Espiral agora, não depois: repensando a prontidão para ransomware

00:05 Raghu Nandakumara

Bem-vindo ao The Segment: A Zero Trust Leadership Podcast. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje, estou acompanhado por Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft.

Sherrod foi selecionada como Mulher do Ano em Cibersegurança em 2022 e Porta-Voz do Ano de Relações Públicas de Cibersegurança em 2021. Anteriormente, ela foi vice-presidente de pesquisa e detecção de ameaças na Proofpoint, onde liderou uma equipe global de pesquisadores de ameaças, engenheiros reversos de malware e analistas de inteligência de ameaças. Sua carreira em segurança cibernética abrange 19 anos, com funções anteriores, incluindo liderar serviços de equipe vermelha na Nexum, engenheira sênior de soluções da Symantec, consultora sênior de segurança da SecureWorks e analista sênior de segurança de rede da Administração Nacional de Segurança Nuclear.

Nessa conversa, ela enfatiza a importância da resiliência do ransomware e aborda os conceitos básicos de segurança, bem como o impacto da IA em atacantes e defensores. A conversa destaca a necessidade de inteligência acionável contra ameaças e o elemento humano da segurança.

Mas antes de entrarmos no episódio, uma palavra da Illumio: [inserir anúncio]

Sherrod, em primeiro lugar, antes de começarmos a conversa, é muito emocionante poder falar com você hoje. E é engraçado, foi uma coincidência completa. Eu estava ouvindo alguns de seus episódios recentes de podcast como uma espécie de preparação para isso, e eu, na semana passada, decidi reouvir o podcast Lazarus Heist que a BBC fez, com o qual tenho certeza que você está muito familiarizado. Então eu pensei que eram, tipo, isso é uma coincidência. E como resultado de ouvir isso nas últimas duas noites, marquei a entrevista e depois adormeci com ela. Então, diz mais sobre ou estou cansado do filme ou não foi tão bom, mas, de qualquer forma, é um verdadeiro prazer poder falar com você. Então, obrigado por se juntar a nós.

02:14 Sherrod DeGrippo

Obrigada. Obrigado por me receber. Acho que você sabe que, conforme evidenciado pelo consumo de mídia, a Coreia do Norte está realmente entrando no jogo. Eles estão entrando no tabuleiro de uma forma que nunca vimos antes. Nos últimos dois meses, a Coreia do Norte está marcando alguns pontos.

02:28 Raghu Nandakumara

Com certeza, e eu adoraria discutir isso em algum momento de nossa conversa hoje. Mas acho que a norma desses podcasts é: vamos retroceder a fita e nos levar de volta para onde tudo começou para você em sua carreira e, finalmente, para o que você faz em seu papel hoje.

02:48 Sherrod DeGrippo

Claro. Então, quero dizer, acho que começou quando eu tinha 14 anos. Realmente, eu tinha 14 anos. Isso foi no início dos anos 90, e eu li porque eu era, você sabe, uma adolescente muito legal, li a revista Thrasher, Thrasher Magazine, que era uma revista de skate. E um mês, na parte de trás da revista Thrasher, havia um pequeno anúncio que dizia: ligue para o Thrasher BBS (sistema de quadro de avisos), e tinha um número de telefone. E eu, você sabe, fui até meu pai, que era um grande idiota de computadores hardcore, supercomputadores. E eu disse: “Pai, eu quero chamar isso de BBS. O que eu faço?” E ele disse: “Bem, você sabe, eu tenho um modem e podemos configurá-lo, e faremos com que você possa ligar para o BBS.” E eu me lembro muito claramente de que estava usando um modem de bits BitFax, que era o aplicativo, ou o aplicativo no Windows 3.1, e me lembro muito bem dele dizendo: “Vou desativar o ANSI. Você não precisa disso.” Então, basicamente, ele me tirou a visualização gráfica muito cedo, tipo, você sabe, ele disse que minha filha de 14 anos não precisa ver essas imagens. Acabei de ligar para o Thrasher BBS e estava ligado, dia após dia. E então, cerca de um mês depois, meu pai gritou: “Sherrod”. Eu disse: “Oh, estou em apuros.” Eu paguei uma conta telefônica de $300. Para os jovens que ouviam, costumávamos pagar por chamadas telefônicas de longa distância, e o Thrasher BBS não era local para mim, então custava dinheiro por minuto. E meu pai não gostava disso, então isso meio que me deixou louca, na verdade; eu me considero uma louca primeiro, o que significava que, você sabe, eu tinha um aparelho de atacante. Eu fiz coisas como boxe bege e conheci muitas pessoas que estavam muito animadas em me mostrar muitas coisas. E acabei, você sabe, quando estava na faculdade, trabalhei no shopping e não ganhei dinheiro suficiente, e vi um pôster no campus que dizia: “Venha trabalhar na AT&T”. Então, quando eu estava na faculdade, comecei a trabalhar na AT&T. E, a partir daí, continuei conseguindo empregos na área de tecnologia, até começar a trabalhar em um ISP mais cedo. Minha carreira, provavelmente de 2000 a 2001, e aquele ISP foram hackeados. Um dos clientes do ISP foi hackeado e disse: “Queremos que você conserte isso”. Você sabe, era um data center. Então eu usei todos os seus servidores, coloquei-os em uma mesa em uma sala de conferências, rastreei tudo em um quadro branco e pensei: “Vou trabalhar”. Eu vou fazer esse trabalho. Você sabe, nem era chamado de resposta a incidentes na época. E era uma instalação do PHP BB que estava vulnerável, que foi invadida, aspas, por uma equipe de hackers. Eles colocam vários MP3s tocando em segundo plano ou talvez até mesmo apenas arquivos Wave. Como se fosse muito primitivo. E esse foi o ponto em que eu pensei: “Eu quero fazer segurança”. Eu quero proteger as coisas. Quero aprender como tudo isso funciona. Eu quero hackear coisas. Eu quero proteger as coisas. E pouco depois disso, consegui meu primeiro emprego de segurança real, trabalhando para a Administração Nacional de Segurança Nuclear, parte do Departamento de Energia. E isso deu início à minha obsessão pela segurança de rede. Sou obcecado por segurança de rede. E eu, você sabe, fiz isso por um bom tempo. E não muito tempo, mas depois disso, fui trabalhar em fornecedores. Por isso, dediquei os últimos 18 anos da minha carreira a fornecedores de segurança, Symantec, SecureWorks, Nexum Proofpoint e agora Microsoft. Adoro o espaço dos fornecedores.

06:19 Raghu Nandakumara

Surpreendente. Quero dizer, essa é uma história e tanto da revista Thrasher até o chefe de estratégia de inteligência de ameaças da Microsoft. Essa é provavelmente uma carreira, ou mesmo uma trajetória de vida, que você nunca teria sido capaz de traçar, se tivesse sido questionada naquela época no início dos anos 90.

06:37 Sherrod DeGrippo

BBSs e IRC me moldaram. BBSs IRC e Live Journal. Essas são minhas bases de origem, com certeza. Acho que parte disso foi porque, quando eu estava crescendo, mesmo quando era muito jovem, meu pai sempre dizia: “Qualquer coisa que você precise aprender, há um livro, e você pega o livro, aprende com o livro e pode fazer qualquer coisa”. E quando ele comprou meu primeiro carro, ele comprou o manual do Chilton que acompanhava meu carro e disse: “Você tem um carro e agora tem o livro que acompanha o carro e pode consertá-lo”. E então eu meio que levei isso comigo. De tudo o que você precisa aprender, há um canal de IRC no qual você pode entrar. Alguém vai te ajudar ou te indicar alguma coisa. E eu ainda acredito muito nisso. Qualquer coisa que você precise aprender, você pode encontrar o livro, você pode encontrar a pessoa, você pode encontrar o recurso, e você pode aprendê-lo, e você pode fazer isso.

07:30 Raghu Nandakumara

Acho que substitua os canais de IRC agora pelo Reddit que você tem, sim, você tem sua fonte de informação, direito ou conhecimento. Então, você falou sobre esse incidente. Você está trabalhando no ISP; um de seus clientes foi hackeado. Você basicamente tirou toda a infraestrutura do rack, a colocou em uma mesa e disse: Vou resolver isso. Passe por esse processo e fale conosco sobre o que você fez enquanto fazia isso, o que descobriu sobre a natureza dos atacantes, o comportamento, suas motivações.

08:06 Sherrod DeGrippo

Sim. E acho que esse foi um momento muito importante para mim também. Então, trabalhei nesse ISP que era um recurso de nuvem redundante muito antigo. Tínhamos escritórios na parte inferior e o data center ficava no segundo andar. Então eu odiava ir lá porque estava congelando, certo? Se você já esteve em um data center, sabe, todo mundo que trabalha em um data center tem um casaco na mesa que vestem quando vão até o data center. O mesmo comigo. E eu também não gostei de ir lá porque sou um pouco. Não gosto de estantes e não gosto de colocar coisas em prateleiras. Acho isso complicado e desagradável. Uma vez que eles estejam lá, eu estou pronto para ir. Mas eu não gosto de colocar servidores em racks. Então, você sabe, eu subo, eu sei que vou ter que pegar, esse cliente tem três 1Us, o que, você sabe, na época, era uma grande implantação, certo. No início dos anos 2000, ter três 1Us em um data center que era redundante. É incrível. Então eu tive que tirar todos eles. Eu tinha um carrinho. Qualquer pessoa que tenha trabalhado em data centers já fez isso. Se você já trabalhou em piso elevado, sabe do que estou falando. Pegue o carrinho. Você pega uma furadeira; você desparafusa a prateleira. Você usa esses servidores gigantes e longos que são muito, muito difíceis de usar. Você espera não deixá-los cair e os empilha em um carrinho, desce o carrinho no elevador, os coloca em sua mesa ou em um escritório. Se você alguma vez ver alguém com 1Us em sua mesa, essa pessoa está em apuros. Eles têm problemas graves. Então, e esse fui eu. Eu tinha uma sala de conferências e disse: “Ok, eu vou resolver isso.” Então, conectei tudo de volta aos monitores e comecei a analisar os registros, o que eu acho que é uma superpotência na qual a maioria dos socorristas é muito, muito boa atualmente. Eles entendem os registros que importam. E comecei a ver que, você sabe, essa é uma pequena empresa e, na época, era uma grande presença na web para uma empresa tão pequena. E eu pensei, uau, esse negócio está bastante avançado. Eles têm o phpBB para seus clientes fazerem perguntas, e eles têm todas essas páginas de manual e todas essas coisas. Comecei a dar uma olhada e imediatamente vi que essa versão do phpBB era antiga. E eu disse: “Oh, isso é muito antigo.” E havia alguns arquivos que você poderia substituir no phpBB que permitiriam que ele continuasse operando, mas forneceriam a tela inicial. E é isso, você sabe, eu nem quero chamá-los de agentes de ameaças. Eles eram, tipo, provavelmente um grupo de adolescentes, eu acho. Você sabe, eu não posso atribuir totalmente isso, mas acho que eles eram iranianos. Disse, você sabe, “Você foi hackeado pela equipe de hackers”. Música tocando ao fundo, GIFs flutuando por todo o lado, e eles tinham algo que me é muito caro até hoje, que são gritos e saudações no final. Na parte inferior, há gritos e saudações e várias alças semelhantes de hackers. O que, naquela época, era muito comum quando você desfigurava qualquer tipo de site que colocasse, graças aos outros hackers que o carregavam em seu caminho. Eu acredito muito em gritos e saudações. Eu considero isso uma filosofia de vida fundamental — agradeça às pessoas que ajudaram você a chegar lá. Não necessariamente ao hackear, não faça isso. Mas sim, então eu realmente aprendi que as motivações de grupos adversários ou pessoas adversárias não são algo que você necessariamente será capaz de realmente entender. Eu meio que digo, você sabe, muitas pessoas dirão: “Por que o ator da ameaça fez isso? Qual é o objetivo deles? Qual é a motivação deles?” E, na verdade, minha resposta a isso muitas vezes é que nunca sabemos a verdade sobre o coração de um ator de ameaças, certo? E eu acho que você pode especular, você pode adivinhar, mas no final das contas, não sabemos. Essa pessoa está fazendo isso porque está tentando sustentar sua família? É porque eles estão com o BEC (compromisso de e-mail comercial) e o abate de porcos? É porque eles estão em uma situação de tráfico humano e temem por suas vidas? É porque eles são realmente uma pessoa má e querem machucar os outros? Eles querem apenas dinheiro e são selvagens e loucos? Você nunca pode realmente saber disso. E eu acho que neste caso, eu acho que, você sabe, foi um pouco divertido em um diretório aberto e aberto do phpBB que eles encontraram e escolheram.

12:28 Raghu Nandakumara

Acho que posso me associar a essa história em muitos níveis. Vamos falar sobre trabalhar em um data center e em um andar elevado. Com certeza, isso me leva de volta aos primeiros dias da minha carreira, e você fala sobre tirar coisas das prateleiras, etc. Esse tipo de esperança de não deixar cair nada em seus pés mais do que qualquer coisa, certo? Era um medo real ou uma preocupação real.

12:52 Sherrod de Grippo

Ou use as ventosas gigantes para puxar os ladrilhos.

12:55 Raghu Nandakumara

Ah, sim, eu fiz isso. Apenas sentei ao redor de um data center, meus pés balançando no vazio abaixo, enquanto meio que configurava, configurava coisas nos racks. E o exemplo que você deu de uma espécie de criança potencialmente roteirista essencialmente explorando uma vulnerabilidade, certo? E nesse caso, em php. E acabando de assistir a um dos outros podcasts, acho que você foi convidado recentemente, e o que você disse foi que 98% das intrusões podem ser tratadas por meio de práticas básicas de segurança, certo? E eu diria que a aplicação de patches é uma dessas práticas essenciais de segurança. E minha perspectiva aqui é que, quando me sento e vejo por que os ataques são bem-sucedidos, sinto repetidamente que os atacantes acabam explorando a negligência em uma ou mais dessas práticas de segurança para se propagar. Então, na sua opinião, você acha que damos importância suficiente a eles, ao básico, ou estamos, como disciplina, muito envolvidos no que é o novo brinquedo brilhante? Qual é a nova capacidade de brilho? E perdemos de vista o básico, ou talvez o básico seja muito chato.

14:10 Sherrod de Grippo

Adoro o básico. Eu acredito no básico porque eu meio que fui criado na Escola de Segurança Bruce Schneier, Ed Skoudis. Eu acredito no básico porque a segurança é algo pelo qual as pessoas com ansiedade são atraídas.

E se você consegue aprender o básico, geralmente se sente um pouco melhor. E acho que, honestamente, o que importa é que organizações não têm ansiedade suficiente. Acho que não há preocupação suficiente e não há ansiedade clínica produtiva suficiente, profissionalmente no setor. Acho que nos distraímos com brinquedos brilhantes e vemos o básico como chato. Mas acho que há uma plenitude, uma satisfação em sentir que sei que temos um inventário completo de ativos. Por exemplo, encontre e inclua na sua equipe aquelas pessoas que precisam concluir essas coisas e que sintam fortemente que as têm. Acho que também, você sabe, não pensamos o suficiente sobre esses 2% de coisas que não podem necessariamente ser feitas com o básico e como vamos lidar com elas. Para mim, acho que uma das coisas que realmente nos falta em termos de segurança, especialmente com a atual epidemia de ransomware, não é nem mesmo o topo da mesa, mas a tomada de decisões prévias. Se formos resgatados, vamos pagar? E muitas pessoas começam a espiralar, e é tipo, espere, você quer estar em espiral agora? Ou você quer estar em espiral quando estamos realmente sob resgate? Vamos entrar em espiral agora. Vamos fazer essa preocupação agora para que, se algo acontecer no futuro, estejamos prontos para isso. Acho que não fazemos o suficiente disso. Eu gostaria de ver muitas outras decisões tomadas com antecedência e colocadas no papel, para que executivos, líderes técnicos e especialistas em segurança já estivessem literalmente na mesma página quando algo acontecesse, o que é algo que, em muitos incidentes, não senti que estava acontecendo.

16:21 Raghu Nandakumara

Então, algumas coisas às quais vou voltar, a falta de ansiedade que você fez em um segundo. Mas vamos falar sobre a questão do ransomware, certo? E parafraseando Shakespeare, ransomware: pagar ou não pagar, essa é a questão.

Eu adoro isso. Eu adoro isso.

Sim, usaremos isso nos cortes sociais. Quero dizer, de vez em quando, somos convidados a comentar sobre, digamos, uma nova versão de, tipo, escolher um governo em todo o mundo dizendo: “Ei, queremos tornar os pagamentos de ransomware ilegais, certo? E quais são seus pensamentos?” E mais ou menos como se o comentário fosse, bem, tudo bem, vai ser ótimo, certo? Por causa do ransomware, do que o ransomware potencialmente alimenta, etc. Mas se você pensar de uma perspectiva prática, isso pode não ser possível para todas as organizações, porque é uma escolha entre pagar e potencialmente voltar aos negócios, operar mais cedo ou mais tarde, ou simplesmente dizer: “Bem, na verdade, não posso, não tenho dinheiro para pagar, mas também não tenho as habilidades necessárias para me recuperar adequadamente”. Então, onde você se senta sobre isso? Porque eu não acho que seja uma decisão fácil e binária.

17:38 Sherrod de Grippo

Não, definitivamente não é uma decisão fácil. Acho que é por isso que acredito muito no planejamento de resiliência de ransomware. E a Microsoft lançou um guia fantástico sobre resiliência de ransomware que as organizações podem analisar para aumentar sua resiliência e avaliar sua resiliência ao ransomware. Minha pergunta quando as pessoas dizem: “Torne os pagamentos de ransomware ilegais”. Minha pergunta imediata é: e qual é a punição por violar? Então, a organização foi resgatada, eles pagam para sair do resgate, e agora vamos puni-los, eu suponho, com uma multa. E nesse ponto, ele se torna novamente um cálculo de risco com apenas outro nexo do que você tinha antes. O cálculo do risco agora é contra o pagamento dos agentes da ameaça e a recuperação de seus dados, e contra a necessidade de pagar uma multa ao governo por isso. Não sei se isso necessariamente será um impedimento muito bem-sucedido e feliz. Acho que, como tecnólogos, temos que trabalhar muito mais. Não acho que alguém venha nos salvar em muitos desses. Acho que temos que tornar a tecnologia, as organizações e as pessoas resilientes ao ransomware. Não podemos simplesmente dizer que, bem, haverá leis e estatutos e algum tipo de super-herói de ransomware surgirá e consertará tudo. É um problema muito complexo, como você disse, e não sei se necessariamente tenho as respostas, além de trabalhar para me tornar mais resiliente e preparado para que essas coisas aconteçam. Você sabe, concentre-se muito no crime e no meu trabalho e eles operam com regras diferentes do que eu acho que a maioria das pessoas realmente entende.

19:17 Raghu Nandakumara

Então, você mencionou a palavra resiliência, apenas várias vezes nessa resposta, e é resiliência, operação, resiliência, resiliência cibernética, e é muito atual nos dias de hoje. Acho que agora é como se as conferências cibernéticas tivessem deixado de ser focadas em Zero Trust para IA, e agora tudo se resume à resiliência. Mas eu quero vincular isso a outra coisa que você disse sobre a falta de ansiedade. Como você impulsiona uma cultura de melhor resiliência ao ransomware se o nível de ansiedade não está onde deveria estar para impulsionar a melhoria no básico? Porque eu sinto que esses dois estão interconectados.

20:03 Sherrod de Grippo

Eu acho que sim também. E eu tenho uma opinião muito controversa sobre isso.

20:07 Raghu Nandakumara

Eu gostaria de ouvir isso. É para isso que estamos aqui.

20:10 Sherrod de Grippo

Sabe, eu realmente acho que, você sabe, sempre há esses debates, você sabe, nas mídias sociais e na indústria sobre paixão. Eu não estou interessado nisso. Estou interessado em saber se você tem uma ligação para isso. E fazer um trabalho de segurança faz com que sua alma sinta uma descompressão, um relaxamento? Garantir algo é um conforto espiritual para você? Se for, essas são as pessoas que queremos no setor. Porque essas pessoas buscam incansavelmente a eficácia, e essas são as pessoas com quem temos que contar e depender, porque esse não é um trabalho das 9 às 5. Por mais que queiramos falar sobre equilíbrio entre vida profissional e pessoal, não se esgote, com certeza. Mas esse não é o mundo em que vivemos. O ransomware acontece 24 horas por dia. Não temos pessoas suficientes para trabalhar 24 horas, todas essas coisas. Então, acho que temos que colocar as pessoas certas nos lugares certos, e é aí que podemos aumentar parte dessa preocupação. Eu venho da era da FUD, do medo, da incerteza e da dúvida dos fornecedores de segurança. Isso foi por uma década, esse foi o plano de marketing. Acho que não funcionou. Se funcionasse, estaríamos em um lugar mais seguro do que estamos. Mas acho que há um elemento de avaliação e compreensão de riscos que nós, como profissionais de segurança, precisamos incorporar e internalizar e, em seguida, evangelizar externamente para nossos colegas que não são de segurança. E acho que podemos fazer isso falando esse idioma. Sou praticante de algo chamado programação neurolinguística, que fala sobre como falar com as pessoas. Você apela à sensação de que eles estão mais conectados com. Está ouvindo? Está vendo? Está vendo? É sentimento? Está experimentando? Você precisa conversar com as pessoas no idioma e no nível delas e ajudá-las a entender quais são esses riscos. Voltando à resiliência. Ser resiliente. Mudamos para esse idioma porque estamos vendo o inevitável agora. Deixamos de interromper a violação, interromper o ataque, antes que tudo ficasse bem quando isso acontecesse. E eu acho que essa é uma imagem muito mais realista. Não acho que seja pessimista. Eu acho que é realista. E você deve se sentir melhor quanto mais resiliente se tornar, porque acho que essas coisas são, neste momento, inevitáveis.

22:44 Raghu Nandakumara

Então, eu quero voltar à suposição de violação, ao tipo de mentalidade e ao “quando” e não “se”. Porque eu acho que isso se relaciona, não muito bem, com uma abordagem de Zero Trust para criar seus controles de segurança. Mas antes de irmos lá, voltando atrás, outro termo que você mencionou é eficácia, certo? E eu concordo absolutamente. Acho que estou no lado do fornecedor há pouco menos de cinco anos, e antes disso. Obrigada Obrigada É ótimo. É ótimo estar aqui. Eu deveria ter vindo mais cedo, eu gostei. Venha para este lado mais cedo. Mas está absolutamente certo. Eu concordo totalmente, e mais ou menos com o marketing focado em FUD que existia, mas minha perspectiva quando entrei no lado do fornecedor era que muito poderia ser feito para adotar uma abordagem de marketing muito mais baseada em valor e eficácia. Mas é difícil, porque estamos acostumados a dizer: “Somos melhores, somos mais rápidos, somos mais fortes, estamos mais seguros”. Mas é muito difícil para nós colocar um lugar onde criamos você. Vamos escolher um número 50% mais seguro. Esse é um número muito bom, certo? Sei que gostaríamos de dizer 95%, mas diria que até 50% mais seguro é um bom número. Mas por que é tão difícil na área de segurança ser quantitativo sobre a eficácia de um controle, de uma prática, de um processo? Para obter mais validação e justificativa para poder fazer mais.

24:14 Sherrod de Grippo

Sim, acho que isso é parte do que eu considero pessoalmente como pessoa. Eu quero ser uma pessoa eficaz. Quero que minha tecnologia seja eficaz para mim e quero ser uma pessoa eficaz. E eu acho que isso é muito difícil de medir, e eu adoro coisas em que é muito difícil colocar métricas. Então, parte da razão pela qual me sinto atraído pela segurança é que ela é cheia de subjetividade. Está cheio de áreas cinzentas. Está cheio de pontos médios macios que temos que enfrentar e descobrir, e acho que muitas pessoas se sentem da mesma maneira, tipo, é por isso que estão em segurança. Medir a eficácia é incrivelmente difícil. Então, eu venho, você sabe, da segurança de rede e da segurança de e-mail há muitos anos, e o FNFP é nosso pão com manteiga, certo? Falso negativo, falso positivo. Sim, essas são as coisas que ditam nossas escolhas e a forma como tomamos decisões, e isso é muito orientado por dados, embora eu não acredite sempre em uma abordagem totalmente orientada por dados em segurança. No mundo do FNFP, você está analisando esses números hora a hora. E eu acho que precisamos ser muito objetivos onde pudermos, e isso é difícil, tipo, há um livro chamado Como medir qualquer coisa, que permite métricas, e há um ditado que diz que você sabe, você não pode gerenciar o que não pode medir. Acho que essas coisas são realmente verdadeiras. Mas também acho que, além da medição objetiva em segurança, precisamos ajudar nossos líderes a entender o aspecto subjetivo, a tomada de decisões e o aspecto humano de muitas delas. A engenharia social é algo muito difícil de medir. Por exemplo, essa violação aconteceu. Qual porcentagem dela foi causada pela engenharia social? Isso é muito, muito difícil de definir. Mas se pudermos ter essa numeração objetiva, esses dados objetivos lado a lado com informações subjetivas de tomada de decisão, acho que oferecemos a nós mesmos, como profissionais de segurança, mas também a nossos líderes, que não estão necessariamente envolvidos nesse espaço o tempo todo, uma maneira melhor de entender o quanto é importante e gerar parte dessa ansiedade que esperamos sentir das pessoas que estão fazendo as escolhas,

26:26 Raghu Nandakumara

Sim, eu gosto de como isso é expresso, sobre ser capaz de realmente aproximar o subjetivo e o objetivo e realmente encontrar aquela interseção em que um dado de um pode informar a percepção do outro, certo, e vice-versa, para fornecer uma imagem maior. Então, vamos seguir em frente. E vamos falar sobre, e a outra coisa sobre a qual você falou anteriormente são os registros. É como vasculhar troncos. Ótimo É incrível o que você pode encontrar lá, certo? E quando você disse que eu estava pensando, acho que é mais ou menos assim que a função do SOC evoluiu, certo? A busca de ameaças evoluiu porque é apenas uma espécie de avanço na análise de registros, e isso é mais ou menos um progresso, e até mesmo o que vemos hoje em vírgulas invertidas, uma espécie de ferramenta alimentada por IA, está ficando cada vez melhor na análise de registros. Então, como você, e eu sei que passou muitos anos analisando registros de vários agentes de ameaças, o que você notou ao fazer isso, o que você notou, quais são os indicadores claros dessa evolução que você viu?

27:45 Sherrod de Grippo

Sim, eu acho que isso é muito, muito claro. Então, minha primeira, talvez não a primeira, mas uma das minhas primeiras paixões por registros era que eu administrava um servidor web e seguia os weblogs para assistir ao acesso. Portanto, era uma situação de site com tráfego muito baixo. Mas quando eu tinha isso aberto e funcionando, eu podia ver as pessoas acessarem o site, que, se você nunca fez isso antes, assistia aos registros em tempo real. Isso lhe dá uma percepção diferente do nosso mundo digital, na minha opinião. Está mostrando a atividade humana, indo direto para o site exibido como dados de máquina, que é a entrada de registro. Então eu acho que há algo realmente especial nisso. Ele transforma um registro de uma espécie de registro estático em algo vivo, respirando e evoluindo diante de seus olhos. Atualmente, os agentes de ameaças agem tão rapidamente que sabem que os registros são seus inimigos e, portanto, analisam o tempo que podem economizar, especialmente como os agentes de ameaças na área do crime, normalmente. Por exemplo, se você pensar em um agente de ameaças do Octo Tempest, um grande ator de ransomware, ele se move muito rápido. É o tempo de permanência entre a entrada e o acesso ao resgate que fica cada vez menor, o que reduz, francamente, a quantidade de registros criados. E esses agentes de ameaças, eu acho, são deliberados nisso. Eles querem reduzir a quantidade de registros, o que, eu acho, é potencialmente parcialmente responsável pela recente, você sabe, nos últimos dois anos, pela explosão na popularidade de viver fora da terra. Você pode se esconder nesses registros quando estiver em conjuntos de ferramentas existentes que já residem nesse host. Então eu acho que os registros sempre serão muito importantes, porque os registros, de várias maneiras, representam simbolicamente o tempo. E quanto menos registros você puder ter e quanto mais rápido você for, mais bem-sucedido poderá ser como agente de ameaças. Voltando à eficácia, nós, como defensores, temos um foco na eficácia. Os agentes de ameaças têm um foco na eficácia, e estamos correndo lado a lado, tentando ser mais eficazes do que eles, e esperando que tenhamos, você sabe, uma vantagem de cinco segundos para sermos mais eficazes.

30:27 Raghu Nandakumara

É basicamente uma corrida de F1 hoje. É um desejo de sobreviver, certo?

30:36 Sherrod DeGrippo

Dirija para sobreviver. Sim, é isso que é segurança. Nosso objetivo é sobreviver aqui na InfoSec.

30:42 Raghu Nandakumara

Eu gosto disso. Eu poderia absolutamente apreciar a alegria de ver os registros do servidor web e, quando você os combina com registros de proxy e registros de firewall, registros do balanceador de carga e registros de identidade, você consegue criar uma imagem. Isso, como nos meus primeiros dias como praticante, era muito empolgante poder fazer isso depois da faculdade e reunir tudo. Eu estava tipo, oh meu Deus! Tipo, eu poderia ver o que está acontecendo aqui, mas só para esses dados. Então você gastou, falou sobre viver fora da terra e sobre como os agentes de ameaças realmente querem gerar o mínimo de sinais possível, ou quanto menos sinais, melhor, certo? Porque mais sinais significam mais chance de detecção, etc. E então, ligando de volta ao que você disse, é que realmente, esse ataque, esse compromisso é inevitável, então precisamos projetar para isso. Do seu ponto de vista, certo? Porque muitas vezes penso que adotar uma abordagem de Zero Trust é realmente reduzir o que está disponível na terra para viver. Uma maneira de pensar sobre isso, com um pouco de interesse em Zero Trust e em projetos reais de Zero Trust existentes. Acho que sei que a Microsoft tem uma espécie de justiça; é como uma participação significativa no ecossistema Zero Trust. Por exemplo, qual é a sua perspectiva sobre isso, como especialista em inteligência de ameaças, sobre como o Zero Trust está meio que melhorando a segurança, melhorando a segurança de forma mensurável.

32:07 Sherrod DeGrippo

Acho que a melhor coisa que o conceito Zero Trust fez nos últimos anos foi ressoar fortemente entre os líderes executivos. Acho que para a maioria dos praticantes, Zero Trust, para eles, são muitas coisas que eles têm feito todos os dias. Há muitas coisas básicas. Há muitas combinações das melhores práticas. Ou quando eu comecei, como pós-endurecimento, você sabe, coisas, coisas assim, com as quais os praticantes estão realmente familiarizados. Mas o Zero Trust permitiu que nos comunicássemos no mesmo idioma com executivos, tomadores de decisão e até mesmo pessoas que não estão necessariamente em funções técnicas, permitindo que eles entendam como: “Ah, isso é ruim” ou “Ah, essa é uma forma de garantir que não acabemos com as pessoas erradas nos lugares errados”. Esse é um conceito abrangente para as melhores práticas de gerenciamento de identidade e acesso. Como se essas fossem coisas que eu acho que em segurança, temos lutado. Queríamos usar jargões; queríamos ter nossa própria nomenclatura. Queríamos ter nossa própria linguagem supersecreta separada. E o Zero Trust realmente nos permitiu chegar a um ponto de comunhão com líderes, tomadores de decisão e pessoas de fora disso e colocá-los na mesma página que nós. O que eu acho que é uma das melhores coisas que poderíamos ter feito.

33:30 Raghu Nandakumara

Sim, acho que isso é tão importante, especialmente agora, que a importância da cibersegurança deve ser comunicada não apenas à função de segurança na organização, mas a todas as funções e até os níveis mais altos. Ter uma abordagem que permite que você se comunique de forma eficaz é uma grande vantagem. É uma grande bênção alinhar todo o resto. E você está vendo esse tipo de dia a dia nos clientes com quem você fala, colegas, etc.?

34:06 Sherrod DeGrippo

Sim, acho que muitos clientes com quem falo estão absolutamente em uma jornada de Zero Trust. E eles expressam dessa forma, você sabe. Eles dizem que, você sabe, há um ano decidimos, ou dois anos atrás, decidimos que, você sabe, em 2026, sentiríamos que implementamos totalmente o Zero Trust em todos os cantos da organização. E acho que isso trouxe muito peso e gravidade ao foco da segurança. Acho que permite, permite um raciocínio para que as pessoas façam coisas e digam: “Bem, isso faz parte do Zero Trust, então precisamos fazer isso”. E nem sempre tínhamos essa alça antes. Nem sempre tivemos isso, como o foco unificador que eu acho que temos hoje, que funcionou. E, francamente, também acho que a epidemia de ransomware trouxe muitos de vocês, sabe, é agridoce, mas trouxe muito foco e atenção para organizações que talvez não estivessem realmente pensando no Zero Trust ou talvez não estivessem pensando em proteger sua organização. Eles veem o ransomware e, novamente, inspira essa ansiedade, sim, e causa movimento, o que acho que é o que queremos.

35:20 Raghu Nandakumara

Quer dizer, eu ia mencionar que isso aumenta a ansiedade. Mas você, você chegou antes de mim. Então, novamente, voltando ao seu trabalho diário de essencialmente monitorar os agentes de ameaças, entendendo seus comportamentos ao longo do tempo, já que você viu organizações melhorarem suas capacidades de segurança e, potencialmente, seguirem essa jornada do tipo Zero Trust. Você notou uma mudança real no tipo do que eu ia dizer, nas técnicas e procedimentos adotados pelos agentes de ameaças? Porque eu diria isso e, por favor, corrija-me se eu estiver errado, que as táticas, em última análise, as táticas, são meio que aquelas táticas de alto nível e essas são consistentes, certo? O atacante precisa passar por eles, mas a forma como eles os executam mudará com o tempo. Você viu uma mudança real nessas técnicas e procedimentos?

36:11 Sherrod de Grippo

Acho que sempre veremos os agentes de ameaças mudarem e evoluírem. Você sabe, eles estão procurando eficácia novamente, como nós. Então, quaisquer ferramentas que eles possam usar em seu arsenal para atingir o objetivo que desejam alcançar, eles o farão. Curiosamente, como eu observo de perto o cenário de ameaças, sempre existem essas modernas, você sabe, todo mundo está fazendo isso agora, como MFA, bypass e atacante no meio, o phishing é muito popular no momento. Acho que parte do motivo de sua popularidade é que operamos especialmente quando se trata do cenário do crime, agentes de ameaças com motivação financeira, eles operam como um ecossistema. Portanto, não é um grupo de ransomware que diz: “Ah, eu tenho que criar um kit de phishing para atacantes no meio agora. Eu tenho que colocar essas páginas. Eu tenho que comprar... “Não, eles simplesmente vão. Eles encontram um provedor. Eles os pagam. Eles obtêm essa ferramenta do provedor. Eles o aproveitam em combinação com ferramentas de outros fornecedores, infraestrutura, código e qualquer um desses serviços que possam ter adquirido, e juntam todas essas peças e isso os leva ao objetivo final do ransomware. Então, à medida que esse ecossistema evolui e novos atores entram no ecossistema, e estamos falando sobre o crime organizado, à medida que os novos jogadores entram, surgem novas tendências. E acho que, na minha opinião, a razão pela qual essas tendências surgiram é porque alguns agentes de ameaças são melhores em marketing do que outros. Alguns dentro do ecossistema fazem coisas como, literalmente, vendas. Eles farão uma venda em. Temos um agente de ameaças, o Storm 1101, que executa uma coisa chamada Naked Pages, que é um atacante no kit de phish do MFA intermediário. Eles dirão que, se você já for cliente, poderá obter um desconto. Eles farão atendimento ao cliente ao vivo para você. Eles terão especiais, eles tiveram um especial de Ano Novo no início deste ano. Eles agradecerão a seus clientes por serem clientes fiéis. Assim como você imagina que uma pequena empresa local faria. Então, acho que algumas das tendências nascem, francamente, da habilidade de marketing de alguns dentro do ecossistema. Se você é melhor em marketing e venda de sua ferramenta, é muito provável que essa ferramenta se torne mais popular. Então, ataque os kits intermediários de phishing, que vivem da terra, coisas que não estão necessariamente ligadas ao ecossistema, mas estão vinculadas a fóruns, pessoas falando sobre o que funciona e pessoas que compartilham essas táticas diferentes. Coisas desse tipo. E então sempre vemos o evento atual, a engenharia social. Garanto que qualquer grande evento que esteja acontecendo no mundo naquele momento, seja uma eleição, um desastre natural, uma temporada de férias, os atores da ameaça sabem que isso ressoará psicologicamente e o usam para engenharia social.

39:08 Raghu Nandakumara

Então, vemos uma técnica ou um procedimento associado a isso que meio que entra na nossa lista, certo?

39:14 Sherrod de Grippo

Então, precisamos de uma lista das 10 principais tendências de TTPs, tipo, a cada trimestre.

39:19 Raghu Nandakumara

Sim, acho que sim! Talvez seja algo adequado para você hospedar em seu podcast de muito sucesso. Talvez seja uma ideia. Mas quero voltar à questão: nós, como defensores, tivemos sucesso em forçar os atacantes a retirarem técnicas e procedimentos, garantimos que basicamente falhassem e os forçamos a fazer algo diferente.

39:49 Sherrod DeGrippo

Sim, 100%. Todos os ouvintes dizem: “Eu vou lutar com ela”. Então, quando foi a última vez que você lidou com um rootkit? Quando foi a última vez que você teve uma tentativa individual de ransomware contra um consumidor? Quando foi a última vez que você lidou com um kit de exploração para um cofre de navegador? Quero dizer, eles ainda acontecem, mas reduzimos a superfície de ataque. Quando foi a última vez que documentos maliciosos com macros tiveram sucesso? A Microsoft desativou isso há dois anos, três anos atrás. A superfície de ataque está sendo reduzida. Mas só porque reduzimos continuamente a superfície de ataque não significa que os agentes da ameaça ainda não sejam criativos. E isso é, novamente, parte do desejo de sobreviver à situação de F1 em que estamos. Será uma escalada e uma evolução para sempre. Essa é uma das razões pelas quais eu adoro a segurança, porque ela é subjetiva. E eu vou dizer algo de novo, eu sei que sou uma boa pessoa. Sou uma boa ideia, garota. A segurança é um sentimento. Você se sente seguro? Você está seguro? É impossível. É impossível dizer: “Sim, estamos seguros”. Se o seu CISO vier até você e disser: “Essa organização é segura?” Vá lá!

41:12 Raghu Nandakumara

Ah, 100%.

41:15 Sherrod de Grippo

Sim. Então é como se, você sabe, estivéssemos no negócio dos sentimentos, por mais que muitas pessoas não queiram admitir que a segurança é o negócio dos sentimentos. E usamos todas as ferramentas técnicas que temos à nossa disposição para tornar esse sentimento verdadeiro e efetivo. Mas, em última análise, estamos seguros? É subjetivo. É um palpite.

41:43 Raghu Nandakumara

Eu gosto muito disso. Segurança: Estamos no ramo de sentimentos. Eu gosto, essa é uma boa dica. Devemos usar isso para ajudar no mercado a preencher algumas dessas habilidades e escassez de habilidades em segurança cibernética. Eu só tenho que voltar e dizer: quando foi a última vez que você ouviu alguém usar um rootkit ou explorar uma vulnerabilidade do navegador? E só vou responder isso porque ouvi, acho que foi o último podcast de inteligência tecnológica da Microsoft, você estava falando sobre alguns agentes de ameaças norte-coreanos que trouxeram alguns deles de volta.

42:17 Sherrod de Grippo

Sim! Todos nós pensávamos, o que? Eles estão encadeando cofres de navegador, não têm nenhum dia e estão explorando a cadeia de navegadores, tipo, o quê? E eu acho que foi muito legal porque pensamos: “Oh, nós não vimos isso. Não víamos isso há muito tempo, pessoal, isso é vintage.” E eu acho que é verdade. Não vemos mais essas coisas. E quando o fazemos, é um grande estouro na paisagem. Tipo, uau, isso é novidade.

42:44 Raghu Nandakumara

Ótimo, então vamos mudar um pouco a tarefa antes de terminarmos, certo? É claro que meus produtores disseram: “Ei, se você não falar sobre IA, inteligência artificial, não conseguiremos, os algos sociais simplesmente rebaixarão isso. Então, eu só estou dizendo isso algumas vezes, mas eu quero te perguntar uma coisa no contexto de, e eu sei que você tem uma visão muito interessante sobre artificial, o A em IA é para acelerar versus artificial. Mas o Fórum Econômico Mundial, acho que vou dizer que, nos últimos 12 meses, meio que fez uma pesquisa com líderes de segurança, e a pergunta era: quem você acha que a IA cibernética está se beneficiando, certo? E acho que os dados foram mais ou menos assim, algo em torno de 55 a 60% disseram que estão beneficiando mais os atacantes do que os defensores. Cerca de 25 a 30% disseram que isso está beneficiando os defensores e qualquer outra coisa. O restante disse que é igual, certo. De onde você está, como você vê o uso da IA no ciberespaço hoje? Certo? Quem você vê isso beneficiando? O que você acha que isso possibilita? E você se sente preocupado com isso, seja do lado do defensor ou do atacante?

43:59 Sherrod DeGrippo

Eu acredito na IA. Eu o uso todos os dias. Eu, você sabe, abandonei uma assinatura de streaming para poder trocá-la pelo ChatGPT pago. Adoro a IA e as oportunidades que estão à nossa frente. Mas é uma ferramenta e, portanto, quase pode ser análoga, de certa forma, a algumas dessas coisas que vivem da terra sobre as quais falamos. Essa é uma ferramenta disponível para todos. Você pode usá-lo para sempre. Você pode usá-lo para o mal. Você pode ignorá-lo, não usá-lo de jeito nenhum, o que acho que alguns agentes de ameaças também ainda estão nesse estágio. Vimos agentes de ameaças na Microsoft aproveitarem isso. Nós publicamos um relatório de inteligência sobre o uso da IA pela Coreia do Norte, Rússia, China e Irã. Acho que é algo que vai continuar a se desenvolver. Atualmente, não estamos vendo uma grande vantagem dos agentes de ameaças para fazer coisas novas. E acho que isso é reconfortante de certa forma, porque significa que as bases de segurança são sólidas, certo? O básico ainda está funcionando. E, novamente, voltando à aceleração, é aí que eu fico nervoso. Estamos adotando algo que pode tornar os agentes de ameaças mais rápidos, permitir que eles cresçam e façam coisas dentro de um escopo que não tínhamos visto anteriormente. É uma ferramenta facilitadora. Um exemplo que eu sempre uso com isso é que vimos violações de dados há anos. Há anos que vimos violações de dados disponíveis para download. Você pode colocar esses dados de violação em um LLM e começar a fazer perguntas ao LLM sobre esses dados de violação, o que é algo que você não pode fazer com um Regex. Eu não me importo com o tipo de mago de Regex que você é, e eu conheci todos eles. Eu vivo minha vida entre os magos do Regex. Você não pode pedir um sentimento a um Regex. Você não pode pedir a um Regex que encontre todas as instâncias de uma funcionária e de um funcionário do sexo masculino tendo conversas inapropriadas. Você não pode pedir a um Regex que lhe diga para encontrar todas as negociações com informações privilegiadas que acontecem nessas comunicações. É levar as coisas a um nível em que os agentes de ameaças se tornam quase sobre-humanos se estiverem pensando em fazer coisas assim. Portanto, ele acelera essa capacidade. Isso os torna mais rápidos. Isso lhes dá a capacidade de resgatar uma organização, retirar esses arquivos, examinar esses arquivos, encontrar informações incriminatórias e extorsivas em minutos e depois voltar e dizer: “Na verdade, dissemos um milhão. Agora estamos em dois.”

46:37 Raghu Nandakumara

Acho que está trazendo, permitindo ou acelerando, reunindo a subjetividade disso e o objetivo. Se o regex é mais ou menos isso, essa abordagem objetiva. O subjetivo é o que você descreveu, certo? As coisas que ela não pode fazer, mas a IA pode fazer.

46:58 Sherrod DeGrippo

E pode fazer isso instantaneamente. Não há nem mesmo tempo de espera. Não há tempo de processamento. Isso acontece em segundos. E você sabe, os agentes de ameaças tradicionalmente fazem o que for preciso para conseguir o que querem. E eles normalmente não vão além disso. Mas uma vez que eles descubram isso e descubram que podem fazer isso de forma mais rápida e eficaz, isso meio que abrirá as coisas, eu acho.

47:29 Raghu Nandakumara

Então, ao encerrarmos, estou ciente de que você tem outro lugar para estar em breve. Dê-nos mais uma chance. Então, no futuro das informações sobre ameaças.

47:43 Sherrod DeGrippo

O futuro das informações sobre ameaças? Acho que o futuro da inteligência contra ameaças continua se tornando cada vez mais acionável e continua a ter uma correlação direta com a eficácia da postura de segurança de uma organização. É aí que o futuro tem que estar. É para lá que precisamos ir, se isso torna a postura de segurança mais eficaz ou torna esses líderes mais capazes de tomar decisões informadas.

48:13 Raghu Nandakumara

Sherrod, muito obrigado. Essa foi uma conversa super empolgante. Eu realmente agradeço por você ter reservado um tempo para estar conosco hoje.

48:21 Sherrod de Grippo

Eu realmente gostei, Raghu. Obrigado por me receber!

‍