João Sequeira
Num contexto de rápida evolução da cibersegurança, a inteligência artificial surge como um formidável aliado e um potencial inimigo. À medida que as ameaças digitais se tornam mais sofisticadas e omnipresentes, a integração da inteligência artificial nas práticas de cibersegurança já não é um ideal futurista, mas uma realidade necessária. As capacidades da IA de melhorar a capacidade de deteção de ameaças e automatizar a resposta a incidentes, tornaram-se parte integral dos centros de operações de segurança (SOCs) e estão a revolucionar os mecanismos de defesa. No entanto, são estas mesmas tecnologias que também armam os ciberatacantes com ferramentas para criarem estratégias mais enganadoras e eficazes, tais como phishing gerado por IA e malware adaptável, e com uma barreira de entrada muito mais baixa.
Segundo um estudo da ISC de fevereiro de 2024, 88% dos profissionais de cibersegurança acredita que a inteligência artificial irá impactar o seu trabalho agora ou num futuro próximo e 35% destes disse já ter sentido os seus efeitos. Neste mesmo estudo, é também revelado que 75% dos profissionais de cibersegurança mostrou-se moderadamente ou extremamente preocupado com a utilização da inteligência artificial para ciberataques. Esta dupla face da Inteligência Artificial apresenta desafios complexos para os profissionais de cibersegurança, exigindo uma abordagem equilibrada que tire proveito das novas capacidades da IA de forma segura e eficaz e que, ao mesmo tempo, proteja contra a sua utilização indevida.
A integração de inteligência artificial em sistemas de deteção de ameaças permite a utilização de algoritmos de aprendizagem e de reconhecimento de padrões sofisticados para uma melhor deteção e resposta a incidentes. Estes sistemas analisam vastas quantidades de dados de rede, comportamentos dos utilizadores e incidentes passados para aprender a detetar ameaças com uma precisão e rapidez fora do alcance de analistas humanos. Muitas destas ferramentas usam mecanismos de aprendizagem não supervisionada, onde aprendem o comportamento “normal” dos utilizadores, conseguindo assim detetar rapidamente novas ameaças que tipicamente iludem sistemas tradicionais baseados em assinaturas.
Para além de detetar ameaças, a inteligência artificial permite otimizar significativamente a resposta a incidentes, tanto em tempo como na qualidade da resposta. Ao permitir automatizar a resposta a um incidente, é possível que esta seja feita numa janela temporal muito mais curta do que se dependesse de um analista. Esta rápida capacidade de resposta torna-se crucial para minimizar o impacto dos ataques ao reduzir o tempo que os atacantes se encontram ativos nos sistemas. Sistemas apoiados por IA podem automaticamente isolar arquiteturas comprometidas, corrigir alguma vulnerabilidade de segurança existente e até comunicar diretamente com as diversas partes interessadas.
A IA num centro de operações de Segurança (SOC) não se restringe apenas aos sistemas de identificação e resposta automatizada (SOAR), aumentando as capacidades e apoiando os analistas através da automação de algumas tarefas, simplificação de outras e capacidades analíticas avançadas. Ferramentas orientadas por inteligência artificial dotam os analistas de segurança num SOC com elevadas capacidades analíticas e de correlação de eventos, permitindo-lhes lidar de forma eficaz com ameaças complexas. Existem certamente situações onde uma ferramenta guiada por inteligência artificial não será capaz de remediar totalmente a situação de forma automática, mas guiam o analista e fornecem suporte durante a sua resolução do problema propondo diversas ações a tomar ou a necessidade de escalar o problema para, por exemplo, 2ª linha.
Um dos pontos mais falados onde os cibercriminosos têm estado a modificar a sua forma de abordar as vítimas é nas campanhas de phishing, onde as capacidades da Inteligência Artificial podem criar mensagens muito mais convincentes. A capacidade dos sistemas de IA de analisar vastas quantidades de dados e copiar estilos de comunicação tem revolucionado este tipo de ataques. Utilizando capacidades de processamento de linguagem natural e machine learning, um atacante pode agora criar ataques cientes do contexto da empresa-alvo e com um estilo idêntico ao das fontes legitimas. Estas capacidades não só aumentam o sucesso das campanhas de phishing como permitem que cibercriminosos com menos skills e com esforço mínimo consigam efetuar estes ataques, mesmo em línguas que não tenham qualquer conhecimento.
Outra área onde se tem visto um recente avanço significativo é nas ferramentas de penetration testing assistidas por IA. Estas são hoje capazes de efetuar tarefas para as quais antes eram necessários penetration testers com experiência. Estes sistemas procuram vulnerabilidades nas redes numa escala e velocidade muito superiores ao que um humano consegue. Além disso,podem automaticamente explorá-las e usar as máquinas comprometidas para ganharem acesso a novas redes e novos sistemas. Assim, é fácil para um cibercriminoso com acesso a estas ferramentas conseguir uma escala de ataques sem precedentes e com uma barreira de entrada muito mais baixa.
Num estudo recente da Universidade do Illinois Urbana-Champaign, os investigadores conseguiram usar o GPT-4 para criar exploits para 87% das vulnerabilidades “1-day” testadas. Quando uma vulnerabilidade é divulgada para um sistema e segue-se um processo de “divulgação responsável”, geralmente já existe um patch disponível para corrigi-la. No entanto, muitos administradores de sistemas de TI não conseguem aplicar esses patches imediatamente devido a várias razões. Isso significa que com essas novas capacidades, um atacante pode criar rapidamente um exploit para uma vulnerabilidade recém-divulgada e lançar um ataque antes que as equipas tenham tempo de aplicar as correções necessárias nos seus sistemas.
Além de ataques diretos, um outro ponto que pode ser explorado por agentes maliciosos são as cadeias de fornecimento. Sabemos que os Large Language Models como ChatGPT, entre outros, muito usado pelos programadores para ajudá-los a desenvolver as aplicações, apresentam uma forte tendência para “alucinar”. Neste caso, um destes sistemas pode inclinar-se a fornecer nomes de bibliotecas que não existem. E um atacante pode tirar proveito disto, criando uma biblioteca com esse nome nos diversos repositórios públicos, conseguindo assim infiltrar o seu código em diversas aplicações que poderão chegar a sistemas em produção.
A integração da inteligência artificial na área da cibersegurança significa uma mudança radical na batalha entre os atacantes e os defensores. Não se trata apenas de apontar como a IA está a revolucionar a forma como protegemos os nossos ativos com melhorias na deteção de ameaças, automatização de respostas a ataques e fornecendo suporte aos Security Operations Centers (SOCs). A IA está também a dotar os atacantes de novas ferramentas que baixam a barreira de entrada e tornam os seus ataques muito mais eficazes. Este duplo uso das ferramentas baseadas em IA evidencia a necessidade de uma abordagem cuidada que nos permita explorar as suas capacidades, enquanto mitigamos o seu potencial para ser abusada.
Deve haver um foco no desenvolvimento da regulamentação para a utilização ética da inteligência artificial e a promoção do desenvolvimento contínuo dos profissionais de cibersegurança. Seguindo isto, podemos manter-nos um passo a frente, assegurando o nosso futuro digital contra ameaças cada vez mais sofisticadas. O caminho da IA na cibersegurança é complexo e põe diversos desafios, mas com ações ponderadas e informadas, esta é uma batalha que pode ser vencida.
João Sequeira é Diretor de Secure e-Solutions da GMV
