Na última década, juntamente com o crescimento explosivo da tecnologia da informação, a realidade sombria das ameaças à segurança cibernética também evoluiu dramaticamente. Os ataques cibernéticos, antes conduzidos principalmente por hackers mal-intencionados em busca de notoriedade ou ganho financeiro, tornaram-se muito mais sofisticados e direcionados. Da espionagem patrocinada pelo Estado ao roubo corporativo e de identidade, os motivos por trás do crime cibernético são cada vez mais sinistros e perigosos. Embora o ganho monetário proceed a ser uma razão importante para o crime cibernético, tem sido ofuscado por objectivos mais nefastos de roubo de dados e activos críticos. Os ciberataques utilizam amplamente tecnologias de ponta, incluindo inteligência synthetic, para se infiltrarem em sistemas e realizarem atividades maliciosas. Nos EUA, o Federal Bureau of Investigation (FBI) relatou mais de 800.000 queixas relacionadas com crimes cibernéticos apresentadas em 2022, com perdas totais superiores a ten mil milhões de dólares, quebrando o whole de 6,9 mil milhões de dólares de 2021, de acordo com o Web Crime Grievance Heart do FBI.
Com o cenário de ameaças evoluindo rapidamente, é hora das organizações adotarem uma abordagem multifacetada à segurança cibernética. A abordagem deve ser a de abordar a forma como os atacantes conseguem entrar; evitar compromissos iniciais; detectar rapidamente incursões; e permitir resposta e remediação rápidas. A proteção dos ativos digitais exige o aproveitamento do poder da IA e da automação, garantindo ao mesmo tempo que analistas humanos qualificados permaneçam essenciais à postura de segurança.
Proteger uma organização requer uma estratégia multicamadas que leve em conta os diversos pontos de entrada e vetores de ataque empregados pelos adversários. Em termos gerais, estes estão divididos em quatro categorias principais: 1) Ataques na Net e em rede; 2) Comportamento do usuário e ataques baseados em identidade; 3) Ataques a entidades direcionados a ambientes de nuvem e híbridos; e 4) Malware, incluindo ransomware, ameaças persistentes avançadas e outros códigos maliciosos.
Aproveitando IA e automação
A implantação de modelos de IA e aprendizado de máquina (ML) adaptados a cada uma dessas lessons de ataque é basic para a detecção e prevenção proativa de ameaças. Para ataques na Net e em rede, os modelos devem identificar ameaças como phishing, exploração de navegador e ataques distribuídos de negação de serviço (DDoS) em tempo actual. A análise do comportamento de usuários e entidades que aproveita a IA pode detectar atividades anômalas indicativas de comprometimento da conta ou uso indevido de recursos e dados do sistema. Por fim, a análise de malware orientada por IA pode fazer uma triagem rápida de novas cepas, identificar comportamentos maliciosos e mitigar o impacto de ameaças baseadas em arquivos. Ao implementar modelos de IA e ML em todo esse espectro de superfícies de ataque, as organizações podem melhorar significativamente sua capacidade de identificar ataques de forma autônoma nos estágios iniciais, antes que se transformem em incidentes completos.
Depois que os modelos de IA/ML identificarem atividades de ameaças potenciais em vários vetores de ataque, as organizações enfrentarão outro desafio importante: entender os alertas frequentes e separar os incidentes críticos do ruído. Com tantos pontos de dados e detecções gerados, a aplicação de outra camada de IA/ML para correlacionar e priorizar os alertas mais sérios que justificam investigação e resposta adicionais torna-se essential. A fadiga de alerta é um problema cada vez mais crítico que precisa ser resolvido.
A IA pode desempenhar um papel basic neste processo de triagem de alertas, ingerindo e analisando grandes volumes de telemetria de segurança, fundindo insights de múltiplas fontes de detecção, incluindo inteligência de ameaças, e revelando apenas os incidentes da mais alta fidelidade para resposta. Isto reduz a carga sobre os analistas humanos, que de outra forma seriam inundados com falsos positivos generalizados e alertas de baixa fidelidade, sem contexto adequado para determinar a gravidade e os próximos passos.
Embora os agentes de ameaças tenham implantado ativamente a IA para potencializar ataques como DDoS, phishing direcionado e ransomware, o lado defensivo ficou para trás na adoção da IA. No entanto, isso está mudando rapidamente à medida que os fornecedores de segurança correm para desenvolver modelos avançados de IA/ML capazes de detectar e bloquear essas ameaças alimentadas por IA.
O futuro da IA defensiva reside na implantação de modelos especializados em pequenas linguagens, adaptados a tipos de ataque e casos de uso específicos, em vez de depender apenas de modelos grandes e generativos de IA. Os modelos de linguagem grandes, por outro lado, mostram-se mais promissores para operações de segurança cibernética, como automatizar funções de suporte técnico, recuperar procedimentos operacionais padrão e auxiliar analistas humanos. O trabalho pesado da detecção e prevenção precisa de ameaças será melhor realizado pelos pequenos modelos altamente especializados de IA/ML.
O papel da experiência humana
É essential utilizar IA/ML juntamente com a automação de processos para permitir a rápida remediação e contenção de ameaças verificadas. Nesta fase, providos de incidentes de alta confiança, os sistemas de IA podem iniciar respostas automatizadas adaptadas a cada tipo de ataque específico – bloqueando IPs maliciosos (protocolo de web), isolando hosts comprometidos, aplicando políticas adaptativas e muito mais. No entanto, a experiência humana permanece integral, validando os resultados da IA, aplicando o pensamento crítico e supervisionando as ações de resposta autónoma para garantir a proteção sem perturbações dos negócios.
A compreensão diferenciada é o que os humanos trazem para a mesa. Além disso, a análise de ameaças de malware novas e complexas requer criatividade e habilidades de resolução de problemas que podem estar além do alcance das máquinas.
A experiência humana é essencial em diversas áreas-chave:
- Validação e Contextualização: Os sistemas de IA, apesar da sua sofisticação, podem por vezes gerar falsos positivos ou interpretar mal os dados. São necessários analistas humanos para validar os resultados da IA e fornecer o contexto necessário que a IA pode ignorar. Isto garante que as respostas sejam apropriadas e proporcionais à ameaça actual.
- Investigação de ameaças complexas: algumas ameaças são complexas demais para serem tratadas pela IA sozinha. Os especialistas humanos podem aprofundar estes incidentes, utilizando a sua experiência e intuição para descobrir aspectos ocultos da ameaça que a IA pode não perceber. Esta visão humana é basic para compreender todo o âmbito dos ataques sofisticados e conceber contramedidas eficazes.
- Tomada de decisões estratégicas: embora a IA possa lidar com tarefas rotineiras e processamento de dados, as decisões estratégicas sobre a postura geral de segurança e as estratégias de defesa a longo prazo requerem julgamento humano. Os especialistas podem interpretar insights gerados pela IA para tomar decisões informadas sobre alocação de recursos, mudanças políticas e iniciativas estratégicas.
- Melhoria Contínua: Os analistas humanos contribuem para a melhoria contínua dos sistemas de IA, fornecendo suggestions e dados de treinamento. Seus insights ajudam a refinar os algoritmos de IA, tornando-os mais precisos e eficazes ao longo do tempo. Esta relação simbiótica entre a experiência humana e a IA garante que ambas evoluam em conjunto para enfrentar as ameaças emergentes.
Equipe Homem-Máquina Otimizada
Subjacente a esta transição está a necessidade de sistemas de IA que possam aprender a partir de dados históricos (aprendizagem supervisionada) e se adaptarem continuamente para detectar novos ataques através de abordagens de aprendizagem não supervisionada/de reforço. A combinação desses métodos será basic para ficar à frente da evolução das capacidades de IA dos invasores.
No geral, a IA será essential para que os defensores ampliem as suas capacidades de detecção e resposta. A experiência humana deve permanecer estreitamente integrada para investigar ameaças complexas, auditar os resultados do sistema de IA e orientar estratégias defensivas estratégicas. Um modelo otimizado de equipe homem-máquina é very best para o futuro.
À medida que grandes volumes de dados de segurança se acumulam ao longo do tempo, as organizações podem aplicar análises de IA a esse tesouro de telemetria para obter insights para a caça proativa de ameaças e o fortalecimento das defesas. O aprendizado contínuo com incidentes anteriores permite a modelagem preditiva de novos padrões de ataque. À medida que as capacidades de IA avançam, o papel dos modelos de linguagem pequenos e especializados, adaptados a casos de utilização de segurança específicos, aumentará. Esses modelos podem ajudar a reduzir ainda mais a “fadiga dos alertas”, fazendo a triagem precisa dos alertas mais essenciais para análise humana. A resposta autônoma, alimentada por IA, também pode ser expandida para lidar com mais tarefas de segurança de nível 1.
No entanto, o julgamento humano e o pensamento crítico continuarão a ser indispensáveis, especialmente em incidentes de elevada gravidade. Sem dúvida, o futuro é o de equipes homem-máquina otimizadas, onde a IA lida com processamento volumoso de dados e tarefas rotineiras, permitindo que especialistas humanos se concentrem na investigação de ameaças complexas e em estratégias de segurança de alto nível.
