Existem dois tipos de ataques cibernéticos: tentativas oportunistas automatizadas de penetrar em uma rede e ataques direcionados de ameaças persistentes avançadas (APT). Os primeiros são a maioria e a inteligência artificial (IA) pode bloquear automaticamente a maioria deles. Mas atrás de um APT muitas vezes há pessoas. A defesa contra esses ataques no nível da rede requer especialistas em IA e segurança.
Os hackers são identificados pela primeira vez por vestígios de seu malware na rede. No entanto, esses padrões de tráfego anômalos são facilmente perdidos na massa de informações. Deixados por conta própria, o gerente de TI humano fica sobrecarregado quando se trata de reconhecê-los.
Reconhecer é uma coisa, embora
A inteligência artificial dá uma contribuição importante para a defesa, detectando anomalias no tráfego de dados em tempo real com base em metadados e, em seguida, soando o alarme para desencadear reações defensivas. De acordo com os especialistas da Splunk, a IA e as defesas cibernéticas automatizadas podem detectar automaticamente 90% dos incidentes de segurança de nível 1 e iniciar a correção.
A questão permanece: e os XNUMX% restantes? Como os perpetradores humanos geralmente estão por trás de ataques complexos, tanto a lógica humana quanto o julgamento humano ao analisar informações são essenciais para uma defesa à prova de futuro.
Valor agregado por meio de analistas de segurança de TI humanos
Nenhuma defesa cibernética pode mais ficar sem IA. Mas os observadores humanos ainda oferecem uma vantagem importante:
1. IA e inteligência humana se complementam
A IA otimizada com aprendizado de máquina (ML) e inteligência de ameaças pode analisar grandes quantidades de informações rapidamente e sem erros. O especialista em segurança de TI se baseia nisso e interpreta os padrões de tráfego de dados. Ao mesmo tempo, ele dirige a defesa usando processos testados e comprovados. Devido ao seu conhecimento da empresa e de TI, ele também é um importante treinador de IA. Aqui ele acelera a definição de transmissões de dados normais e, portanto, legítimas - entre outras coisas, marcando sistemas críticos de segurança de TI. Também leva em consideração informações que não são visíveis no tráfego da rede: se, por exemplo, os dispositivos estão disponíveis, mas não são gerenciados centralmente, ou se uma empresa estabelece uma nova sede, o que explica as consultas com endereços IP incomuns até então apontar. Ou quando implementa novas tecnologias, aplicações e, portanto, sistemas.
2. Avalie as informações no contexto
A inteligência artificial é uma abordagem estatística. Como reconhecer, defender e prevenir perigos requer conexões que vão além dos dados individuais, as pessoas e sua capacidade de julgamento desempenham um papel importante. O conhecimento concreto da empresa ajuda, por exemplo, quando um provedor de serviços de TI contratado por uma empresa repentinamente atua em uma sub-rede para a qual não tem nenhum pedido. Mesmo que o padrão de tráfego de dados pareça normal no início, exceder as competências pode indicar um provedor de serviços de TI comprometido e deve ser verificado.
3. Antecipe os próximos movimentos do hacker
Ameaças Persistentes Avançadas Complexas (APT) ainda são criadas pelo homem. Por trás dos ataques de phishing a pessoas importantes na empresa, geralmente não há spambots, mas profissionais de engenharia social humana que acessam a Internet por meio de um anexo de e-mail direcionado. A IA então reconhece que um invasor humano está adulterando a rede. As táticas individuais do hacker não são refletidas nos indicadores estatísticos. Para antecipar os próximos passos do invasor, um analista de segurança experiente pode se colocar no lugar do hacker e antecipar seus próximos movimentos.
4. Avalie a motivação geral do perpetrador
Uma defesa cibernética deve considerar os motivos de um criminoso. Nem todo invasor deseja roubar dados, criptografá-los e receber um resgate. Os hackers têm motivos diferentes: o sequestro de recursos para minerar bitcoins, talvez uma sabotagem com motivação política ou pessoal, ou simplesmente o desejo de destruir. Assim, uma defesa não deve apenas proteger os dados ou fechar vazamentos de informações. Uma resposta sustentada requer uma compreensão da psicologia humana.
5. Segurança relevante e priorizada em vez de mecanismos de defesa automática
Um analista de segurança de TI prioriza riscos individualmente para uma empresa. A escolha da defesa depende do contexto: são dados recuperáveis que podem não ter mais valor para a empresa ou para as tão citadas joias da coroa? A IA não pode responder às perguntas resultantes sobre uma defesa adequada à situação, dada a relevância dos dados ou processos para o sucesso dos negócios.
Além disso, o analista está de olho em ataques típicos do setor. Se os hackers estiverem atacando o varejista eletrônico X com malware, não se pode descartar que eles tentarão o concorrente Y e Z posteriormente. Uma IA que só fica de olho em sua própria rede só vê esse risco se for suportada por inteligência de ameaças atualizada.
6. Lidere as defesas e evite danos colaterais
🔎 Analistas de IA e segurança trabalham juntos para proteger as defesas contra ataques perigosos (Imagem: ForeNova).
Uma IA tem grandes vantagens em reconhecer um perigo e pode iniciar automaticamente uma defesa. No entanto, toda defesa tem efeitos colaterais e pode prejudicar a TI ou os processos de negócios. A defesa pode não ser menos complexa e consequente do que o APT. Os analistas de segurança são, portanto, muito procurados aqui porque podem considerar e pesar as consequências das ações. A experiência humana pode evitar danos colaterais injustificáveis, como bloquear o acesso a prédios controlados por IoT ou sistemas de TI em enfermagem.
Ao acompanhar um ataque, um analista de segurança tem um importante papel consultivo. Usando uma gravação espelhada de toda a rede, ele pode entender forense o que aconteceu e como futuros ataques podem ser evitados.
Especialistas em IA e segurança dependem uns dos outros
Segurança de TI sem IA é coisa do passado. No entanto, o especialista em segurança não se tornará supérfluo. Ele permanece relevante como um intérprete contínuo de alarmes, como supervisor em situações de crise e como consultor de segurança de TI à prova de futuro. Cada "Detecção e Resposta" é idealmente complementada por uma "Detecção e Resposta Gerenciadas".
Mais em ForeNova.com
Sobre a ForeNova A ForeNova é uma especialista em segurança cibernética com sede nos EUA que oferece a empresas de médio porte Detecção e Resposta de Rede (NDR) acessíveis e abrangentes para mitigar com eficiência os danos causados por ameaças cibernéticas e minimizar os riscos comerciais. A ForeNova opera o centro de dados para clientes europeus em Frankfurt a. M. e projeta todas as soluções compatíveis com GDPR. A sede europeia fica em Amsterdã.