Nist

Um novo relatório da Gartner destaca que a adoção de agentes de inteligência artificial (IA) nas empresas está avançando mais rapidamente do que as políticas de governança podem acompanhar. Esses agentes operam de maneira contínua, acessando múltiplas aplicações e gerando atividades em alta velocidade, o que resulta em uma camada invisível de atividade de identidade, chamada de ‘matéria escura de identidade’. Segundo a Orchid Security, cerca de 50% das atividades de identidade nas empresas ocorrem fora da visibilidade dos sistemas tradicionais de gerenciamento de identidade e acesso (IAM).

O Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA anunciou que, a partir de 15 de abril, deixará de atribuir pontuações de severidade a vulnerabilidades de baixa prioridade devido ao aumento significativo no volume de submissões. O NIST continuará a analisar e fornecer detalhes adicionais apenas para vulnerabilidades que atendam a critérios específicos, como aquelas listadas no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA ou que afetem software do governo federal dos EUA. Embora todas as vulnerabilidades submetidas sejam listadas na Base de Dados Nacional de Vulnerabilidades (NVD), as de baixa prioridade terão apenas a classificação de severidade fornecida pela Autoridade de Numeração CVE (CNA) que as avaliou. O NIST justificou essa mudança pelo crescimento de 263% nas submissões, o que tornou insustentável a manutenção do nível anterior de detalhamento. A nova abordagem permitirá que o NIST concentre seus esforços nas vulnerabilidades com maior potencial de impacto, embora reconheça que algumas vulnerabilidades de alto impacto possam não ser priorizadas. O NIST também aceita solicitações de enriquecimento para vulnerabilidades de menor prioridade por meio de e-mail.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) anunciou mudanças significativas na forma como gerencia as vulnerabilidades e exposições de cibersegurança (CVEs) em sua base de dados nacional (NVD). Devido a um aumento de 263% nas submissões de CVEs entre 2020 e 2025, o NIST decidiu enriquecer apenas aqueles que atendem a critérios específicos, como a inclusão no catálogo de Vulnerabilidades Conhecidas e Exploitadas (KEV) da CISA e software crítico utilizado pelo governo federal. As CVEs que não se enquadrarem nesses critérios serão marcadas como “Não Programadas”. Essa mudança visa priorizar as vulnerabilidades com maior potencial de impacto generalizado, embora o NIST reconheça que outras CVEs possam ter impactos significativos. Além disso, o NIST não fornecerá mais pontuações de severidade separadas para CVEs já avaliadas por autoridades de numeração de CVE. As mudanças têm como objetivo melhorar a eficiência na gestão de vulnerabilidades em um cenário de crescente volume de novas ameaças. Especialistas alertam que essa nova abordagem exigirá que as organizações adotem uma gestão de riscos mais proativa, focando em dados acionáveis em vez de uma lista abrangente de vulnerabilidades.

A criptografia é fundamental para a segurança digital, protegendo dados sensíveis contra acessos não autorizados. No entanto, a ascensão dos computadores quânticos representa um desafio significativo para os métodos tradicionais de criptografia, como RSA e ECC, que se baseiam em problemas matemáticos complexos. Esses computadores têm a capacidade de resolver esses problemas de forma muito mais eficiente, o que pode comprometer a segurança de dados criptografados. Especialistas preveem que computadores quânticos funcionais poderão estar disponíveis em até dez anos, levando a um cenário preocupante onde atacantes coletam dados criptografados na expectativa de decifrá-los no futuro.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) lançou a Publicação Especial NIST 800-232, que padroniza a família de algoritmos criptográficos Ascon, desenvolvidos para ambientes com recursos limitados, como dispositivos da Internet das Coisas (IoT). Esta iniciativa, que começou em 2015, culminou em um processo rigoroso de avaliação que selecionou o Ascon em fevereiro de 2023. Os algoritmos Ascon são projetados para atender às necessidades de segurança crítica em dispositivos IoT, onde padrões tradicionais, como AES-GCM e SHA-2, podem ser excessivamente pesados.