A versatilidade dos modelos de aprendizagem de máquina e aprendizagem profunda (machine learning e deep learning) não pode ser subestimada. Embora empresas como a OpenAI e a Microsoft estejam criando soluções do tipo "chatbot" e existam muitos projetos com inteligência artificial generativa, a verdade é que a mesma tecnologia pode ser usada de forma muito mais autônoma e focada em questões práticas.

Quando o assunto é segurança da informação, nem sempre temos desafios criativos. Em vez disso, os problemas são de natureza analítica. Muitos dados precisam ser organizados, associados e interpretados, seja na gestão de risco, na priorização de mitigações ou na resposta a incidentes.

Da mesma forma que os Large Language Models (LLMs) são capazes de identificar as probabilidades do uso das palavras e formar os textos e conversas de um chatbot, ela também pode relacionar as temáticas e palavras-chave que são comuns no mundo da segurança. Alguns exemplos:

• Números identificadores CVE (vulnerabilidades) — só em 2022, foram 25.082 CVEs;
• Identificadores de táticas, técnicas e procedimentos (MITRE ATT&CK);
• Notícias, relatórios e outros fatores relevantes atribuídos a agentes maliciosos (threat actors);
• Nomes de fornecedores de software e hardware usados no ambiente corporativo ou no ambiente de home office dos colaboradores (roteadores, sistemas operacionais, smartphones, aplicações, software como serviço, nuvem, aplicações de mensagens...)

A relevância de cada uma dessas informações pode ser ajustada no modelo, permitindo que o resultado do levantamento de dados seja personalizado. Com o tempo, essa aprendizagem do modelo tende a deixar as análises da IA mais em sintonia com as necessidades da empresa.

Correlacionar dados rapidamente

A capacidade da inteligência artificial de relacionar dados rapidamente pode transformá-la em uma analista de insights diários que podem contribuir com a tomada de decisão. A Axur já vem desenvolvendo uma solução nesta linha, a Polaris.

A Polaris será um guia para apoiar os gestores na priorização de tarefas, além de fornecer um resumo do que é mais importante para o mercado da empresa e para o ecossistema de tecnologias do qual ela faz parte. 

Algumas empresas podem ter uma necessidade maior de acompanhar ataques que atingem serviços de nuvem pública e software como serviço (SaaS), enquanto outras têm uma complexa infraestrutura on-premises. O desafio é semelhante, mas a relevância atribuída aos fatos não será a mesma. A Polaris tem uma lista de espera para ser testada em breve. Para se juntar à lista, escreva para contato@axur.com.

De forma similar, a IA pode contribuir na resposta a incidentes. Muitas vezes, um analista pode estar diante de uma atividade de um threat actor conhecido, mas vincular essa atividade nem sempre é fácil. Uma IA poderia contribuir com essa tarefa, procurando casos semelhantes e dando ao analista algumas sugestões que ele poderia avaliar para identificar o invasor.

Aliás, a IA pode ajudar a correlacionar dados coletados por open-source intelligence (OSINT) e outras fontes.

Aprimorar detecções

A inteligência artificial também é usada na pesquisa de imagens na web. É ela que está por trás de tecnologias que reconhecem rostos, elementos e outros objetos nas fotos. No mundo da segurança e da prevenção de fraude, o reconhecimento de padrões por meio da IA abre muitas possibilidades:

• Melhorar o reconhecimento de marca e detectar usos indevidos, incluindo perfis falsos em redes sociais ou menções em fóruns criminosos;
• Interpretar linguagem natural para analisar arquivos de áudio e vídeo, evitando que a análise desse material se torne dispendiosa ou lenta;
• Detectar e bloquear comportamentos suspeitos no acesso a dados.

A vantagem é que a detecção não precisa ser apenas baseada em comportamentos previamente categorizados como suspeitos ou em anomalias, como as soluções tradicionalmente fazem. Em vez disso, a IA pode avaliar se um padrão corresponde ao hábito do usuário e registrar eventos quando a correspondência for muito baixa.

Nos Estados Unidos, uma ordem executiva da administração Biden propôs o uso da inteligência artificial para melhorar a segurança de sistemas de infraestrutura crítica por meio de uma série de ações envolvendo o uso dessa tecnologia para detectar fragilidades.

Priorizar alertas

O aprimoramento das detecções muitas vezes vem acompanhado de um efeito colateral: sobrecarregar as equipes responsáveis pela cibersegurança. É um problema conhecido como alert fatigue.

Normalmente, esse cenário deixaria os gestores de segurança em um dilema. Ampliar a equipe para dar conta do número maior de eventos é bastante complicado – seja por causa do custo ou pela dificuldade de encontrar mão de obra qualificada. Por outro lado, reduzir a sensibilidade dos sensores de alerta pode prejudicar a visibilidade sobre um incidente em andamento.

Felizmente, os modelos de inteligência artificial podem ser ajustados para priorizar os alertas ou referenciar diversos eventos gerados por sensores distintos. Dessa forma, a equipe de segurança pode se aproveitar do ganho de visibilidade e deixar que a IA priorize eventos.

A IA também pode ser capaz de automatizar parte do trabalho de resposta a incidentes, permitindo que os analistas humanos cuidem dos casos em que a adaptabilidade do raciocínio humano é indispensável.

Combater o abuso da própria IA

É preciso lembrar que os criminosos virtuais também tentam tirar proveito das inovações tecnológicas. Isso também vale para a inteligência artificial.

Um dos principais exemplos disso é a geração de phishing com IA. Um criminoso pode gerar centenas de variações de uma mesma narrativa falsa, dificultando a detecção da mensagem maliciosa em filtros tradicionais.

A IA pode ser uma aliada para combater esse tipo de iniciativa. Embora ainda seja cedo para dizer exatamente como o cibercrime pretende empregar a tecnologia, é bastante provável que as empresas que puderem contar com alguma solução de IA em seu repertório tornem-se as primeiras a detectar essas ameaças.