As organizações estão recorrendo à automação e à inteligência artificial (IA) para lidar com um cenário de ameaças complexo e em expansão. No entanto, se não for devidamente gerido, isto pode ter algumas desvantagens.
Numa entrevista em vídeo à ZDNET, Daniel dos Santos, diretor sênior de pesquisa de segurança do Vedere Lab da Forescout, afirmou que a IA generativa (gen AI) ajuda a dar sentido a muitos dados de uma forma mais natural do que era possível anteriormente sem IA e automação .
Os modelos de aprendizado de máquina e IA são treinados para ajudar as ferramentas de segurança a categorizar variantes de malware e detectar anomalias, disse Juraj Malcho, CTO da ESET.
Além disso: a ansiedade da IA afeta 90% dos consumidores e empresas
Malcho expressou a necessidade de moderação manual para reduzir ainda mais as ameaças, eliminando dados e inserindo conjuntos de dados mais limpos para treinar continuamente modelos de IA em uma entrevista à ZDNET.
Ajuda as equipes de segurança a acompanhar o ataque de dados, e a infinidade de sistemas, incluindo firewalls, equipamentos de monitoramento de rede e sistemas de gerenciamento de identidade, coletam e geram dados de dispositivos e redes.
Tudo isso, incluindo alertas, torna-se mais fácil de entender e mais explicável com a geração AI, disse dos Santos.
Além disso: a IA está mudando a segurança cibernética e as empresas devem acordar para a ameaça
Por exemplo, as ferramentas de segurança podem não apenas emitir um alerta para um possível ataque malicioso, mas também utilizar o processamento de linguagem natural para explicar onde um padrão semelhante pode ter sido identificado em ataques anteriores e o que significa quando é detectado em sua rede, observou ele.
“É mais fácil para os humanos interagir com esse tipo de narração do que antes, onde ela compreende principalmente dados estruturados em grandes volumes”, disse ele. A Gen AI agora resume esses dados em insights que são significativos e úteis para os humanos sentados atrás da tela, disse dos Santos.
Malcho acrescentou que a tecnologia de IA permite que os engenheiros do SOC (centro de operações de segurança) priorizem e se concentrem em questões mais importantes.
Além disso: 1 em cada 4 pessoas sofreu fraude de identidade – e a maioria delas culpa a IA
No entanto, será que a crescente dependência da automação fará com que os humanos se tornem inexperientes no reconhecimento de anomalias?
Dos Santos reconheceu esta como uma preocupação válida, mas observou que o volume de ataques só continuaria a crescer, juntamente com os dados e dispositivos a proteger. “Vamos precisar de algum tipo de automação para gerenciar isso e a indústria já está caminhando nessa direção”, disse ele.
“No entanto, você sempre precisará de humanos informados para tomar as decisões e determinar se eles devem responder a (um alerta).”
Além disso: O maior desafio com o aumento dos ataques à segurança cibernética, segundo analistas
Ele acrescentou que seria irrealista esperar que as equipes de segurança continuassem expandindo para 50 ou 100 para acompanhar. “Há um limite na forma como as organizações alocam seus SOCs, então é necessário recorrer à IA e às ferramentas de geração de IA para obter ajuda”, disse ele.
Ele enfatizou que o instinto humano e profissionais de segurança qualificados serão sempre necessários nos SOCs para garantir que as ferramentas funcionem conforme o esperado.
Além disso, com os ataques à cibersegurança e o volume de dados a aumentar, há sempre espaço para os profissionais humanos expandirem os seus conhecimentos para gerir melhor este cenário de ameaças, disse ele.
Além disso: as falhas de segurança na nuvem das empresas são “preocupantes” – à medida que as ameaças de IA aceleram
Malcho concordou, acrescentando que deveria inspirar os executivos menos qualificados a obter novas qualificações para acrescentar valor e tomar melhores decisões – e não simplesmente consumir cegamente sinais gerados pela IA e ferramentas de automação.
Os engenheiros do SOC ainda precisam analisar uma combinação de sinais diferentes para conectar os pontos e ver o quadro completo, observou ele.
“Você não precisa saber como o malware funciona ou qual variante é gerada. O que você precisa é entender como os malfeitores se comportam”, disse ele.
Além disso: os dados sintéticos podem resolver as preocupações de privacidade da IA? Esta empresa está apostando nisso
O aumento da automação, no entanto, pode correr o risco de códigos mal configurados ou patches de segurança serem implantados e derrubarem sistemas críticos, como foi o caso da interrupção do CrowdStrike em julho.
A interrupção global ocorreu depois que a CrowdStrike enviou uma “atualização de configuração do sensor” com bugs para sistemas Windows que executavam seu software Falcon Sensor. Embora não seja um driver de kernel, a atualização se comunica com outros componentes do sensor Falcon que são executados no mesmo espaço que o kernel do Windows, ou no nível mais privilegiado em um PC com Windows, onde interagem diretamente com a memória e o hardware, de acordo com a ESET. .
CrowdStrike disse que um “erro lógico” no código fez com que os sistemas Windows travassem segundos após serem inicializados, exibindo a “tela azul da morte”. A Microsoft estimou que a atualização afetou 8,5 milhões de dispositivos Windows.
Além disso: a violação da fidelidade expôs os dados pessoais de 77.000 clientes
Em última análise, sublinhando a necessidade das organizações, por maiores que sejam, testarem a sua infraestrutura e terem múltiplas proteções contra falhas, disse o consultor de segurança global da ESET, Jake Moore, num comentário após a interrupção do CrowdStrike. Ele observou que as atualizações e manutenção de sistemas podem incluir involuntariamente pequenos erros que têm consequências generalizadas, como mostrado no incidente CrowdStrike.
Moore destacou a importância da “diversidade” no uso de infraestruturas de TI em grande escala, incluindo sistemas operacionais e ferramentas de segurança cibernética. “Onde a diversidade é baixa, um único incidente técnico – para não mencionar uma questão de segurança – pode levar a interrupções à escala global, com subsequentes repercussões”, disse ele.
Aplicar procedimentos adequados ainda é importante na automação
Simplificando, os processos de automação corretos provavelmente não foram implementados, disse Malcho.
Os códigos, incluindo patches, precisam ser revisados depois de serem escritos e testados internamente. Eles devem ser colocados em sandbox e segmentados na rede mais ampla para garantir ainda mais que sejam seguros para implantação, disse ele. A implementação então deve ser feita gradualmente, acrescentou.
Dos Santos repetiu a necessidade de os fornecedores de software realizarem os “testes mais rigorosos” e garantirem que os problemas não surgirão. Ele observou, porém, que nenhum sistema é infalível e que as coisas podem escapar.
Além disso: a IA agora pode resolver testes reCAPTCHA com a maior precisão possível
O episódio CrowdStrike deve destacar ainda mais a necessidade de as organizações que implementam atualizações o fazerem de forma mais controlada, disse ele. Por exemplo, os patches podem ser implementados em subconjuntos e não em todos os sistemas de uma vez – mesmo que o patch de segurança seja marcado como crítico.
“Você precisa de processos para garantir que as atualizações sejam feitas de forma testável. Comece pequeno e dimensione quando testado (verificado)”, acrescentou.
Apontando o setor aéreo como exemplo, os incidentes são investigados seriamente para que erros possam ser identificados e evitados no futuro. Deveria haver políticas semelhantes em vigor para a indústria de segurança cibernética, onde todos deveriam trabalhar no pressuposto de que a segurança é fundamental, disse dos Santos.
Além disso: violação do Internet Archive compromete 31 milhões de contas
Ele apelou a mais responsabilidade e obrigação – as organizações que lançam produtos que são claramente inseguros e que não cumprem os padrões de segurança corretos devem ser devidamente punidas. Os governos terão de descobrir como isso precisa ser feito, observou ele.
“É preciso haver mais responsabilidade. Não podemos simplesmente aceitar termos de licenças que permitam a estas organizações dizer que não são responsáveis por nada”, disse ele. Também deve haver conscientização dos usuários sobre como melhorar sua postura básica de segurança, como alterar senhas padrão em dispositivos, acrescentou.
Feito da maneira certa, a IA e a automação são ferramentas necessárias que permitirão às equipes de segurança cibernética gerenciar o que de outra forma seria um ambiente de ameaças impossível de lidar, disse Malcho.
Além disso: você deve proteger os dados do seu PC com Windows com criptografia forte – veja como
E se ainda não utilizam estas ferramentas, os cibercriminosos estão um passo à frente.
Atores de ameaças já usam geração AI
Em um relatório divulgado este mês, a OpenAI confirmou que os agentes de ameaças estão usando o ChatGPT em seu trabalho. Desde o início de 2024, o desenvolvedor da geração AI interrompeu pelo menos 20 operações em todo o mundo que tentavam usar seus modelos. Isso variou desde a depuração de malware até a geração de conteúdo para personas falsas nas redes sociais.
“Esses casos nos permitem começar a identificar as maneiras mais comuns pelas quais os atores de ameaças usam IA para tentar aumentar sua eficiência ou produtividade”, disse OpenAI. Esses hackers mal-intencionados frequentemente usavam modelos OpenAI para executar tarefas em uma “fase intermediária específica de atividade” após adquirirem ferramentas básicas, como acesso à Internet e contas de mídia social, mas antes de implantar produtos “acabados”, como postagens em mídias sociais ou malware via vários canais.
Por exemplo, um agente de ameaça apelidado de “STORM-0817” usou modelos ChatGPT para depurar seu código, enquanto uma operação secreta que a OpenAI cunhou “A2Z” usou seus modelos para gerar biografias para contas de mídia social.
Além disso: a capacidade mais elogiada do ChatGPT também traz grandes riscos para as empresas
A OpenAI acrescentou que interrompeu uma operação secreta iraniana no final de agosto que gerou comentários nas redes sociais e artigos longos sobre as eleições nos EUA, bem como o conflito em Gaza e as políticas ocidentais em relação a Israel.
As empresas estão percebendo o uso de IA em ataques cibernéticos, de acordo com um estudo global divulgado este mês pela Keeper Security, que entrevistou mais de 800 executivos de TI e segurança.
Cerca de 84% disseram que as ferramentas habilitadas para IA tornaram os ataques de phishing e smishing mais difíceis de detectar, levando 81% a implementar políticas de funcionários em torno do uso de IA.
Outros 51% consideram os ataques alimentados por IA a ameaça mais grave que a sua organização enfrenta, com 35% a admitir que estão menos preparados para combater tais ameaças, em comparação com outros tipos de ataques cibernéticos.
Além disso: as empresas ainda estão prontas para investir na Gen AI, sendo a gestão de risco uma prioridade máxima
Em resposta, 51% afirmaram que incorporaram a encriptação de dados nas suas estratégias de segurança, enquanto 45% procuram melhorar os seus programas de formação para orientar os funcionários, por exemplo, na identificação e resposta a ameaças alimentadas por IA. Outros 41% estão investindo em sistemas avançados de detecção de ameaças.
As descobertas de um relatório de setembro de 2024 da Sophos revelaram preocupações sobre ameaças à segurança habilitadas por IA, com 73% apontando os ataques de segurança cibernética aumentados por IA como a ameaça online com a qual mais se preocupam. Este número foi mais elevado na Índia, onde quase 90% apontaram os ataques alimentados por IA como a sua principal preocupação, seguida por 85% nas Filipinas e 78% em Singapura, de acordo com o estudo, que baseou a sua pesquisa em 900 empresas em seis países asiáticos. Mercados do Pacífico, incluindo Austrália, Japão e Malásia.
Embora 45% acreditem ter as competências necessárias para lidar com ameaças de IA, 50% têm planos de investir mais em serviços de segurança geridos por terceiros. Entre aqueles que planeiam aumentar os seus gastos nestes serviços geridos, 20% afirmaram que os seus investimentos crescerão mais de 10%, enquanto os restantes apontam para um aumento entre 1% e 10%.
Além disso: OpenAI vê novo escritório em Cingapura apoiando seu rápido crescimento na região
Cerca de 22% acreditam que possuem uma estratégia abrangente de IA e automação, com 72% observando que têm um funcionário encarregado de liderar sua estratégia e esforços de IA.
Para colmatar a escassez de competências em IA, 45% afirmaram que irão subcontratar parceiros, enquanto 49% planeiam formar e desenvolver competências internas e precisarão de parceiros para apoiar a formação e a educação.
Em média, 20% utilizam atualmente um único fornecedor para as suas necessidades de segurança cibernética, enquanto 29% utilizam dois e 23% utilizam três. Cerca de 10% usam ferramentas de pelo menos cinco fornecedores de segurança.
Além disso: falta muita transparência em meio ao crescente interesse pela IA
No entanto, ferramentas de baixo desempenho e uma violação de segurança ou uma grande interrupção envolvendo prestadores de serviços terceirizados são os principais motivos pelos quais as organizações considerarão uma mudança no fornecedor ou na estratégia de segurança cibernética.
Além disso, 59% “definitivamente” ou “provavelmente” não nomearão um fornecedor terceirizado que sofreu um incidente ou violação de segurança. Cerca de 81% considerarão os fornecedores que foram violados se houver cláusulas adicionais relacionadas ao desempenho e acordos de nível específico.