A Inteligência Artificial (IA) e o aprendizado de máquina (ML, Machine Learning) já viraram assuntos recorrentes. No evento Infosecurity Europe deste ano, foi difícil encontrar fornecedores que não promovessem seus próprios recursos como a melhor e maior solução do mercado. Em um cenário assim, é difícil não ver essas tecnologias como apenas mais uma tendência do setor, em meio a uma vasta lista que inclui UTM, IDS, EDR, ambientes de área restrita e tantas outras. Só que elas são muito mais do que isso. Além de mudarem a indústria de cibersegurança, a IA e o ML representam uma transformação no contexto das ameaças.

Estamos prestes a passar por um período turbulento, e vamos precisar do melhor que a IA pode oferecer para nos proteger de ataques cada vez mais sofisticados e eficazes.

Velocidade e habilidade

A IA é um bom exemplo do famoso conceito da faca de dois gumes: uma tecnologia igualmente disponível para trabalhar a favor de invasores e defensores. Segundo pesquisa divulgada no ano passado, 87% dos profissionais de cibersegurança dos EUA estão usando algum tipo de IA, mas 91% receiam que hackers manipulem essa tecnologia contra eles. Há mais de uma década, a Trend Micro usa o aprendizado de máquina em seus produtos para melhorar a detecção de spam, calcular a reputação da web e muito mais.

Então, como a IA pode contribuir para as práticas de white hat?

Essencialmente, ela é capaz de compreender comportamentos habituais e de identificar padrões nos dados da rede e nos feeds de inteligência contra ameaças, detalhes que passariam despercebidos pelos olhos humanos. Com isso, os analistas podem reagir ou automatizar a detecção e a resposta a ameaças. Essa capacidade ganha ainda mais importância diante da atual situação de escassez de recursos com competências técnicas de segurança nas empresas. Ano passado, afirmou-se que o Reino Unido está “chegando ao fundo do poço” em termos de conhecimento técnico, já que os profissionais mais velhos se aposentam sem que novos talentos ingressem na área. A previsão global é de que o déficit de profissionais alcance a marca de 1,8 milhão até 2021.

Analistas de segurança são recursos caros e difíceis de encontrar. Portanto, ao automatizar a detecção de ameaças com a IA, você concentra o tempo dos analistas em tarefas mais estratégicas e, consequentemente, melhora a eficácia da sua postura de segurança cibernética. Quando o assunto é detecção de ameaças, a velocidade também é essencial. Quanto mais tempo um invasor acessar a sua rede, mais dados ele poderá extrair e maior será o custo da violação. Estima-se um custo médio de £ 2,7 milhões no Reino Unido atualmente, com um tempo médio (absurdo) de 163 dias para identificar uma violação. A IA pode reduzir consideravelmente esse tempo de permanência.

A velocidade também é importante para identificar ameaças de ransomware, que agem cada vez mais rapidamente para criptografar os arquivos essenciais das organizações. O aprendizado de máquina pode detectar incoerências e mudanças sutis no modus operandi do malware que criptografa seus arquivos. Sem isso, a influência do malware simplesmente passaria despercebida.

O uso do aprendizado de máquina antes da execução pode, inclusive, ajudar as empresas a bloquearem arquivos mal-intencionados antes mesmo que eles tenham a chance de infectar a organização. Lidar com falsos positivos é desafiador às vezes. Por conta disso, essas ferramentas costumam ser usadas em conjunto com análises de tempos de execução para confirmar que o elemento bloqueado realmente é indesejado.

O objetivo é compor um sistema de segurança cibernética com ferramentas de IA que possam aprender com o passar do tempo, como uma criança que cresce e amadurece. Essas ferramentas desenvolvem padrões, incorporando feedbacks das análises de ameaças em um ciclo virtuoso que garante a melhoria contínua.

O lado negativo

Por outro lado, a IA tem um potencial enorme para uso mal-intencionado. As tecnologias de IA já poderiam ter causado ataques cibernéticos inigualáveis e violações muito mais impactantes. Basta ver o exemplo do WannaCry: mesmo com toda a repercussão mundial e ainda que tenha interrompido um terço das operações do Serviço Nacional de Saúde da Inglaterra, ele falhou como malware. Por ser muito perceptível, o WannaCry chamou a atenção dos pesquisadores de segurança logo após ser implantado, o que frustrou a tentativa de obtenção de um ROI decente para seus desenvolvedores.

Esse problema poderia ser corrigido com IA. Ao instalar ferramentas de aprendizagem na rede do alvo, os invasores poderiam analisar o comportamento dos usuários e determinar padrões, além de entender o tráfego de rede, os protocolos de comunicação e mapear a empresa. Com isso, ficaria muito mais fácil transitar lateralmente de dentro da organização até os usuários ou dados sem levantar a menor suspeita.

O trabalho de engenharia social também fica muito mais simples com ferramentas de IA, que podem ajudar a entender o estilo de escrita dos usuários e o contexto de suas comunicações. Pense no processo de análise de um documento: um hacker poderia monitorar toda a comunicação entre funcionários remotos e injetar um malware em determinado documento na hora certa, enviando um e-mail com a linguagem e o estilo de escrita perfeito para convencer o destinatário a abrir a mensagem. Seria um nível de spear-phishing sem precedentes, um tipo de ataque que até mesmo especialistas teriam dificuldade em identificar. E mais: isso poderia ser feito em grande escala e de forma altamente automatizada, assim como a IA pode servir para ajudar cibercriminosos a desenvolverem malware a fim de enganar as ferramentas atuais.

Deveríamos nos preocupar?

O mercado já tem tecnologias prontas e imediatas que poderiam servir a propósitos maliciosos. Por exemplo, imagine um ataque de cibersegurança em uma sala de reuniões usando uma das ferramentas sintetizadoras de voz do Google. Outras tecnologias de IA poderiam servir para ler textos e selecionar os trechos de maior relevância para os invasores. Ainda não surgiram ferramentas de IA desenvolvidas exclusivamente para hacking, mas isso vai mudar com o tempo. Basta o modelo de tecnologia como serviço democratizar essas ferramentas na dark web e pronto, elas aparecerão.

Em muitos aspectos, a IA pode ser considerada uma corrida armamentista cibernética por debaixo dos panos. A única forma de lidar com a inevitável onda de ferramentas e práticas de black hat criadas para burlar os filtros de segurança e aumentar a sofisticação do phishing é pagar na mesma moeda. No fim das contas, uma coisa é certa: será uma batalha e tanto.

*Bharat Mistry é Líder em Estratégias de Segurança da Trend Micro