A IA generativa foi a prioridade na conferência do Congresso de Segurança ISC2 em Las Vegas, em outubro de 2024. Até que ponto a IA generativa mudará o que os atacantes — e os defensores — podem fazer?
Alex Stamos, CISO da SentinelOne e professor de ciência da computação na Universidade de Stanford, conversou com a TechRepublic para discutir as preocupações mais urgentes de segurança cibernética da atualidade e como a IA pode ajudar e impedir os invasores. Além disso, saiba como aproveitar ao máximo o Mês de Conscientização sobre Segurança Cibernética.
Esta entrevista foi editada para maior extensão e clareza.
Quando pequenas ou médias empresas enfrentam grandes invasores
TechRepublic: Qual é a preocupação mais urgente dos profissionais de segurança cibernética hoje?
Estamos: Eu diria que a grande maioria das organizações simplesmente não está preparada para lidar com qualquer nível de adversário que enfrentem. Se você é uma empresa de pequeno e médio porte, está enfrentando um adversário com motivação financeira que aprendeu com os ataques a grandes empresas. Eles estão praticando todos os dias invadindo empresas. Eles ficaram muito bons nisso.
Então, quando eles invadem seu escritório de arquitetura com 200 pessoas ou seu pequeno hospital regional, eles são extremamente bons. E na indústria da segurança, não fizemos um bom trabalho na construção de produtos de segurança que possam ser implementados por pequenos hospitais regionais.
A incompatibilidade entre os conjuntos de habilidades que você pode contratar e desenvolver e os adversários que você enfrenta é enfrentada por quase todos os níveis nas grandes empresas. Você pode construir boas equipes, mas fazê-lo na escala necessária para se defender contra os adversários realmente de alto nível do SVR (Serviço de Inteligência Estrangeira) russo ou do PLA (Exército de Libertação Popular) e do MSS (Ministério de Segurança do Estado) chinês – os tipos de adversários que você enfrenta se estiver lidando com uma ameaça geopolítica – é extremamente difícil. E então, em todos os níveis, você tem algum tipo de incompatibilidade.
Os defensores têm vantagem em termos de uso generativo de IA
TechRepublic: A IA generativa é uma virada de jogo em termos de capacitar adversários?
Estamos: No momento, a IA tem sido um resultado positivo para os defensores porque eles gastaram o dinheiro para fazer pesquisa e desenvolvimento. Uma das ideias fundadoras do SentinelOne foi usar o que costumávamos chamar de IA, aprendizado de máquina, para fazer detecção em vez de baseada em assinatura (detecção). Usamos IA generativa para criar eficiências nos SOCs. Portanto, você não precisa ser altamente treinado no uso de nosso console para poder fazer perguntas básicas como “mostre-me todos os computadores que baixaram um novo software nas últimas 24 horas”. Em vez de ter que fazer uma consulta complexa, você pode fazer isso em inglês. Portanto, os defensores estão vendo primeiro as vantagens.
Os invasores estão começando a adotá-lo e ainda não obtiveram todas as vantagens, o que é, creio eu, a parte mais assustadora. Até agora, a maioria dos resultados do GenAI são para serem lidos por seres humanos. O truque do GenAI é que, para modelos de linguagem grandes ou modelos de difusão para imagens, o espaço de saída das coisas que um modelo de linguagem pode exibir e que você verá como texto legítimo em inglês é efetivamente infinito. O espaço de saída do número de explorações que uma CPU executará é extremamente restrito.
VEJO: Os gerentes de TI no Reino Unido procuram profissionais com habilidades em IA.
Uma das coisas com que a GenAI luta são os resultados estruturados. Dito isto, esta é uma das áreas de foco de pesquisa mais intensas: entradas e saídas estruturadas de IA. Existem todos os tipos de propósitos legítimos e bons para os quais a IA poderia ser usada se melhores restrições fossem impostas aos resultados e se a IA fosse melhor em entradas e saídas estruturadas.
No momento, GenAI é usado apenas para iscas de phishing ou para facilitar negociações em idiomas que os atores de ransomware não falam… Acho que a verdadeira preocupação é quando começarmos a fazer com que a IA fique realmente boa em escrever códigos de exploração. Quando você pode inserir um novo bug em um sistema de IA e ele escreve um código de exploração que funciona no Windows 11 24H2 totalmente corrigido.
As habilidades necessárias para escrever esse código atualmente pertencem apenas a algumas centenas de seres humanos. Se você pudesse codificar isso em um modelo GenAI e que pudesse ser usado por 10.000 ou 50.000 engenheiros de segurança ofensiva, isso seria uma grande mudança nas capacidades ofensivas.
TechRepublic: Que tipo de riscos podem ser introduzidos com o uso de IA generativa na segurança cibernética? Como esses riscos poderiam ser mitigados ou minimizados?
Estamos: Você precisará ter cuidado na hiperautomação e orquestração. O uso de (IA) em situações onde ainda é supervisionado por humanos não é tão arriscado. Se estou usando IA para criar uma consulta para mim mesmo e então o resultado dessa consulta é algo que eu observo, isso não é grande coisa. Se eu peço à IA “encontre todas as máquinas que atendem a esses critérios e depois isole-as”, então isso começa a ser mais assustador. Porque você pode criar situações em que possa cometer esses erros. E se tiver o poder de tomar decisões de forma autônoma, isso pode ser muito arriscado. Mas acho que as pessoas estão bem cientes disso. Os analistas humanos do SOC também cometem erros.
Como tornar divertida a conscientização sobre segurança cibernética
TechRepublic: Sendo outubro o Mês de Conscientização sobre Segurança Cibernética, você tem alguma sugestão sobre como criar atividades de conscientização que realmente funcionem para mudar o comportamento dos funcionários?
Estamos: O Mês de Conscientização sobre Segurança Cibernética é um dos únicos momentos em que você deve fazer exercícios de phishing. Pessoas que praticam phishing o ano todo constroem um relacionamento negativo entre a equipe de segurança e as pessoas. Acho que o que gosto de fazer durante o Mês de Conscientização sobre Segurança Cibernética é torná-lo divertido, gamificá-lo e ter prêmios no final.
Acho que fizemos um ótimo trabalho nisso no Facebook; nós o chamamos de Hacktober. Tivemos prêmios, jogos e camisetas. Tínhamos duas tabelas de classificação, uma tecnológica e outra não tecnológica. O pessoal da tecnologia, você poderia esperar que eles encontrassem bugs. Todos poderiam participar do lado não tecnológico.
Se você recebeu nossos e-mails de phishing, se fez nossos questionários e coisas assim, você poderia participar e ganhar prêmios.
Então, um: gamificar um pouco e tornar isso algo divertido, porque acho que muitas dessas coisas acabam parecendo punitivas e complicadas. E esse não é um bom lugar para as equipes de segurança estarem.
Em segundo lugar, acho que as equipes de segurança só precisam ser honestas com as pessoas sobre a ameaça que enfrentamos e que estamos todos juntos nisso.
Isenção de responsabilidade: O ISC2 pagou minha passagem aérea, acomodações e algumas refeições para o evento ISC2 Security Congres, realizado de 13 a 16 de outubro em Las Vegas.
Notícias de Tecnologia:
15 ataques cibernéticos e violações de dados notáveis
60% Mais Profissionais de Tecnologia Perderam Empregos em 2024
Mais 50% de profissionais classificam a privacidade de dados como uma das principais preocupações da GenAI em 2024
Ataques cibernéticos globais dobrarão de 2020 a 2024, conclui relatório
A próxima etapa nos Chromebooks profissionais
48% dos profissionais de segurança acreditam que a IA é arriscada