de segurança para torná-los o mais fáceis de usar possível por aqueles que estão criando aplicativos para o usuário final. Para que adotar a segurança se torne uma alegria. Quero dizer, entendo seu ponto de vista, certo? Somos muito obcecados com a experiência do usuário. É muito importante se você está projetando um produto de consumo e a experiência do usuário é ruim, certo? Esse produto não vai longe. Certo, vai conseguir, vai ser abatido. Portanto, devemos adotar a mesma abordagem em relação aos produtos de segurança, que, ok, talvez produtos corporativos, talvez produtos para o usuário final, mas vamos fazer da segurança um prazer adotar.
34:10
Sim, e também é mais fácil de adotar. Acho que uma das coisas com as quais tenho dificuldade às vezes é aconselhar quando pequenas e médias empresas chegam e dizem: “Ah, estamos procurando um produto de segurança”, como se quisessem se proteger ou adotar algo. Existem tantas ferramentas disponíveis. Que é difícil analisar agora, tipo, o que exatamente, o que você está realmente fazendo? Então, acho que basta obter uma compreensão geral da comunicação de seu produto, de acordo com o que ele faz e, em seguida, com quem você deseja servir. Isso também é importante, porque existem muitos produtos disponíveis no momento.
34:56
Então, eu quero falar sobre IA com você daqui a pouco, mas quero dizer, você não é apenas um educador cibernético, certo? Você não é apenas alguém focado em aumentar a conscientização; você também é um caçador de ameaças, está mergulhado nas ervas daninhas da tecnologia. Então, vamos falar um pouco sobre isso. Tipo, como é, qual é esse aspecto do seu dia-a-dia?
35:28
Sim, eu diria que realmente surgiu do meu interesse nesse componente educacional. Então, eu estava fazendo educação, durante todo o ensino médio, educação e defesa do ciberespaço. E então, quando entrei na faculdade, comecei a ficar mais interessado em, ok, quem são esses verdadeiros agentes de ameaças e por que eles estão fazendo o que fazem? E como eles estão fazendo o que fazem? Por exemplo, quais são suas táticas e técnicas? E foi aí que comecei a entrar na inteligência de ameaças. E inteligência de ameaças, trabalhei no MS-ISAC por um ano. E então mudei para a Apple para fazer operações de segurança lá e detectar fraudes usando IA e ML. E então me mudei para o governo e trabalhei na CISA, totalmente centrada na capacitação internacional de construção cibernética e na ajuda de nossos parceiros e parceiros da cadeia de suprimentos com sua segurança. Depois voltei para a Apple para fazer segurança de produtos com parceiros da sociedade civil, protegendo jornalistas, dissidentes e defensores dos direitos humanos. E fiquei muito interessado em que o governo voltasse a pagar impostos. E isso também é o que estou fazendo neste verão na SpaceX, trabalhando em atacantes governamentais e ataques governamentais aos nossos produtos. E isso também é o que eu pesquiso. Então, é muita paixão criada por causa do lado da educação, vendo as vítimas reais, vendo pessoas que passaram por coisas assim, também fizemos muitas sessões com vítimas de exploração on-line. Então, em geral, a exposição às pessoas do outro lado dos ataques, eu acho, despertou muito do meu interesse em conhecer esse campo tão bem. E acho que isso acabou de me aprofundar cada vez mais nessas tocas cibernéticas, mas eu não aceitaria isso de outra forma. É muito divertido fazer a pesquisa e fazer o componente educacional juntos.
37:36
Quero dizer, é basicamente um quem é quem das organizações dos setores público e privado em que você trabalhou em segurança cibernética. E posso apenas dizer que a maioria das pessoas que trabalham na área cibernética não fizeram nada relacionado à cibersegurança até os 30 anos. Então, você já tem uma vantagem de 15 anos sobre o resto de nós. Não é justo. Mas é interessante, você está meio que vendo, como atores de um estado-nação. Então, se juntarmos algo sobre o qual falamos anteriormente, sobre o aumento dos ataques cibernéticos. Certo. Então, por um lado, observando a ascensão da nação, dos atores estatais e de uma espécie de narrativa geral, é que os atacantes estão ficando cada vez mais sofisticados.
38:21
Sim, essa é uma ótima pergunta. Acho que mesmo tendo estado do lado do pentesting, também. É interessante, porque sinto que toda vez que fiz uma dessas experiências de aprendizado e estava fazendo uma avaliação de pré-teste, ou meio que a via do início ao fim. Eu sempre voltava ao artigo sobre educação, e acho que parte disso era porque, tipo, toda vez que eu percebia que o vetor inicial usado, tipo 80% das vezes, é através de humanos. Portanto, independentemente de ser um invasor que tenha acesso à IA, isso só facilita o trabalho deles gerar algum tipo de e-mail, por meio de IA, ou gerar uma mensagem de voz gerada por IA ou uma voz gerada por IA e conduzir o vetor inicial do ataque. Acho que, todas as vezes, acabei voltando ao artigo sobre educação, o que acho que é um grande motivo pelo qual não parei de fazer isso desde que comecei, quando tinha 14 anos. Então, eu diria que você está certo de que, mesmo com inteligência artificial, devemos pensar em como nossa defesa em profundidade, nossa postura de segurança, não necessariamente mudou muito. Ele mudou em termos de aprimoramento, mas é um jogo de gato e rato e os agentes de ameaças também estão melhorando. Então, temos que nos adaptar. Não é só um e pronto. Eu fiz minha segurança. Estou farto disso. Eu não vou pensar nisso. Ainda mais. Ok, podemos revisar isso agora que os agentes da ameaça estão evoluindo? O que podemos fazer para ficar à frente da agulha. E eu acho que, como designers, isso é uma grande coisa em que pensar quando você pensa em projetar um produto é como, ok, se eu construísse isso, se eu projetasse dessa maneira, como os atacantes tentariam contornar isso? E qual é o próximo passo deles?
40:13
Isso é brilhante, certo? Como essa é basicamente uma abordagem centrada em ameaças para criar um produto ou, como falamos quando falamos sobre Zero Trust, falamos sobre isso como uma espécie de suposição, intrusão, suponha que o invasor esteja lá dentro, como você construiria seus controles? Crie sua segurança para que eles não possam realmente ir mais longe? Certo. E eu acho que isso é absolutamente o caso. Porque quando penso que essa era uma relação, digamos, com atacantes movidos a IA, em última análise, é para que serve o combustível, para o modelo de IA. São dados, são informações sobre, sobre o que é sobre você, sobre sua organização, sobre a infraestrutura que você tem. Então, quanto menos disso você disponibiliza gratuitamente, certo? Quanto mais, menos o atacante precisa trabalhar. Então, está meio faminto, como falamos, tipo, falamos sobre reduzir a superfície de ataque, certo, ou gerenciar nossa superfície de ataque, mas também é como gerenciar a superfície de aprendizado, tipo, qual é a superfície exposta com a qual o atacante pode aprender?
41:24
Sim, sim, eu concordo totalmente. E passei o último ano analisando o uso de grandes modelos de linguagem para conduzir a defesa cibernética e extrair ou identificar táticas e técnicas, após um ataque. E o que você aprendeu sobre como usar inteligência artificial, ajustá-la para ser uma ferramenta produtiva, é que nossa IA está, definitivamente, desenvolvida, mas definitivamente tem suas nuances, certo? Por exemplo, quando você interage com um LM, você pode definitivamente perceber que é um pouco alucinante e coisas assim. Então eu acho que todo mundo está nisso, tipo, no campo de jogo está nivelado, no sentido de que, como se estivessem operando com o mesmo nível de ferramentas que nós, vamos tentar construir mais rápido. Vamos criar ferramentas defensivas com mais rapidez. Vamos evitar esses riscos potenciais mais rápido do que eles.
42:24
Então, como você vê a IA transformando o cenário da cibersegurança? Por exemplo, o que você acha que é a principal coisa que ele pode ser usado para resolver?
42:38
Há, há tantas pequenas subtarefas, eu acho. Mas acho que a forma como os engenheiros de IA estão vendo isso, assim como os profissionais cibernéticos, é, novamente, essa ideia de como podemos nos encontrar onde estamos? Certo? Não é que a IA seja usada para substituir os profissionais cibernéticos. Mas, em vez disso, como podemos encontrar pequenas subtarefas que, na verdade, se um analista, se um analista humano não estivesse gastando tanto tempo com isso, ele poderia realmente colocar seus esforços de analista humano em uma tarefa mais difícil ou em subtarefas mais difíceis exigidas por humanos? Então, acho que meu foco é como faço para encontrar essas subtarefas menores para que possamos realmente criar benchmarks? E a segunda coisa é: como você realmente testa isso cientificamente e rigorosamente para que saibamos que um modelo de ML seria útil para uma tarefa? Ou seria bom para uma tarefa? E essa é a grande questão, acho que a pesquisa acadêmica no momento é: sim, todas essas ferramentas estão sendo lançadas, todo fornecedor cibernético afirma ter um produto movido a IA. Mas, ao mesmo tempo, se você observar a pesquisa, não há muitos benchmarks de LLM para dizer: “Ok, é assim que os humanos realizam essa tarefa”. É assim que o LLM funciona; vamos realmente fazer uma comparação lado a lado. E vamos fazer isso em escala centenas de vezes para ver, na verdade, se essa seria uma ferramenta em potencial? Então, acho que a próxima etapa da pesquisa acadêmica é: podemos produzir referências que forneçam evidências cientificamente rigorosas? Como, novamente, esse é o setor cibernético do qual estamos falando, precisamos de evidências para algo como decisões de alto risco, certo?
44:25
Absolutamente Eu estava conversando com um ex-colega ontem à noite. Estávamos falando sobre isso porque ele está no meio da construção de uma startup que está aproveitando fortemente a IA para a tecnologia que estamos construindo. E estávamos falando sobre, ok, bem, como é a IA, me convença de que a IA é realmente útil, certo. E então acho que o que concluímos resumindo o que você disse é: quais são as tarefas do dia-a-dia que eu odeio fazer, mas tenho que fazer? E se eu puder usar a IA, se a IA puder entender quais são essas tarefas e fazê-las por mim, isso é muito útil. Porque então eu posso me concentrar, na sua opinião, nas coisas que eu realmente quero fazer. Isso eu não posso porque estou gastando muito tempo com essas coisas que eu tenho que fazer, mas eu odeio fazer.
45:24
Com certeza, sim, acho que é uma ótima maneira de dizer isso. E acho que, quando falo com pessoas do setor público, quais são as adoções que o governo está buscando em termos de IA? É mais ou menos a mesma coisa. São todos esses pequenos, não são os problemas sensuais que eles estão enfrentando. É tudo, você sabe, desde contratar um RH até descobrir como contratar alguém que gosta de um novo funcionário, como contratá-lo sem, você sabe, gastar muitos recursos e esforço humano. Por exemplo, como podemos usar essas ferramentas para realmente melhorar o que fazemos e aumentar o que fazemos? E sim, acho que um dos meus professores disse isso de forma muito interessante, é sobre aumento de inteligência, em vez de automação.
46:13
Sim, com certeza. Certo. E quando vou para um, não são os problemas sensuais que você está tentando resolver. São os problemas ruins que eles estão tentando resolver. Certo? E aqueles, exceto aqueles que você precisa resolver absolutamente no dia a dia? Sim, eu concordo totalmente. E acho que é por isso que na era da IA, a revolução, tem tantos paralelos com aqueles outros saltos no tipo de tecnologia que vimos nos últimos 100 anos, certo? É, não é, está essencialmente ativando ou eliminando algumas dessas coisas muito manuais. Isso é incrível. Então, vamos pensar em quando você analisa sua bola de cristal sobre cibernética, sobre política, sobre o elemento humano sobre IA. O que você vê como futuro?
47:09
A pergunta de um milhão de dólares.
47:12
Pergunta de um bilhão de dólares! Você entendeu a ideia, certo?
47:17
Droga, eu tenho que construir minha startup! Mas acho que são várias coisas na indústria cibernética. Lá. Sinto que há tanta coisa acontecendo agora que é difícil definir uma coisa, mas acho que, se eu pudesse resumir, seria, como você disse, esse equilíbrio fino de onde traçar a linha entre a análise humana e o aumento da inteligência? E se alguém entender isso, certo, acho que essa será a ferramenta de um bilhão de dólares: você pode criar algo que aumente a inteligência que nos torne defensores mais inteligentes, mas também aproveite o que os humanos fazem de melhor, que é detectar anomalias ou descobrir que algo está um pouco errado ou estranho que uma máquina talvez não consiga captar. E é o ajuste fino da definição do problema que, eu acho, vai levar a agulha longe.
48:16
Então, quando sua startup será lançada?
48:22
Este é um lançamento suave para ele. É um lançamento suave. E eu estou fazendo um teste para um papel nele também.
48:32
Fantástico. Então, desse jeito. Vamos trazê-lo de volta à educação e à conscientização ao encerrarmos. E como se houvesse muitos profissionais de segurança ouvindo esse podcast, certo? Qual é a mensagem que você tem, como sua conexão com pessoas que ainda estão concluindo o ensino médio, cursando a faculdade. Mas você também teve toda essa exposição no setor público de alto nível, no setor privado de alto padrão? Qual é a sua mensagem para os profissionais de segurança cibernética de hoje que eles devem conhecer sobre os profissionais de segurança cibernética de amanhã?
49:20
Sim, acho que algumas coisas. Então, uma é que tudo começa, é muito popular. Se há uma mensagem que eu poderia enviar aos profissionais cibernéticos do setor de trabalho, é que tudo volte para sua comunidade, para seu impacto na mensagem que você envia. Então, eu sempre recomendo que você vá às escolas locais, fale sobre o que você faz e traga aquela imagem da qual estávamos falando no começo, certo, de que o ciberespaço não é apenas esse tipo de pessoa ou esse histórico necessário. Está em todo lugar e é tudo. Ontem, eu estava conversando com um amigo e disse: você não escolhe o ciberespaço, o ciberespaço escolhe você. Como se fosse o problema, é entrar na comunidade e compartilhar sobre o que você faz. Apresente esse fato de que existe, você sabe, um painel de pessoas de você conhece, Illumio ou onde quer que você trabalhe, com pessoas de várias origens diferentes que estão analisando esse problema de várias lentes. Então, essa é a única coisa é entrar na comunidade. E a segunda é saber que essa geração não é apenas apática a esses problemas, somos muito conscientes, experientes, queremos saber a resposta. Nós vamos fazer as perguntas difíceis. Portanto, esteja pronto, empolgado e entenda que precisamos nos encontrar onde estamos em termos de educação cibernética.
50:49
Surpreendente. Kyla, foi um prazer falar com você, certo? Eu gostaria que pudéssemos ter mais tempo, mas sei que seu tempo é precioso. Então, novamente, muito obrigado pelo seu tempo. Agradeço muito. Tem sido fantástico.
51:02
Obrigado, Raghu. Isso tem sido muito divertido. Obrigada