IA e aprendizagem por máquina na segurança virtual — Como moldarão o futuro

Definição de IA, Aprendizagem por máquina e Aprendizado profundo em segurança virtual

A segurança virtual por IA, com o suporte da aprendizagem por máquina, será uma ferramenta avançada em um futuro próximo. Como em outros setores, a interação humana tem sido essencial e insubstituível na segurança. Embora a segurança virtual atualmente dependa bastante de entradas humanas, gradualmente vemos a tecnologia se tornar melhor do que nós em tarefas específicas.

Cada aprimoramento da tecnologia nos aproxima da superação de funções humanas de forma mais eficiente. Dentre esses desenvolvimentos, há algumas áreas de pesquisa que estão no cerne de tudo isso:

• A Inteligência artificial (IA) foi projetada para dar aos computadores a habilidade tortamente responsiva da mente humana. É a disciplina que aborda tudo, sob a qual recaem muitas outras, incluindo a aprendizagem por máquina e o aprendizado profundo.
• A Aprendizagem por máquina (ML) usa padrões de comportamento existentes, formando a tomada de decisões com base em dados e conclusões passados. A intervenção humana ainda é necessária para algumas mudanças. A aprendizagem por máquina possivelmente é a disciplina de segurança virtual por IA mais relevante no momento.
• O Aprendizado profundo (DL) funciona de modo parecido com a aprendizagem por máquina, tomando decisões com base em padrões passados, mas faz os ajustes por conta própria. Atualmente, o aprendizado profundo em segurança virtual recai no escopo da aprendizagem por máquina, de modo que focaremos principalmente na ML aqui.

O que a IA e a aprendizagem por máquina podem fazer pela segurança virtual

A IA e a segurança virtual têm sido apontadas como revolucionárias e estão muito mais perto do que se imagina. Entretanto, essa é apenas parte da verdade, que deve ser abordada com reservada expectativa. A realidade é que podemos nos deparar com melhorias relativamente graduais no futuro que está por vir. Em perspectiva, o que podemos ver como gradual em comparação com um futuro totalmente autônomo ainda é realmente um salto além do que fomos capazes no passado.

Conforme exploramos as implicações possíveis na segurança pela aprendizagem por máquina e IA, é importante enquadrar os atuais pontos de preocupação da segurança virtual. Existem muitos processos e aspectos que há muito tempo temos aceitado como normais e que podem ser cuidados sob a égide das tecnologias de IA.

Erro humano na configuração

O erro humano é uma parte significativa das debilidades da segurança virtual. Por exemplo, a devida configuração do sistema pode ser incrivelmente difícil de gerenciar, mesmo com grandes equipes de TI envolvidas na configuração. No decurso da inovação constante, a segurança de computadores tem se tornado mais repleta de camadas do que nunca. Ferramentas responsivas poderiam ajudar as equipes a encontrar e mitigar os problemas que aparecem quando os sistemas de rede são substituídos, modificados e atualizados.

Considere como uma infraestrutura de Internet mais recente, como a computação em nuvem, pode ser empilhada sobre estruturas locais mais antigas. Em sistemas corporativos, uma equipe de TI precisará assegurar a compatibilidade para proteger esses sistemas. Processos manuais para avaliar a segurança da configuração podem fazer com que as equipes se sintam fatigadas pelo infindável equilíbrio de atualizações com as tarefas cotidianas de suporte. Com uma automação inteligente e adaptável, as equipes poderiam receber orientação oportuna sobre problemas recém-descobertos. Eles seriam orientados sobre opções para prosseguir ou mesmo ter sistemas implementados para ajustar as configurações automaticamente conforme necessário.

A eficiência humana em atividades repetitivas

A eficiência humana é outro ponto de preocupação dentro do setor de segurança virtual. Nenhum processo manual é perfeitamente repetido a cada vez, especialmente em um ambiente dinâmico como o nosso. A configuração individual de muitas máquinas endpoint de uma organização está entre as tarefas que mais consomem tempo. Mesmo após a configuração inicial, as equipes de TI se viram revisitando máquinas depois para corrigir configurações erradas ou desatualizadas que não podiam ser corrigidas por atualizações remotas.

Além disso, quando os funcionários recebem a tarefa de responder a ameaças, o escopo de tais ameaças pode mudar rapidamente. Onde o foco humano pode ser desacelerado por desafios inesperados, um sistema baseado em IA e em aprendizagem por máquina pode ser mover com um mínimo de atraso.

Fadiga de alerta de ameaças

A fadiga de alerta de ameaças dá às organizações outro ponto fraco, se não for lidada com cautela. As superfícies de ataque estão aumentando, conforme as camadas de segurança mencionadas anteriormente se tornam mais elaboradas e distribuídas. Muitos sistemas de segurança são ajustados para reagir a muitos problemas conhecidos com uma barreira de alertas puramente reflexivos. Como resultado, esses avisos individuais fazem com que as equipes humanas tenham que analisar as possíveis decisões e agir.

Um alto influxo de alertas torna esse nível de tomada de decisão um processo especialmente desgastante. Por fim, a fadiga da decisão se torna uma experiência diária para o pessoal de segurança virtual. O ideal é uma ação proativa para essas ameaças e vulnerabilidades identificadas, mas muitas equipes carecem de tempo e de pessoal para cobrir todas as bases.

Ocasionalmente, as equipes devem se decidir a confrontar as maiores preocupações primeiro e deixar os objetivos secundários de lado. Usar a IA nos esforços de segurança virtual pode permitir às equipes de TI gerenciar mais dessas ameaças de modo eficaz e prático. Confrontar cada uma dessas ameaças pode ser muito mais fácil se for em lote por uma rotulagem automatizada. Além disso, algumas preocupações podem realmente ser capazes de ser lidadas pelo próprio algoritmo de aprendizagem por máquina.

Tempo de resposta a ameaças

O tempo de resposta a ameaças está absolutamente entre as métricas mais importantes da eficácia de uma equipe de segurança virtual. Da exploração à implementação, sabe-se que os ataques maliciosos passam rapidamente. No passado, os atores de ameaças costumavam vasculhar as permissões de rede e desarmar a segurança lateralmente por algumas semanas a fio antes de lançar seu ataque.

Infelizmente, os especialistas no espaço de defesa virtual não foram os únicos a se beneficiar das inovações tecnológicas. Desde então, a automação tem se tornado um lugar mais comum nos ataques virtuais. Ameaças como os recentes ataques do ransomware LockBit têm acelerado os tempos de ataque consideravelmente. Atualmente, alguns ataques podem se mover em apenas meia hora.

A resposta humana pode se retardar por trás do ataque inicial, mesmo em tipos de ataques conhecidos. Por esse motivo, muitas equipes têm cada vez mais frequentemente se envolvido em reações a ataques bem-sucedidos do que na prevenção de tentativas de ataques. Na outra extremidade do espectro, ataques não descobertos são um perigo por si só.

A segurança assistida por ML pode puxar dados de um ataque, agrupando e preparando-os imediatamente para análise. Isso pode proporcionar às equipes de segurança virtual relatórios simplificados para tornar o processamento e tomada de decisões um trabalho mais limpo. Indo além dos simples relatórios, esse tipo de segurança também pode oferecer uma ação recomendada para limitar ainda mais danos e prevenir ataques futuros.

Identificação e previsão de novas ameaças

A identificação e previsão de novas ameaças serve como outro fator que impacta os cronogramas de respostas a ataques virtuais. Como notado anteriormente, o tempo e retardo já ocorre com ameaças existentes. Tipos de ataques, ferramentas e comportamentos desconhecidos podem iludir ainda mais uma equipe, levando a reações lentas. Pior, ameaças mais silenciosas, como roubo de dados, às vezes podem passar completamente despercebidas. Uma pesquisa da Fugue de abril de 2020 revelou que cerca de 84% das equipes de TI estavam preocupadas com o fato de seus sistemas com base na nuvem serem hackeados sem o seu conhecimento.

A constante evolução dos ataques levando a explorações de "dia zero" é sempre uma preocupação subjacente aos esforços de defesa de rede. Mas, felizmente, os ataques virtuais não são geralmente feitos do zero. Sendo que muitas vezes eles são construídos sobre comportamentos, estruturas e códigos fontes de ataques anteriores, a aprendizagem por máquina segue caminho pré-existente para trabalhar.

A programação baseada em ML pode ajudar a destacar as semelhanças entre a nova ameaça e ameaças identificadas anteriormente para ajudar a detectar um ataque. Isso é algo que os humanos não podem fazer efetivamente em tempo hábil e destaca ainda mais que os modelos de segurança adaptativa são necessários. Desse ponto de vista, a aprendizagem por máquina também pode facilitar para as equipes prever novas ameaças e reduzir o tempo de atraso devido ao aumento da conscientização de ameaças.

Capacidade de pessoal

A capacidade de pessoal recai no escopo de problemas contínuos que afetam muitas equipes de TI e de segurança virtual globalmente. Dependendo das necessidades de uma organização, o número de profissionais qualificados pode ser limitado.

Entretanto, a situação mais comum é que a contratação de ajuda humana também pode custar às organizações uma boa parte de seu orçamento. O suporte à equipe humana requer não apenas a remuneração pelo trabalho diário, mas também o fornecimento de assistência em suas necessidades contínuas de educação e certificação. Manter-se atualizado como profissional de segurança virtual é exigente, especialmente no que diz respeito à perpétua inovação que continuamos a mencionar ao longo da discussão até agora.

As ferramentas de segurança baseadas em IA podem assumir a liderança com uma equipe menos densa para compô-la e suportá-la. Embora essa equipe precise se manter atualizada com as áreas de vanguarda de IA e aprendizagem por máquina, a economia de custo e de tempo acompanhará os menores requisitos de pessoal.

Adaptabilidade

A adaptabilidade não é uma preocupação tão óbvia quanto o outro ponto mencionado, mas pode mudar drasticamente as habilidades de segurança de uma organização. As equipes humanas podem não ter a capacidade de personalizar seu conjunto de habilidades de acordo com seus requisitos especializados.

Se a equipe não for treinada em métodos, ferramentas e sistemas específicos, você poderá descobrir que a eficácia da equipe é prejudicada. Mesmo necessidades aparentemente simples, como a adoção de novas políticas de segurança, podem ocorrer lentamente com equipes baseadas em seres humanos. Isso não é nada mais do que a natureza humana, já que não podemos aprender novas maneiras de fazer as coisas instantaneamente e levamos tempo para isso. Com os conjuntos de dados certos, algoritmos bem treinados podem ser transformados para ser uma solução sob medida especificamente para você.

Como a IA é usada na segurança virtual

A inteligência artificial em segurança virtual é considerada um superconjunto de disciplinas, como a aprendizagem por máquina e a segurança virtual por aprendizado profundo, mas tem sua própria função a cumprir.

A IA, em sua essência, está concentrada no “sucesso” com “precisão”, com menos peso. O objetivo final são respostas naturais na elaboração da solução de problemas. Em uma verdadeira execução de IA, são tomadas decisões independentes reais. Sua programação é projetada para encontrar a solução ideal em uma situação, ao invés de apenas a conclusão lógica do conjunto de dados.

Para explicar melhor, o ideal é entender como a IA moderna e suas disciplinas subjacentes funcionam atualmente. Os sistemas autônomos não estão dentro do escopo de sistemas amplamente mobilizados, especialmente no campo da segurança virtual. Esses sistemas autodirecionados são o que muitas pessoas geralmente associam à IA. No entanto, os sistemas de IA que ajudam ou ampliam nossos serviços de proteção são práticos e disponíveis.

A função ideal da IA na segurança virtual é a interpretação dos padrões estabelecidos por algoritmos de aprendizagem por máquina. Obviamente, ainda não é possível para a IA moderna interpretar os resultados com as habilidades de um humano. Tem-se trabalhado para ajudar a desenvolver esse campo na busca de estruturas semelhantes às humanas, mas a verdadeira IA é um objetivo distante que requer que as máquinas adotem conceitos abstratos em situações para reformulá-las. Em outras palavras, esse nível de criatividade e pensamento crítico não está tão próximo quanto os rumores sobre a IA gostariam que você acreditasse.

Como a aprendizagem por máquina é usada na segurança virtual

As soluções de segurança de aprendizagem por máquina são diferentes do que as pessoas imaginam ser da família da inteligência artificial. Dito isso, são facilmente as ferramentas de IA de segurança virtual mais fortes que temos até o momento. No escopo dessa tecnologia, os padrões de dados são usados para revelar a probabilidade de um evento ocorrer — ou não.

A ML é um tanto oposta à verdadeira IA em alguns aspectos. A aprendizagem por máquina é baseada principalmente na “precisão”, mas não tão focada no “sucesso”. Isso significa que a ML prossegue com a intenção de aprender com um conjunto de dados focado em tarefas. Terminando por encontrar o desempenho ideal de uma determinada tarefa. Ela buscará a única solução possível com base nos dados fornecidos, mesmo que não seja a ideal. Com a ML, não há uma verdadeira interpretação dos dados, o que significa que essa responsabilidade ainda recai sobre as forças-tarefa humanas.

A aprendizagem por máquina é excelente em tarefas tediosas, como identificação e adaptação de padrões de dados. Os seres humanos não são adequados para esses tipos de tarefas devido à fadiga da tarefa e a uma tolerância geralmente baixa à monotonia. Portanto, embora a interpretação da análise de dados ainda esteja em mãos humanas, a aprendizagem por máquina pode ajudar a enquadrar os dados em uma apresentação legível e pronta para dissecação. A segurança virtual de aprendizagem por máquina apresenta algumas formas diferentes, cada uma com seus próprios benefícios exclusivos:

Classificação de dados

A classificação de dados funciona usando regras predefinidas para atribuir categorias a pontos de dados. Rotular esses pontos é parte importante da construção de um perfil sobre ataques, vulnerabilidades e outros aspectos da segurança proativa. Isso é fundamental para a interseção da aprendizagem por máquina e segurança virtual.

Clusters de dados

Os clusters de dados pegam os desvios da classificação de regras predefinidas, colocando-os em coleções de “clusters” de dados com características compartilhadas ou recursos singulares. Por exemplo, isso pode ser usado ao analisar dados de ataque para os quais um sistema ainda não foi treinado. Esses clusters podem ajudar a determinar como um ataque aconteceu, bem como o que foi explorado e exposto. 

Cursos de ação recomendados

Os cursos de ação recomendados ampliam as medidas proativas de um sistema de segurança de ML. São recomendações baseadas em padrões de comportamento e decisões anteriores, fornecendo cursos de ação naturalmente sugeridos. É importante reafirmar aqui que essa não é uma tomada de decisão inteligente feita por uma verdadeira IA autônoma. Em vez disso, é uma estrutura de conclusão adaptável que pode alcançar pontos de dados preexistentes para concluir relacionamentos lógicos. Respostas a ameaças e riscos de mitigação podem ser amplamente auxiliadas por esse tipo de ferramenta.

Síntese de possibilidades

A síntese de possibilidades permite a síntese de novas possibilidades com base em lições de dados anteriores e novos conjuntos de dados desconhecidos. Isso é bastante diferente de recomendações, pois se concentra mais nas chances de uma ação ou no estado de um sistema em conformidade com situações anteriores semelhantes. Por exemplo, essa síntese pode ser usada para uma sondagem preventiva dos pontos fracos dos sistemas de uma organização.

Previsão preditiva

A previsão preditiva é a visão mais avançada dos processos do componente de ML. Esse benefício é alcançado ao prever possíveis resultados avaliando conjuntos de dados existentes. Isso pode ser usado principalmente para construção de modelos de ameaças, esboço de prevenção de fraudes e proteção contra violação de dados, e é um aglutinador de muitas soluções de endpoint preditivas.

Exemplos de aprendizagem por máquina em segurança virtual

Para explicar melhor, veja alguns exemplos que destacam o valor da aprendizagem por máquina no que concerne à segurança virtual:

Classificação e conformidade da privacidade de dados

Proteger sua organização contra violações das leis de privacidade provavelmente se tornou uma das principais prioridades nos últimos anos. Com o Regulamento Geral de Proteção de Dados (GDPR) à frente, outras medidas legais surgiram, como a Lei de Proteção ao Consumidor da Califórnia (CCPA).

O gerenciamento dos dados coletados de seus clientes e usuários deve ser feito conforme essas leis, o que geralmente significa que esses dados devem estar acessíveis para exclusão mediante solicitação. As consequências de não seguir essas legislações incluem multas pesadas, bem como danos à reputação da organização.

A classificação de dados pode ajudá-lo a separar os dados de identificação do usuário daqueles que são anônimos ou sem identificação. Isso evita o trabalho manual na tentativa de analisar grandes coleções de dados novos e antigos, especialmente em organizações grandes ou mais antigas.

Perfis de segurança de comportamento do usuário

Ao formar perfis personalizados sobre o pessoal de rede com base nos comportamentos do usuário, a segurança pode ser personalizada para se adequar à sua organização. Esse modelo pode, então, estabelecer como seria um usuário não autorizado com base nos desvios do comportamento do usuário. Características sutis, como toques no teclado, podem formar um modelo de ameaça preditivo. Com a descrição de possíveis resultados de comportamentos de usuários potencialmente não autorizados, a segurança da ML pode sugerir o recurso recomendado para reduzir as superfícies de ataque expostas.

Perfis de segurança de desempenho do sistema

Semelhante ao conceito de perfil de comportamento do usuário, um perfil de diagnóstico personalizado do desempenho de todo o computador pode ser compilado quando em estado íntegro. Monitorar o uso do processador e da memória junto com características como o alto uso de dados da Internet pode ser indicativo de alguma atividade maliciosa. Dito isso, alguns usuários podem usar regularmente grandes volumes de dados em uma videoconferência ou downloads frequentes de grandes arquivos de mídia. Ao aprender a aparência geral do desempenho da linha de base de um sistema, pode ser estabelecido como ele não deve ser, semelhante às regras de comportamento do usuário que mencionamos em um exemplo anterior de ML.

Bloqueio de bot baseado em comportamento

A atividade de um bot pode ser um dreno de largura de banda de entrada para sites. Isso é especialmente verdade para aqueles que dependem do tráfego de negócios com base na Internet, como aqueles com vitrines de e-commerce dedicadas e sem locais físicos. Os usuários autênticos podem ter uma experiência lenta, o que causa perda de tráfego e de oportunidades de negócios.

Ao classificar essa atividade, as ferramentas de segurança de ML podem bloquear a Web dos bots, independentemente das ferramentas usadas, como redes privadas virtuais que podem torná-los anônimos. Os pontos de dados comportamentais sobre as partes maliciosas podem ajudar uma ferramenta de segurança de aprendizagem por máquina a formar modelos preditivos em torno desse comportamento e bloquear preventivamente novos endereços da Web para exibir essa mesma atividade.

O futuro da segurança virtual

Apesar de todo o diálogo brilhante em torno do futuro dessa forma de segurança, ainda existem limitações a serem observadas.

A ML precisa de conjuntos de dados, mas pode entrar em conflito com as leis de privacidade de dados. O treinamento de sistemas de software requer muitos pontos de dados para construir modelos precisos, o que não combina bem com “o direito de ser esquecido”. Os identificadores humanos de alguns dados podem causar violações, portanto, possíveis soluções devem ser consideradas. As possíveis correções incluem obter sistemas para tornar os dados originais praticamente impossíveis de acessar, uma vez que o software tenha sido treinado. O anonimato de pontos de dados também está em consideração, mas isso deve ser examinado com mais detalhes para evitar distorcer a lógica do programa.

O setor precisa de mais especialistas em segurança virtual por IA e ML capazes de trabalhar com a programação nesse escopo. A segurança de rede de aprendizagem por máquina seria muito beneficiada com uma equipe que pudesse mantê-la e ajustá-la conforme necessário. No entanto, o pool global de indivíduos qualificados e treinados é menor do que a imensa demanda global por funcionários que podem proporcionar essas soluções.

Equipes humanas ainda serão essenciais. Por fim, o pensamento crítico e a criatividade serão vitais para a tomada de decisões. Como mencionei muito antes, a ML não está preparada nem é capaz de fazer isso, nem a IA. Para dar continuidade a este tópico, você terá que usar essas soluções para ampliar suas equipes existentes.

3 dicas para abraçar o futuro da segurança virtual

No caminho para a segurança por inteligência artificial, existem algumas etapas que você pode seguir para se aproximar do futuro:

1. Invista em manter o foco no futuro com sua tecnologia. Os custos de sofrer uma exploração devido a uma tecnologia desatualizada ou ao uso de trabalho manual redundante serão muito maiores conforme as ameaças se tornarem mais elaboradas. Ficar à frente da curva pode ajudar a mitigar alguns riscos. Ao usar soluções inovadoras, como o Kaspersky Integrated Endpoint Security, você estará mais preparado para se adaptar.
2. Complemente suas equipes com IA e ML, não as substitua. As vulnerabilidades ainda existirão, pois nenhum sistema no mercado é, hoje, à prova de falhas. Como até mesmo esses sistemas adaptáveis podem ser enganados por métodos de ataque inteligentes, certifique-se de que sua equipe de TI aprenda a trabalhar e oferecer suporte a essa infraestrutura.
3. Atualize rotineiramente suas políticas de dados para cumprir a legislação em constante evolução. A privacidade de dados se tornou um ponto focal para órgãos governamentais em todo o mundo. Como tal, permanecerá entre os principais pontos de preocupação para a maioria das empresas e organizações no futuro próximo. Certifique-se de seguir as políticas mais recentes.

Artigos relacionados:

• Vídeos falsos e deepfake – Como os usuários podem se proteger?
• O que é um honeypot? Como isso pode atrair ataques virtuais
• O que é violação de segurança?
• O que é segurança em nuvem?
• A tecnologia 5G é perigosa? - prós e contras das redes 5G