O número cada vez maior de ataques cibernéticos bem-sucedidos demonstra com que frequência os invasores atingem seus objetivos, apesar das modernas soluções de prevenção. Como resultado, o foco está cada vez mais em tecnologias que servem para descobrir rapidamente ataques em andamento - NDR (Network Detection & Response). Inteligência artificial - IA - e aprendizado de máquina - os sistemas baseados em ML desempenham um papel importante aqui.
No entanto, como esses termos costumam ser confundidos e o tema "AI & ML" ainda é um livro fechado para muitas empresas, Andreas Riepen, chefe da Europa Central e Oriental da Vectra AI, chega ao fundo de três questões fundamentais.
Panacéia ou arma voltada para empresas?
Um dos mitos mais difundidos decorre diretamente das posições extremas assumidas no debate sobre a eficácia da IA e ML como soluções de segurança cibernética. Em um extremo está o argumento de que IA e ML são a panacéia para todos os problemas relacionados à segurança cibernética. No outro extremo está o argumento de que IA e ML não desempenham nenhum papel na segurança cibernética. Infelizmente, a verdade real é muito menos manchete e menos facilmente citada pelos departamentos de marketing. O fato é que AI e ML por si só não são uma panaceia para o seu Security Operations Center (SOC). Abandonar IA e ML, no entanto, deixaria seu SOC tateando no escuro em uma ampla gama de ataques atuais e futuros. É fácil ver por que esse é o caso.
As soluções que não utilizam IA ou ML não conseguem acompanhar o cenário em constante mudança das técnicas e ferramentas do invasor. Outro problema (potencialmente mais sério) é o fato de que existem certas tarefas que simplesmente não podem ser realizadas apenas por humanos. Por exemplo, os humanos são incapazes de observar uma série temporal de fluxos de tráfego de rede criptografados para prever qual deles pode conter um comando oculto e um canal de controle. Esse tipo de tarefa requer soluções de IA e ML que vão além das capacidades humanas.
As soluções de IA e ML precisam ser melhores
Por outro lado, soluções que usam apenas técnicas gerais de IA e ML, desenvolvidas sem contexto de segurança e especificidade de domínio, tendem a simplesmente procurar por anomalias estatísticas em um ambiente. Essas próprias anomalias provavelmente são bastante comuns, embora seja muito improvável que qualquer uma delas seja maligna. Isso leva ao aumento da atenção e dos custos operacionais e desvia a atenção dos comportamentos reais dos invasores, que geralmente são projetados para parecer inofensivos. Confiar cegamente em soluções de segurança cibernética baseadas em construções genéricas de IA e ML é como tentar encontrar uma agulha em um palheiro adicionando mais feno primeiro.
Outro mito que continua a se perpetuar é a noção de que a IA ofensiva representa a maior ameaça a um ambiente. Embora existam novas ameaças do uso de IA no ciberespaço (por exemplo, usar IA para gerar texto humano confiável para campanhas de phishing e criar falsificações, como previmos há alguns anos), a noção de que sistemas baseados em IA estão sendo usados atualmente para fins Os ataques completos são simplesmente separados da realidade. Qualquer pessoa que venda um produto de segurança para o cliente com a premissa de que os invasores de IA são sua principal ameaça, em vez de invasores humanos determinados e criativos, também pode ter uma solução alternativa que está tentando vender a você.
Déficits humanos em tarefas de segurança cibernética
As organizações veem a IA como uma oportunidade de eliminar completamente o déficit humano nas tarefas de segurança cibernética. Isso é realista? A resposta a esta pergunta depende em grande parte de como se interpreta a palavra fix. A escassez de especialistas em segurança cibernética e os riscos resultantes são inquestionáveis. Essa deficiência deve causar preocupação profunda e duradoura entre os envolvidos na segurança nacional e no planejamento econômico. Como nossas vidas dependem cada vez mais de sistemas digitais conectados, devemos encarar o fato de que criamos novas superfícies de ataque muito mais rapidamente do que treinamos especialistas para proteger esses sistemas.
Com isso em mente, é necessário apontar que IA e ML podem desempenhar um papel claro na desativação da situação. Em última análise, existem duas razões pelas quais esse é o caso: primeiro, AI e ML podem ser usados para reproduzir certos aspectos do comportamento humano. Em segundo lugar, AI e ML podem ser usados para ir além do que os humanos são capazes. No primeiro caso, é possível automatizar partes do fluxo de trabalho dos profissionais de segurança. No segundo caso, AI e ML podem ser usados para chamar a atenção dos especialistas para as ameaças reais, em vez de focar em comportamentos superficiais e inofensivos.
Em última análise, não há saída para a escassez de especialistas em segurança cibernética. Mais pessoas precisam ser treinadas nesta área. Ainda assim, IA e ML desempenharão um papel crucial para ajudar os especialistas a encontrar e remediar ameaças.
O que se deve saber sobre as diferenças entre IA e ML em sistemas de segurança?
A distinção entre IA e ML provavelmente se tornou tão confusa que tentar realmente separar os dois termos não é mais útil. Um caminho muito mais importante e frutífero para as empresas é se perguntar se o tipo de tecnologia em uma determinada solução está fazendo coisas que um ser humano sozinho não poderia fazer. Economiza tempo para um analista humano? Ou distrai dos ataques reais que o analista espera descobrir? Ficar atolado em saber se é ou não AI ou ML é semelhante a se preocupar se os submarinos flutuam ou não. Em última análise, tudo se resume a saber se a solução funciona ou não.
Mais em Vectra.ai
Sobre a Vectra A Vectra é uma fornecedora líder de detecção e resposta a ameaças para empresas híbridas e multinuvem. A plataforma Vectra usa IA para detectar rapidamente ameaças na nuvem pública, aplicativos de identidade e SaaS e data centers. Somente o Vectra otimiza a IA para reconhecer os métodos do invasor - os TTPs (Táticas, Técnicas e Processos) que fundamentam todos os ataques - em vez de simplesmente alertar sobre "diferentes".