5 formas como a IA está a ser utilizada para melhorar a segurança: deteção de ameaças e inteligência

Tópicos:

31 mai. 2024

Recentemente, concluímos a nossa série sobre como os atores de ameaça utilizam tecnologias de inteligência artificial (IA) para melhorar e acelerar os seus ataques. Este post é o primeiro de uma série complementar sobre como a IA é utilizada em cibersegurança. Vamos começar esta série com deteção e inteligência de ameaças.

A deteção de ameaças e a inteligência de ameaças trabalham em estreita colaboração, mas têm papéis distintos. Vamos começar por ver o que são e como funcionam.

Deteção de ameaças

A deteção de ameaças é um processo automatizado que monitoriza continuamente redes, aplicações e outros sistemas empresariais em busca de atividades suspeitas ou incomuns que aparentem ser ameaças. Aqui estão alguns exemplos das ameaças e indicadores visados pela deteção de ameaças:

Ameaça: Acesso não autorizado

Indicadores:

Padrões de login invulgares ou tentativas de login a partir de uma localização invulgar. Isto pode ser reconhecido como preenchimento de credenciais, pulverização de palavras-passe, ou algum outro ataque baseado em credenciais.

Tentativas de escalar privilégios, aceder a recursos restritos ou mover-se lateralmente através de uma rede para aceder a sistemas e servidores. Os intrusos de sistemas frequentemente empregam técnicas de Living off the Land (LotL) ao usar ferramentas e utilitários de sistema legítimos para realizar estas manobras.

Ameaça: Malware, ransomware e outro software malicioso

Indicadores:

Execução de software desconhecido ou não aprovado ou mudanças súbitas em ficheiros na rede. Alterações em massa na integridade dos ficheiros podem ser resultado de uma falha no sistema ou de um ciberataque, por isso é provável que os sistemas de deteção de ameaças alertem para este tipo de atividade. Software não aprovado ou desconhecido apresenta um nível de risco desconhecido, pois pode ser qualquer coisa desde um binário de malware até a um leitor de media freeware. O sistema de deteção de ameaças pode ajudá-lo a entender o que está a acontecer na sua rede, para que possa ajustar as políticas de segurança ou configurações conforme necessário.

Alterações súbitas na configuração de segurança dos endpoints de rede, como firewalls a serem desativados e proteção antivírus a ser eliminada. Muitas variantes de ransomware incluem mecanismos para desativar a segurança do sistema e impedir a remoção do ransomware do sistema.

Ameaça: Comportamento de rede suspeito associado a muitos tipos de ameaças

Indicadores:

A digitalização e mapeamento não autorizados da rede são frequentemente precursores de um ataque. Isto é considerado reconhecimento de rede, o que geralmente indica um esforço para encontrar portas abertas, vulnerabilidades ou outros pontos de entrada potenciais. Os sistemas de deteção de ameaças geralmente sinalizarão qualquer digitalização abrangente da rede, seja uma digitalização interna ou baseada na internet da borda da rede.

Transferências grandes de dados ou picos invulgares no tráfego de rede geralmente indicam exfiltração ou roubo de dados. Picos no tráfego e no uso de recursos também podem indicar atividade de botnet, como criptomineração ou ataques de negação de serviço.

As capacidades de deteção de ameaças estão incluídas na deteção e resposta a endpoints (EDR), sistemas de deteção de intrusões (IDS) e tecnologias semelhantes. O uso eficaz destes sistemas ajudará as equipas de TI a identificar e mitigar incidentes de segurança nas fases iniciais.

Inteligência de ameaças

Os sistemas de inteligência de ameaças recolhem e analisam informações sobre ameaças e apresentam essas informações num formato acessível e acionável. As informações dos sistemas de inteligência de ameaças podem ser proprietárias de um fornecedor ou partilháveis num formato aberto para todos os sistemas e partes interessadas. A inteligência de ameaças ajuda as pessoas a compreender o panorama das ameaças e a identificar ameaças emergentes, o que, por sua vez, pode informar os orçamentos de segurança, decisões de compra, planos de pessoal, planeamento de continuidade de negócios e outras estratégias afetadas por ciberameaças.

Sistemas de inteligência recolhem dados de várias fontes:

A inteligência de código aberto (OSINT) refere-se a informações publicamente disponíveis. As fontes podem ser plataformas de redes sociais, meios de comunicação, registos públicos e sites governamentais, fóruns, blogs, e qualquer outra coisa definida como código aberto.

Monitorização da dark web: A dark web é uma parte da internet que não pode ser acedida sem software específico como The Onion Router para alcançar websites ocultos. A dark web é conhecida especificamente pela sua anonimidade e privacidade, e alberga muitos websites criminais como sites de vazamento de ransomware e fóruns de crime.

Inteligência Técnica (TECHINT): Este tipo de inteligência foca-se em aspetos técnicos como indicadores de compromisso (IoC), endereços IP maliciosos e táticas, técnicas e procedimentos (TTPs). A inteligência técnica provém de análises de malware, sandboxes, feeds de ameaças e relatórios, e outras fontes de dados técnicos. IDS, IPS e outros sistemas de deteção de ameaças por vezes utilizam este tipo de inteligência de ameaças.

Inteligência Humana (HUMINT): Fontes humanas fornecem contexto e perceções que podem não ser acessíveis através de fontes técnicas. Esta inteligência pode vir de informantes, vigilância, autoridades infiltradas ('encobertas') e colaboração com outras fontes de inteligência. Esforços globais como Operação Cronos são exemplos de inteligência humana partilhada entre grupos de aplicação da lei.

Partilha de sinais: Isto refere-se à partilha de informações sobre ameaças entre fornecedores de segurança, agências governamentais e outras partes interessadas da indústria. O 'sinal' pode ser qualquer inteligência humana ou técnica. Relatórios de resposta a incidentes e publicações de investigadores e analistas são partilhados juntamente com dados de telemetria e vulnerabilidades. A partilha de sinais aumenta significativamente a profundidade, precisão e oportunidade da inteligência sobre ameaças.

A inteligência de ameaças consiste em transformar dados brutos em algo que possamos usar para nos proteger. A IA tornou este processo muito mais poderoso.

O papel da IA na deteção de ameaças e inteligência

Os detalhes acima revelam que a deteção de ameaças e a inteligência se sobrepõem e se alimentam mutuamente, mas são entidades separadas com funções distintas. Note-se que nenhuma delas realiza resposta a incidentes (IR), que é uma função separada que exploraremos mais tarde nesta série. Muitas soluções de segurança incluirão todas estas funcionalidades com um painel de gestão centralizado que as faz parecer um único produto de segurança. É assim que Barracuda Cloud Control funciona, e é uma das razões pelas quais estas tecnologias avançadas são acessíveis a empresas de todos os tamanhos e orçamentos. São mais fáceis de usar e são acessíveis em termos de orçamento porque há tanta automação e orquestração a acontecer em segundo plano. O fornecedor pode escalar estas operações de forma económica e passar as poupanças para o cliente.

Agora, vejamos onde a IA é mais poderosa. Pode recordar-se de que existem vários subconjuntos de inteligência artificial, incluindo machine learning (ML) e inteligência artificial generativa (GenAI). Eis como o ML e o GenAI se relacionam com as funções que identificámos na deteção de ameaças:

Ameaça	Aprendizagem Automática	Inteligência Artificial Generativa
Acesso não autorizado	Deteção de Anomalias: Reconhece desvios do comportamento normal de login. Análise Comportamental: Monitoriza o comportamento do utilizador e do sistema para detetar atividades invulgares.	Simulação e Teste: Gera cenários de ataque sintéticos para testar o sistema de segurança. Geração de Cenários: Cria cenários de ataque hipotéticos que envolvem técnicas LotL.
Malware, ransomware e outro software malicioso	Monitorização da Integridade de Ficheiros: Acompanha alterações na integridade dos ficheiros e na execução de software para detetar anomalias. Monitorização de Configuração: Monitoriza continuamente as configurações de segurança para alterações súbitas que indiquem ransomware.	Simulação de Malware: Simula a execução de malware e software não aprovado para treinar sistemas. Simulação de Ataque de Ransomware: Simula ataques de ransomware para treinar os sistemas a reconhecê-los.
Comportamento de rede suspeito associado a muitos tipos de ameaças	Análise do Tráfego de Rede: Analisa o tráfego de rede para detetar atividades de varrimento e mapeamento não autorizadas. Análise de Tráfego: Monitoriza o tráfego de rede para identificar picos incomuns que indicam atividades maliciosas.	Simulação de Reconhecimento: Simula a varredura e mapeamento da rede para testar as capacidades de deteção. Geração de Dados Sintéticos: Cria cenários de grandes transferências de dados para testar sistemas de deteção.

Agora, faremos algo semelhante para a recolha e análise de inteligência:

Método

Aprendizagem Automática

Inteligência Artificial Generativa

Inteligência de Código Aberto (OSINT)

Agregação e Filtragem de Dados: Processamento de grandes quantidades de dados para identificar informações relevantes sobre ameaças.

Análise de Sentimentos: Analisar o sentimento nas redes sociais e fóruns.

Reconhecimento de padrões: Identificar padrões e anomalias em grandes conjuntos de dados.

Geração de Conteúdo: Simulação de potenciais cenários de ameaça.

Aumento de Dados: Gerar dados sintéticos para treino.

Sumarização automatizada: Criação de resumos concisos de relatórios e artigos.

Monitorização da Dark Web

Deteção de Anomalias: Identificação de atividades ou tendências incomuns.

Reconhecimento de Entidades: Extração e categorização de entidades de fóruns e mercados da dark web.

Análise Comportamental: Rastrear e analisar o comportamento do agente de ameaça.

Emulação de Ameaças: Simulação do comportamento de atores de ameaças.

Síntese de Conteúdo: Produzir relatórios e alertas detalhados.

Tradução e Interpretação: Traduzir e contextualizar informações da dark web.

Inteligência Técnica (TECHINT)

Análise de Malware: Classificação e análise de amostras de malware.

Deteção de Ameaças: Melhorar a deteção e resposta a ameaças em tempo real.

Análise Preditiva: Previsão de ameaças emergentes.

Geração Automática de Relatórios: Criação de relatórios técnicos detalhados.

Simulação de Ataques: Modelação e simulação de ciberataques.

Desenvolvimento de Ferramentas: Assistência no desenvolvimento de novas ferramentas de análise.

Inteligência Humana (HUMINT)

Correlação de Dados: Correlacionar dados de fontes humanas com outras fontes de inteligência.

Reconhecimento de Padrões: Identificação de padrões em dados fornecidos por humanos.

Insights preditivos: Utilização de dados históricos de HUMINT para prever ameaças futuras.

Geração de Cenários: Criar potenciais cenários de ameaça.

Processamento de Linguagem: Interpretar e resumir relatórios de inteligência.

Assistentes Interativos: Ajudar analistas com processamento e análise.

Partilha de Sinais

Integração de Dados: Integração e correlação de dados de ameaças de várias fontes.

Análises em tempo real: Processamento de sinais partilhados em tempo real.

Avaliação de Risco: Avaliação dos níveis de risco de sinais partilhados.

Geração de Relatórios: Automatização da criação de relatórios de incidentes e avaliações.

Plataformas Colaborativas: Melhorar plataformas colaborativas com resumos em tempo real. Melhoria da Comunicação: Aperfeiçoar a comunicação com resumos de inteligência acionáveis.

Em seguida, vejamos como tudo isto funciona em conjunto.

Como a deteção de ameaças e inteligência baseada em IA protege a sua empresa

Existem quatro grandes coisas a acontecer nos seus sistemas de deteção e inteligência de ameaças:

Análise preditiva: Esta operação tenta prever ameaças futuras analisando dados históricos de ameaças. Utiliza ML para aprender com grandes conjuntos de dados e identificar padrões complexos. O GenAI contribui para a análise preditiva ao usar dados históricos e sintéticos (falsos) para simular cenários de ataques futuros. Isto é útil para prever vetores de ameaças futuras e antecipar tendências de ataques.

Análise comportamental: Isto é semelhante à análise preditiva, mas está focado no comportamento do utilizador. Um comportamento de utilizador invulgar pode revelar potenciais ameaças que os protocolos de segurança standard não detetam. O machine learning automatiza a análise de dados e identifica anomalias que podem indicar uma ameaça de segurança. Estas anomalias podem ser muito subtis e facilmente ignoradas em revisões manuais. O GenAI modela comportamentos normais e anormais para melhorar a análise e distinguir melhor entre atividades inofensivas e maliciosas. A análise comportamental ajuda os sistemas de deteção a identificar ameaças internas e a identificar contas comprometidas.

Deteção de anomalias: Este componente monitoriza a rede em busca de padrões ou comportamentos invulgares que se desviem da norma. O ML melhora o sistema ao aprender com dados conhecidos e ajustando-se a novos tipos de anomalias ao longo do tempo. O GenAI cria anomalias sintéticas para melhorar os modelos de deteção e tornar o sistema mais resiliente a novas ameaças. Ataques zero-day e padrões de login invulgares podem ser detetados aqui.

Reconhecimento de padrões: Como pode esperar, isto identifica padrões ou estruturas regulares nos dados, o que ajuda a classificar e detetar tipos conhecidos de ciberameaças. O machine learning automatiza este processo e melhora a precisão do reconhecimento. O GenAI cria novos padrões de simulações de ataque para melhorar o aprendizado. Isto pode ser utilizado para classificar tipos de malware, identificar relações de atores de ameaças ou reconhecer campanhas de spear-phishing.

Um sistema de segurança que utiliza deteção automática de ameaças e inteligência pode melhorar significativamente a segurança da sua empresa. A inteligência torna o sistema mais inteligente. A deteção de ameaças procura constantemente ameaças atuais ou potenciais, e a automação mantém os processos de segurança consistentes em toda a empresa. Infelizmente, os cibercriminosos já estão a usar IA contra si, e precisa de usar sistemas alimentados por IA para se defender.

Barracuda pode ajudar

A Barracuda fornece uma plataforma de cibersegurança abrangente que utiliza segurança baseada em IA para defender todos os principais vetores de ataque presentes nas ameaças complexas de hoje. Visite www.barracuda.com para saber mais sobre os nossos produtos de segurança e proteção de dados premiados.

Sabia que ...

A Barracuda publicou um novo e-book intitulado Securing tomorrow: A CISO’s guide to the role of AI in cybersecurity. Este e-book explora os riscos de segurança e expõe as vulnerabilidades que os criminosos cibernéticos exploram com a ajuda da IA para escalar os seus ataques e melhorar as suas taxas de sucesso. Obtenha a sua cópia gratuita do e-book agora mesmo e veja todas as últimas ameaças, dados, análises e soluções por si mesmo.

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

Junte-se à nossa comunidade no Reddit!