Inteligência Artificial na Cibersegurança

Aqui convém perceber os conceitos AI e ML, as suas diferenças e onde se cruzam. AI é um conceito mais abrangente, onde uma máquina simula e imita as funções cognitivas associadas ao pensamento e inteligência humana para ler, perceber, compreender tudo o que é captado pelos sensores por forma a resolver problemas e levar à tomada de decisões. ML é a capacidade de uma máquina aprender a partir de dados e identificar padrões e apresentar resultados, tudo de uma forma automática. Poderá dizer-se que o ML é uma das funcionalidades ou uma das componentes de AI.

Na sua generalidade os produtos e serviços de cibersegurança que fazem uso de AI, usam modelos de ML. Este modelo tem uma fase de treino, onde através da informação submetida, a máquina é direcionada para um veredito, que pode ser benigno ou maligno. Passada esta fase de aprendizagem, tira-se partido do ML através da leitura da informação, que pode levar à identificação de padrões e a produção de um veredito ou resultado. A constante realimentação do modelo de ML, seja através de novas aprendizagens seja através da validação dos resultados, vai levar a uma maior afinação deste modelo e a um menor número de falsos positivos.

Como exemplos de utilização de AI na cibersegurança, temos as plataformas cloud dos fabricantes que fazem análise de ameaças, tipicamente estas plataformas recebem diariamente informação proveniente de todo o mundo e em quantidades massivas, o que permite ter uma enorme fonte de dados para uma afinação contínua do modelo de ML. Nestas plataformas podemos falar de serviços de SIEM, SOC, EDR/XDR, Sandbox, deteção de phishing, ataques Web, deteção de ataques zero-day, etc. A correlação massiva de eventos e logs, que para um ser humano pode ser dantesca, para uma tecnologia de AI pode ser algo muito rápido e que permite reduzir o tempo de deteção e de decisão, levando a que um ataque seja prevenido quando acontece.

Da mesma forma que AI pode ser usada na cibersegurança e na defesa e proteção de sistemas, os atores maliciosos também podem fazer uso dessa AI. A perspetiva mais “tradicional” de AI é uso de um grande poder computacional para construir modelos e onde existe um tempo de aprendizagem que pode ser longo, no entanto esta perspetiva não seduz os atacantes maliciosos, uma vez que obriga a um investimento de tempo e dinheiro. No entanto o uso de ferramentas existentes de AI é uma possibilidade, sendo que não é novidade que certas ferramentas de AI não dão respostas diretas ao pedido de ações maliciosas, mas com alguma imaginação consegue-se obter a resposta pretendida. Outro exemplo seria um atacante malicioso ganhar acesso à fase de aprendizagem de uma ferramenta de AI e providenciar respostas contrárias, neste exemplo essa ferramenta de AI ia ser desviada para dar respostas erradas e vereditos que não levam à deteção de ameaças. Existindo ferramentas de AI em aprendizagem contínua, o que é aprendido fica na ferramenta, se por acaso houver um desvio e máquina for levado para o resultado errado, esse comportamento fica na ferramenta e esse desaprender pode levar o seu tempo ou ser mesmo impossível.

Em resumo a AI veio para ficar e a sua integração no mundo de cibersegurança já é uma realidade atual. Da mesma forma que se perspetiva que a deteção de ataques vai ser muito mais numerosa e rápida, a adaptação dos atacantes a este novo mundo também vai evoluir, pelo que a AI na cibersegurança além de ser uma realidade, vai ter de continuar e evoluir.

Inicialmente estava a pensar escrever o artigo via uma ferramenta de AI, mas não gostei do resultado, pelo que decidi escrever o artigo com a minha pesquisa. Eventualmente com afinação e várias iterações, o resultado podia ter sido mais satisfatório…

Conteúdo co-produzido pela MediaNext e pela CSO