Aplicação prática da inteligência artificial que pode transformar a cibersegurança
Enquanto escrevo esse post, estou sentada à beira da praia com meu computador, enquanto minha família brinca na água. Estamos de férias, mas todos nós temos nossa própria definição de diversão. Para mim, diversão é escrever posts na praia — é sério! A cabeça fica excelente, com tempo para pensar sem interrupções e foco. Entretanto, meu empregador pode não achar meu destino de férias o lugar mais seguro para acessar certos dados e aplicações. Eles querem que eu me autentique fortemente. Também querem entender a saúde de todos os sistemas e dispositivos que estou usando, bem como da rede e da geolocalização. Mas, graças ao poder do aprendizado de máquina e do acesso condicional, tenho condições de escrever este post quando e onde eu quiser. Meu empregador é capaz de impor medidas de segurança abrangentes para garantir que meu dispositivo, minha localização e minha rede são seguros e confirmar que realmente sou eu tentando fazer login.
A capacidade da minha organização de raciocinar sobre todos os dados, incluindo localização, login e saúde do dispositivo e do app é apenas um exemplo de como a inteligência artificial (IA) está nos ajudando a evoluir as ferramentas que usamos para combater o cibercrime. Neste post, vou me concentrar em dois casos de usos práticos de implantação de IA no campo de batalha do cibercrime. No primeiro exemplo, explico como a sobreposição de AI em soluções de Gerenciamento e Correlação de Eventos de Segurança (Security Information and Event Management, SIEM) no local pode oferecer melhores insights e recursos preditivos. O segundo caso de uso é o que eu acabei de sugerir, de como podemos levar a IA ainda mais longe para proteger o acesso do usuário. No fim, espero ter provado para você que há uma tremenda oportunidade para usar a IA — particularmente a aprendizagem de máquina — para aprimorar a eficácia da cibersegurança, a detecção de hackers e até mesmo prevenir ataques antes que eles ocorram.
Se você é cético, eu entendo. Sempre conto uma história sobre como, por muitos anos, na conferência anual da RSA, fornecedores e clientes se reuniam em torno de temas, como: “o ano do smart card”, “o ano da biometria”, “o ano da aprendizagem de máquina”, “o ano do blockchain”. Algumas dessas tecnologias nunca cumpriram sua promessa, e muitas delas continuam nascentes e imaturas em suas aplicações, arquitetura e em seus casos de uso. Mas creio que há aplicações práticas de AI que atenderão às nossas expectativas, especialmente quando se trata de segurança cibernética.
Se alguém refletir sobre ataques de base ampla, como WannaCry e NotPetya, e vulnerabilidades críticas, como Specter e Meltdown, é lógico que a superfície de ataque está crescendo rapidamente, os maus atores estão se tornando mais sofisticados e a necessidade de evolução de ferramentas é urgente. A inteligência artificial é o caminho para essa evolução. Como indústria, precisamos ser cautelosos em como posicionamos e explicamos a aprendizagem de máquina e a IA, evitando confusão, combinação de recursos e promessas exageradas de resultados. Definitivamente, há um lugar para ambas e elas são altamente complementares. A inteligência artificial tem o poder de cumprir algumas das promessas herdadas do aprendizado de máquina, mas só se ela for treinada, arquitetada e implementada adequadamente.
Como todas as tecnologias, há um risco de que a IA seja mal utilizada ou subutilizada. Para o objetivo deste texto, eu peço que você faça a suposição de que a tecnologia está sendo usada eticamente, que os mecanismos são treinados adequadamente de forma não tendenciosa e que os usuários entendem a capacidade completa da tecnologia que eles estão implantando. Estou pedindo para você suspender a realidade? Não, estou simplesmente pedindo para você imaginar o potencial, se aproveitássemos totalmente a IA para melhorar ainda mais nossas defesas de segurança cibernética e reconhecer a ameaça de maus atores que também adotarão a IA agora e no futuro. Por favor, leia também o artigo (em inglês) “O futuro computado: A inteligência artificial e o seu papel na sociedade”, escrito por Brad Smith e Harry Shum, para ter uma visão mais ampla sobre a IA e a função dela na sociedade.
Usando a IA para obter insights poderosos
Há inúmeros casos de uso nos quais a IA é interessante para aplicações de cibersegurança, mas primeiro vamos começar com o que é, possivelmente, o caso de uso mais óbvio — fazer sentido de sinal e inteligência. Suspiros coletivos dos leitores antes de continuar. Entendo a consternação relacionada às soluções SIEM legadas e sua resposta visceral. As soluções SIEM foram construídas com o propósito de coletar logs e dados de uma ampla variedade de fontes, principalmente para compliance, e elas fazem isso particularmente bem. Essas soluções também permitem que os usuários produzam efetivamente relatórios específicos para um caso de uso. Entretanto, as soluções SIEM não trabalham bem na detecção de ataques em tempo real, permitindo que uma organização automatize e/ou organize as defesas que reduzirão os danos à empresa.
Pare um momento para pensar em quão poderoso seria aplicar algoritmos de aprendizagem de máquina que existem hoje aos dados e logs que o SIEM coleta. A inteligência artificial poderia raciocinar sobre os dados em escala global quase em tempo real, usando a nuvem e produzindo cenários de ataques, que você poderia então vincular a uma ferramenta de operações de segurança que automatize a resposta e as defesas com base no resultado de raciocínio da IA.
Com um grande volume de dados de origem global, você poderia usar a IA para procurar por anomalias no padrão de comportamento de humanos, dispositivos, dados e aplicações em escala e fazer previsões precisas de ameaças à sua empresa — permitindo que você implante defesas bem antes de um ataque específico. Quando implementada e treinada adequadamente, a inteligência artificial tem a capacidade de permitir que sua empresa seja eficaz. Você pode continuar a obter valor da infraestrutura SIEM on-premise que construiu e usar os dados que obteve de contexto histórico. Neste caso de uso, a nuvem fornece um valor real em sua capacidade de analisar os dados em uma escala global. E, finalmente, a IA se tornará preditiva à medida que ela aprende o que é normal e o que não é.
Você pode, então, automatizar as respostas por meio de ferramentas que permitirão que seus administradores se concentrem apenas nas tarefas de maior valor. A inteligência artificial reduzirá a carga de trabalho dos administradores de segurança a curto prazo, reduzindo a duplicação e aumentando a eficácia do sinal.
Acesso condicional inteligente e seguro
Minha capacidade de escrever este post a partir praia é uma prova de que os atuais sistemas de acesso condicional são bons e estão melhorando. A capacidade de oferecer controle de acesso baseado na autenticação de usuário, de dispositivo, de dados, de aplicação e de geolocalização conhecida nos dá um certo nível de confiança. As ferramentas que existem podem, potencialmente, manter estado, têm potencial de serem bem granulares e são alimentadas por redes globais de nuvem. Frequentemente, elas usam aprendizado de máquina para detectar comportamentos anômalos, mas o ferramental de hoje sofre com a dependência de arquitetura legada, de débito técnico, de dependência de integração de sistemas de autenticação diferentes e de sistemas híbridos.
O ferramental é sempre construído para um único ambiente, um caso de uso ou um sistema de gravação. Em corporações maiores e mais complexas, os administradores de segurança não têm o luxo de usar as ferramentas mais atualizadas em um único ambiente ou caso de uso. Os ambientes delas são complexos, a superfície de ataque é grande e seus usuários muitas vezes desconhecem riscos de segurança sofisticados. Encontro isso na minha própria casa, quando, por exemplo, explico à família os riscos inerentes do acesso a redes Wi-Fi públicas e gratuitas.
A IA para casos de uso de acesso condicional não é apenas prática, é necessária. Vivemos há muito tempo com uma base de funcionários que trabalha a partir de uma ampla variedade de dispositivos pessoais e de dispositivos fornecidos pela empresa, e operando de diversas localidades, incluindo escritórios corporativos da própria empresa, espaços de trabalho compartilhados, cafés, quartos de hotel, centro de conferências e outras localizações globais.
Também continua a existir uma lacuna na indústria de segurança relacionada à porcentagem da população que tem e implementa de forma bem-sucedida o ferramental de Autenticação Multifator (Multi-Factor Authentication, MFA). A biometria, na verdade, tornou a MFA mais onipresente, reduzindo o atrito e as despesas de compra e implantação de sistemas de autenticação, mas as organizações continuam a não investir em MFA em 100% de seus empreendimentos.
Como muitas áreas, a cibersegurança opera em um modelo de risco. Aplicações e usuários de alto risco equivalem a protocolos e ferramentas de segurança mais rigorosos. Agora, imagine se pudéssemos reduzir o risco ao mesmo tempo que reduzimos o atrito da implantação das ferramentas. A inteligência artificial é dependente de dados e de bons arquitetos e desenvolvedores para realmente cumprir sua promessa, mas esses sistemas são agnósticos. Os dados que você fornece a partir do seu mainframe não estão classificados mais altos em prioridade do que os dados que você fornece a partir da nuvem, a menos que você crie um cenário no qual você deseja que um tipo específico de dados seja ordenado por mais alta prioridade ou em classificação ordinal.
O acesso condicional — movido por raciocínio de inteligência artificial sobre o comportamento do usuário, do dispositivo, dos dados, das aplicações, da rede, da localização, etc. — tem a capacidade de criar acesso a dados muito mais seguro para companhias e reduzir o risco no geral. Imagine um ambiente global dinâmico e em tempo real onde — independentemente de onde seus usuários escolham trabalhar — você pode determinar o nível de acesso preciso deles e mudar esse nível em tempo real e sem intervenção humana. Fez alguma mudança que causa preocupação e gostaria que seu usuário autenticasse novamente? Quer bloquear o acesso a alguns ou a todos os sistemas? Quer bloquear o acesso a determinados conjuntos de dados ou exigir algum nível de encriptação? O engine de IA — ligado com ferramental automatizado — dará a você essa capacidade e oferecerá o registro e os relatórios necessários para oferecer suporte às ações automatizadas ou à intervenção humana. Sua capacidade de integrar com o ferramental atual para forçar as ações será a barra mais alta para o uso completo de seu ambiente.
Não existe mágica quando se trata de tecnologia e, particularmente, cibersegurança. Tenho falado sobre dois casos de uso nos quais acredito que a IA pode aprimorar a cibersegurança. Entretanto, há outros, como a capacidade de a inteligência artificial permitir a detecção mais robusta de dispositivos relacionados a Internet das Coisas, detecção sofisticada de malware e melhorias no gerenciamento de vulnerabilidade.
Os maus atores continuarão a inovar e a criar armas que podem ser implementadas para ataques de larga escala. A superfície de ataque está crescendo com a proliferação de dispositivos IoT em redes corporativas em sistemas de controle.
Como indústria, temos a responsabilidade moral e imperativa de continuar aprimorando os processos, treinamentos e tecnologia para atender novas e as já desenvolvidas ameaças. A inteligência artificial é uma arma em nossa bolsa de ferramentas. Ela deve ser usada com prudência. E, quando usada efetivamente, a IA pode realmente ser um agente de mudança para a indústria. Leia meu post “Application fuzzing in the era of Machine Learning and AI”.
Por Ann Johnson – Vice-presidente corporativa Microsoft, Grupo de Soluções de Cibersegurança.
