As últimas notícias, análises e o que estamos ouvindo entre as sessões. Nosso diário direto do Moscone Center, compilado por nossa equipe no local, incluindo Leo Grove, presidente e CEO da SSL.
Quinta-feira, Março 26, 2026
No meu último dia na RSAC 2026, participei de uma sessão sobre CVE. Como um Consórcio de assinatura de nuvem Como membro do conselho, tenho especial interesse em normas e interoperabilidade tecnológica para promover a inovação compartilhada e a comunicação transfronteiriça eficaz.
O Conselho CVE fornece supervisão estratégica do Missão do Programa de Vulnerabilidades e Exposições Comuns (CVE). Define a missão do programa. Políticas para identificar, nomear e compartilhar vulnerabilidades entre governos e a iniciativa privada.
Enquanto o MITER Corporation Embora o programa seja operado pelo Departamento de Segurança Interna dos EUA, ele tem sido historicamente financiado e apoiado por este, o que o inseriu em um modelo de governança híbrido público-privado, crucial para a coordenação global da cibersegurança. Nos últimos anos, surgiram preocupações em relação à estabilidade do financiamento e à fragmentação geopolítica, aumentando o risco de que o sistema centralizado de combate ao extremismo violento (CVE) possa enfraquecer ou se fragmentar.
Manter o CVE continuamente atualizado e bem governado é essencial, pois ele serve como camada de referência universal para o gerenciamento de vulnerabilidades. Sem ele, a divulgação coordenada, a aplicação de patches e a inteligência de ameaças transfronteiriças se tornariam mais lentas, inconsistentes e muito menos eficazes.
Esses desafios foram reiterados durante a sessão, na qual os participantes questionaram o papel do governo na definição de padrões para combater o cenário de segurança cibernética em rápida evolução. Concordo com o painel: o governo tem, sim, um papel a desempenhar no desenvolvimento de padrões quando o bem comum é uma consideração importante e interesses conflitantes podem contrariar o ímpeto de adotar um padrão comum. É muito difícil manter a política fora desse papel, mas estruturas de padrões totalmente privadas inevitavelmente têm incentivos pessoais e financeiros que não estão alinhados com o bem comum.
No contexto de organizações como o Cloud Signature Consortium, à medida que mais acordos comerciais, como o Acordo comercial MERCOSUL/Comissão EuropeiaÀ medida que são implementadas em um ambiente comercial cada vez mais multipolar, a necessidade de padrões interoperáveis para identidade digital e assinaturas digitais aumentará. Aguardo com expectativa as conversas que teremos no evento. Evento "Confiança Sem Fronteiras" da CSC, nos dias 13 e 14 de maio, em Bogotá, Colômbia, onde reuniremos representantes do governo, da iniciativa privada e da academia para não apenas discutir como podemos ser mais interoperáveis além-fronteiras, mas também para nos comprometermos a tomar medidas concretas.
Quarta-feira, Março 25, 2026
Eis algo para reflexão: os LLMs (Learning Learning Machines) deveriam incorporar a assinatura de código no código gerado por IA que fornecem aos usuários? Quanta responsabilidade os engenheiros devem manter em um fluxo de trabalho de desenvolvimento orientado por LLM?
Um dos painéis de discussão mais esclarecedores da semana aqui na RSAC dissipou grande parte do ruído em torno da Inteligência Artificial Geral (GenAI) no desenvolvimento de software. O foco foi uma realidade crítica: a GenAI acelera a codificação, mas também introduz novas camadas de risco, incluindo padrões de código vulneráveis, ataques de injeção de código e dependências inseguras, entre os mais urgentes. A ênfase em governança, salvaguardas e transparência deixou claro que a adoção segura não é opcional; é fundamental, mas ainda há um longo caminho a percorrer no mundo real.
Um momento particularmente interessante foi um debate acalorado entre os participantes do painel sobre o papel que os engenheiros deveriam desempenhar na codificação assistida por GenAI. Alguns argumentaram que os engenheiros deveriam permanecer profundamente envolvidos tanto na geração quanto na revisão do código, tratando os LLMs como ferramentas de produtividade, e não como tomadores de decisão. Outros defenderam um futuro mais automatizado, no qual os LLMs lidariam com porções maiores da geração de código, com os engenheiros assumindo principalmente funções de supervisão e revisão. Chegou-se a discutir se a expertise em determinadas linguagens e frameworks não seria mais relevante.
Essa tensão demonstra que o setor ainda está buscando o equilíbrio entre velocidade e controle. Minha conclusão é que a IA de Geração representa mais do que uma simples mudança de ferramentas; ela representa um desafio fundamental de governança. As organizações que terão sucesso serão aquelas que definirem responsabilidades claras, implementarem processos de revisão rigorosos e evitarem a automação excessiva prematura.
Então, pergunto novamente: os LLMs (Learning Liability Management) devem incorporar a assinatura de código no código que fornecem aos usuários? Quanta responsabilidade os engenheiros devem manter em um fluxo de trabalho de desenvolvimento orientado por LLM? Gostaria muito de conversar com você e ouvir sua opinião sobre isso.
Desde Ram Kishore, Arquiteto de Soluções Global Chefe:
O segundo dia foi repleto de sessões e reuniões com parceiros, e hoje o segundo tema dominante foi a computação quântica. A mensagem em todas as sessões foi clara: a era do "resolveremos isso mais tarde" acabou. A transição para criptografia pós-quântica A Computação Quântica Prévia (PQC) já está em andamento, e as empresas que ainda aguardam um sinal de início já estão atrasadas. As ameaças quânticas não são problemas teóricos futuros. Agir com antecedência significa manter-se seguro, ágil e à frente das mudanças de conformidade e do ecossistema.
É exatamente aí que a SSL.com entra em cena. Nosso Plataforma de Confiança Digital Vai além da emissão de certificados. Trabalhamos com empresas em cada etapa de sua jornada pós-quântica, desde o planejamento de agilidade criptográfica até a construção de uma base de confiança resiliente para o futuro.
Quase todas as conversas que tive hoje na RSAC abordaram a IA agente. Ela está reformulando completamente a maneira como as empresas operam, com sistemas autônomos gerenciando fluxos de trabalho em velocidades e escalas que as equipes humanas não conseguem igualar. Mas cada agente que age em seu nome também é um vetor de ataque em potencial, e os agentes de ameaças já estão sondando esses sistemas em busca de vulnerabilidades.
O maior risco nem sequer é externo: agentes de IA mal geridos, operando sem uma identidade clara, permissões definidas ou controles de responsabilização, podem causar sérios danos de dentro para fora. Quando as máquinas tomam decisões autónomas, a confiança digital é essencial. A revolução da produtividade é real, assim como a responsabilidade que a acompanha.
Segunda-feira, Março 23, 2026
Desde Dustin Ward, Vice-Presidente Executivo de Tecnologia da SSL:
A RSA Conference (RSAC) é o maior evento de cibersegurança do mundo. Todos os anos, dezenas de milhares de profissionais de segurança se reúnem no Moscone Center, em São Francisco, para discutir as novidades, os problemas existentes e as soluções necessárias. É onde o setor define as regras do jogo.
Eis o que tenho ouvido em todo o setor:
- As organizações sabem Criptografia pós-quântica Está chegando, mas não sei por onde (ou como) começar.
- A IA está criando novas superfícies de ataque e novos requisitos de confiança simultaneamente.
- A análise de conteúdo de acordo com a experiência do usuário (C2PA) e a proveniência do conteúdo estão passando de "interessantes" para "essenciais".
- A gestão do ciclo de vida dos certificados está se tornando mais complexa tanto no setor público quanto no privado. investidores privados PKI
- A maioria das equipes está gerenciando tudo isso com as ferramentas de ontem.
Uma sessão em particular me marcou mais do que as outras. Ela focou na transição para certificados com validade de 47 dias: passando de certificados de 398 dias para 200, depois 100 e, finalmente, 47. Isso representa um aumento de 8 vezes na frequência de renovação, e não se trata de um problema de conformidade, mas sim operacional. Se a sua solução ainda envolve processos manuais e ferramentas pouco integradas, você já está atrasado. E a dependência de uma única Autoridade Certificadora (CA) se torna um risco real quando você precisa substituir toda a sua base de certificados em 24 horas.
É algo em que temos investido bastante na SSL.com: investidores privados PKI Para casos de uso em que a confiança pública não é o modelo adequado e para garantir a verdadeira prontidão de uma Autoridade Certificadora de backup, onde as validações já estão implementadas, os caminhos de emissão estão estabelecidos e é possível redirecionar o tráfego ou emitir em paralelo quando necessário.
Além das certificações, dois temas dominaram quase todas as conversas hoje: IA e PQC.
No âmbito da IA, a IA agente está por toda parte hoje em dia, uma revolução na produtividade que também apresenta sérios riscos, desde ataques impulsionados por IA até o desafio de governar agentes autônomos que atuam em seu nome. Como podemos... Autenticar conteúdo gerado por IA? Como podemos proteger os próprios modelos? É aqui que entram em cena normas como C2PA e forte PKI Não são apenas itens desejáveis. Estão se tornando fundamentais.
Do lado do PQC, NIST finalizou seus padrões pós-quânticos. O tempo para a migração está se esgotando. Se você é responsável por qualquer coisa relacionada a certificados, seja ela pública ou privada, esteja ciente disso. TLS/SSL, privado PKIEm relação à assinatura de código e à autenticidade de conteúdo C2PA, a questão não é se você precisa de um plano de transição para o PQC, mas sim se você já possui um.
Este é o tipo de trabalho que minha equipe e eu fazemos diariamente na SSL.com. Não hesite em entrar em contato se tiver alguma dúvida sobre esses assuntos.
Este diário é atualizado diariamente durante a semana do RSAC. Volte amanhã para conferir a cobertura do segundo dia e siga-nos em LinkedIn Para conferir os melhores momentos em tempo real da quadra.
Gostaria de conversar sobre como sua organização está se preparando para ciclos de vida de certificados mais curtos, prontidão para múltiplas Autoridades Certificadoras (ACs) ou planejamento pós-apocalíptico? Vamos conversar.
