Previsões para 2020 para identificação de mensagens, segurança de email, IA e muito mais
Peter Goldstein, CTO e co-fundador Valimail, compartilha suas previsões para 2020 sobre segurança de email, validação de identidade, tecnologia Deepfake, adoção do DMARC, Indicadores de marca para identificação de mensagens (BIMI), segurança de cidade inteligente e IA.
A segurança de e-mail será o elo mais fraco da segurança eleitoral.
O email está implicado em mais de 90% de todos os ataques de segurança cibernética, e a infraestrutura eleitoral também é vulnerável a ataques baseados em email. Isso significa que a segurança do email deve ser uma prioridade para impedir a interferência nas eleições presidenciais de 2020. Mas pesquisas mostram que a maioria dos estados dos EUA está ignorando essa vulnerabilidade. Apenas 5% dos domínios de email associados às autoridades eleitorais locais nos EUA implementaram e aplicaram o DMARC.
O DMARC é um padrão aberto amplamente aceito que garante que apenas remetentes autorizados possam enviar e-mails de um domínio específico – é um dos meios mais básicos e altamente eficazes de interromper ataques de phishing, razão pela qual o Departamento de Segurança Interna determinou seu uso por agências federais em 2017. Ainda abaixo do nível federal, os governos permanecem vulneráveis. Em maio de 2019, descobrimos que hackers russos violaram dois sistemas eleitorais de condados na Flórida por meio de uma campanha de caça submarina, e em novembro descobrimos um ataque de ransomware baseado em phishing à Louisiana durante um ciclo eleitoral.
Como apenas uma pequena porcentagem de municípios e estados tem o DMARC configurado na imposição, o email é uma maneira fácil para atores mal-intencionados que desejam atrapalhar nossas eleições.
A validação de identidade será um grande desafio em todo o setor de segurança.
A maioria das empresas pensa em segurança cibernética em termos de criptografia, sandbox, segmentação de rede etc., e ignora o papel principal da identidade. Em 2019, vimos empresas e fornecedores de segurança despertarem cada vez mais para a importância do gerenciamento de identidade e acesso (IAM) como um componente integral da segurança da empresa, e por boas razões. Mas conceder acesso é apenas uma fatia da “crise de identidade” da cibersegurança. Cada pessoa, telefone, computador e dispositivo IoT tem uma identidade que deve ser autenticada para estabelecer uma comunicação confiável. E validar a identidade não é tarefa fácil. No fim de semana do Dia do Trabalho, vimos a conta do Twitter do CEO do Twitter, Jack Dorsey, ser invadida por meio da troca de SIM (que provavelmente foi iniciada por uma personificação do próprio Dorsey), e incidentes de ataques de comprometimento de e-mail comercial (BEC) e campanhas de desinformação de mídia social executadas por bots são todos os exemplos de destruição ocorreram quando a identidade não é autenticada.
A tecnologia Deepfake será aproveitada em mais ataques cibernéticos.
Em 2020, veremos as tecnologias deepfake migrarem da prova de conceito e da ferramenta ocasional de ataque para uma tática mais comum. O áudio e o vídeo Deepfake podem tornar os ciberataques contra indivíduos e organizações muito mais sofisticados e convincentes e, portanto, mais eficazes. Em 2019, um fraudador usou a tecnologia de voz AI para se passar por CEO de uma empresa alemã, convencendo um funcionário a transferir mais de US $ 200.000 para o banco de um fornecedor húngaro – que foi imediatamente transferido para outro banco no México. Seria tolice pensar que os criminosos cibernéticos em todo o mundo não notaram esse incidente e começaram a explorar como eles também poderiam aproveitar esse tipo de tecnologia para obter pagamentos semelhantes (por exemplo, entregar mensagens via Google Voice). Os golpistas adicionarão deepfakes a seus kits de ferramentas, combinando-os com técnicas de sucesso já comprovadas, como falsificação de números de telefone e representação de e-mail, para avançar as técnicas de phishing e BEC e impulsionar ataques cada vez mais direcionados. Prevemos que as perdas decorrentes de ataques baseados em personificações possam chegar a bilhões de dólares em 2020, impulsionadas por um aumento no uso da tecnologia deepfake.
A adoção do DMARC crescerá entre os setores.
Veremos um aumento contínuo na adoção da autenticação de mensagens, relatórios e conformidade com base no domínio (DMARC). O DMARC é um protocolo de autenticação neutro em fornecedores que permite que os proprietários de domínios de email protejam seu domínio de falsificação, e o número de domínios que o utilizam aumentou 5x nos últimos 3 anos. Veremos um crescimento crescente em várias verticais em 2020 – especialmente em saúde e governo. Seguindo a liderança dos ramos civis do governo federal, o Departamento de Defesa exigirá em breve todos os seus domínios para aplicar o DMARC, resultando em um aumento no número de domínios militares protegidos. A H-ISAC, organização global sem fins lucrativos que atende o setor de saúde, instou as empresas de saúde a adotarem o DMARC como parte das práticas recomendadas para proteger o e-mail e, como resultado, já vimos um aumento nas taxas de adoção nessa vertical. Esse crescimento continuará ao longo de 2020.
Grandes marcas liderarão o caminho com indicadores de marca para identificação de mensagens
Os indicadores de marca para identificação de mensagens (BIMI) são um padrão de email que mudará a maneira como as pessoas interagem com suas marcas favoritas por email. O BIMI fornece uma estrutura através da qual uma organização pode fornecer um logotipo autorizado para exibição nas caixas de entrada dos destinatários, juntamente com o email autenticado dessa organização. Prevemos que os Indicadores de Marca para Identificação de Mensagens crescerão em popularidade, especialmente entre grandes empresas e marcas de destaque que dependem muito da confiança e do envolvimento de seus clientes. De fato, o Google lançará um piloto BIMI em 2020, o que ajudará a estimular a adoção. Uma pesquisa da Verizon Media mostrou que o BIMI pode aumentar as taxas de abertura e aumentar o envolvimento do cliente, oferecendo aos profissionais de marketing um grande incentivo para oferecer suporte à autenticação de e-mail, um pré-requisito para os Indicadores de marca para identificação de mensagens.
O AMP para email está decolando em 2020.
O AMP, uma tecnologia apoiada pelo Google para acelerar o tempo de carregamento da página da web, decolará em 2020. Com o AMP for Email, os usuários terão recursos interativos expandidos nas mensagens de email, como agendar compromissos, fazer pesquisas e concluir compras – tudo sem precisar abra um navegador. Os varejistas provavelmente serão os primeiros a adotar essa tecnologia, e podemos esperar ver e-mails personalizados aproveitando compras e itens anteriores em carrinhos de compras para serem usados para acelerar compras e aumentar o envolvimento do cliente. As pesquisas de satisfação do cliente provavelmente também serão os primeiros casos de uso dessa tecnologia – os consumidores receberão uma pequena pesquisa depois de visitarem sua cafeteria favorita e poderão concluir e enviar a pesquisa, tudo em seu email.
A segurança da Internet das coisas / cidade inteligente continuará a crescer como alvo dos atacantes.
A segurança das cidades deve começar por impedir que os phishers obtenham acesso a computadores, onde eles poderiam enviar comandos para dispositivos IoT remotamente. Existem muitos desafios com a segurança da IoT, a maioria dos quais é autenticar as comunicações dispositivo-servidor. Além disso, o uso de senhas padrão e criptografia desatualizada facilita a invasão desses sistemas. Em 2019, lemos sobre alguns incidentes irritantes e assustadores baseados em hackers da IoT – mas, no ano novo, realmente precisamos nos preocupar com hackers que visam redes de energia e outras infraestruturas importantes para causar sérias perturbações econômicas e sociais.
O uso da IA se tornará mais especializado.
O ano de 2019 viu muitas empresas experimentando inteligência artificial. Muitas dessas experiências levaram à conclusão de que requer muito tempo e conhecimento para implementar a IA com sucesso. Em 2020, veremos algumas dessas experiências começarem a valer a pena, pois as empresas reorientam seus esforços de IA em áreas onde economizam tempo e dinheiro – como examinar raios-x, automatizar o atendimento ao cliente com chatbots e simplificar a condução por meios semi-autônomos. veículos. Mas outros projetos de IA serão abandonados, pois fica claro que a IA não é a abordagem mais eficaz – como a segurança de e-mail, onde os sistemas de segurança com IA geralmente perdem ataques de phishing e golpes de BEC; e identificar notícias falsas, onde as ferramentas baseadas em IA também perderam o alvo até agora.
