Atualmente, os agentes de ameaças cibernéticas estão se apoiando em novas ferramentas e técnicas para melhorar a eficiência de seus ataques. Com os ataques aumentando em velocidade, agilidade e sofisticação, é fundamental maximizar as abordagens de inteligência artificial e aprendizado de máquina para se defender contra técnicas de ataque em evolução.
Nesta sessão de perguntas e respostas, Derek Manky e Jonas Walker, do FortiGuard Labs, discutem o cenário de ameaças em constante mudança e o papel da inteligência artificial e do aprendizado de máquina no combate às ameaças cibernéticas atuais.
Derek: Estamos vendo mudanças semanais impulsionadas por três fatores principais.
> Primeiro, estamos vendo mais velocidade e velocidade pode matar. Costumamos falar sobre o fato de que há mais sofisticação e mais ameaças por aí. Sabemos disso, mas o que estamos vendo agora é que há uma peça de agilidade aqui. As ameaças estão entrando em um sistema, atingindo os alvos, exfiltrando dados, exigindo resgate e saindo de um sistema, muito mais rápido que o normal. Isso inclui invasores capitalizando novas vulnerabilidades, tanto de dias zero quanto de n dias. Esse é um dos elementos mais preocupantes é o tema da velocidade quando se trata do ataque.
> A segunda coisa que estamos vendo é mais agressão. Você pode imaginar quando você combina tudo isso, você obtém uma mistura ainda mais potente, certo? Este é o problema. Sim, há mais velocidade, mas também há mais agressividade. Isso inclui os temas de extorsão dupla, extorsão tripla e ataques direcionados que estamos vendo também.
> Terceiro, é sobre as táticas, as cartilhas. Existem abordagens mais táticas e ataques de dois estágios que estamos vendo depois de fazer reconhecimento de informações, incluindo informações provenientes de trabalhos de mídia social, por exemplo. Além de tudo que falamos antes, ainda estamos vendo mais volume. Tudo isso se traduz em mais risco.
Jonas: Se olharmos para as técnicas, táticas, procedimentos (TTPs) e o aspecto da cartilha, na verdade temos uma perspectiva geral sobre isso. Estamos analisando dados reais em um nível muito granular. Há muitos desenvolvimentos, mas a evasão de defesa é uma das principais técnicas que estão sendo focadas pelos atacantes. Existem 42 técnicas diferentes associadas a isso.
Em 2022, o malware do limpador foi muito mais ativo do que nos últimos anos, o que se relaciona com o tema da agressão. Este é um malware destrutivo que está acabando com os discos rígidos e os registros mestres de inicialização dos sistemas. Estamos começando a ver isso se ligando também ao mundo da extorsão. Não estamos falando apenas de dados em risco, mas de infraestrutura de sistemas em risco agora.
Outro padrão de ataque popular tem como alvo firmwares. Os ataques de firmware podem ocorrer por vários vetores, desde malware e rootkits até discos rígidos infectados, unidades corrompidas e produtos de firmware inseguros. Os hackers não precisam tocar fisicamente em um dispositivo para realizar um ataque. Eles podem fazer isso por meio de conexões remotas, como Bluetooth e Wi-Fi. Isso significa que o crescente mercado de dispositivos conectados, como consoles de jogos, telefones celulares e televisão, está se tornando cada vez mais vulnerável a hackers de firmware.
Derek: É importante distinguir as diferenças e todas elas são necessárias. Primeiro, você tem no nível básico – automação . Considere um feed de ameaças com inteligência de ameaças e com políticas sendo aplicadas. Sem isso, as organizações estariam perdidas, francamente. Por exemplo, estamos respondendo a 100 bilhões de ameaças por dia com o FortiGuard Labs, e a maioria é automatizada. A automação é em grande parte para ajudar com o volume de detecções e políticas necessárias em velocidade, reduzindo o tempo de reação e descarregando tarefas mundanas dos analistas de SOC.
Onde o aprendizado de máquina e a IA entram em ação são para as ameaças desconhecidas. A questão aqui é: como você fica à frente da curva? A IA é a peça de ação, enquanto o aprendizado de máquina ( ML ) é a peça de aprendizado. O aprendizado de máquina funciona em modelos e cada aplicativo pode usar um modelo diferente. O aprendizado de máquina para ameaças da Web é totalmente diferente do aprendizado de máquina para malware de dia zero. As organizações precisam ser capazes de fazer tudo isso para proteger efetivamente contra vários vetores de ataque. Ao utilizar machine learning e IA, você reduz drasticamente os riscos. Além disso, você está descarregando os custos do seu modelo OpEx, já que não precisa contratar uma solução para o problema.
Jonas: A outra parte disso é a conversa sobre lacunas de habilidades. O aprendizado de máquina percorre um longo caminho não apenas para substituir, mas para preencher essas lacunas. Sabemos que há uma escassez na força de trabalho globalmente, não apenas em segurança cibernética, é claro, mas especificamente em segurança cibernética, como você aborda essa lacuna? Faz sentido contratar de 20 a 30 pessoas em seu NOC ou SOC – e mesmo que você tenha a capacidade de fazer isso – você consegue encontrar as pessoas? É aqui que as soluções de aprendizado de máquina podem oferecer suporte a funcionários qualificados. Uma abordagem integrada, como uma malha de segurança, é muito poderosa.
Derek: Durante minhas conversas com CISOs, eles costumam dizer: “Derek, você sabe que estou sobrecarregado, há muitos ataques por aí, muitas informações, como simplificamos isso?” A inteligência de ameaças acionável é a resposta para isso. A rede e a segurança estão convergindo e é por isso que você precisa ter inteligência de ameaças acionável e serviços de assinatura de segurança vinculados a isso. Ser capaz de detectar e responder a ameaças é a primeira prioridade e entender o cenário de ameaças. Essencialmente, você precisa de todos os três trabalhando em harmonia juntos: automação e orquestração, IA/ML e caminhos de escalonamento para analistas de SOC em itens que foram escalonados como de alta prioridade.
Jonas: A segmentação de redes é algo que eu recomendo como uma abordagem prática muito eficaz para reduzir o risco, porque muitas dessas ameaças podem penetrar potencialmente em um sistema de dispositivo. Se você segmentá-lo, ele não poderá se espalhar e atingir outros sistemas e criar mais tempo de inatividade.
Derek: Com base nisso, confiança zero e ZTNA são um grande tópico hoje em dia. Há muitas coisas acontecendo nas redes, dispositivos entrando e saindo, aplicativos entrando e saindo, etc. A ideia de que nada deve ser confiável inerentemente pode aumentar significativamente a segurança, em vez disso, deve-se ganhar confiança. Além disso, a simulação de violação e ataque e ter um plano com antecedência é fundamental. Costumamos dizer: “Não é uma questão de se, mas quando, haverá um ataque”. Sim, você deve fazer todo o trabalho de preparação, mas, ao mesmo tempo, ter um plano de jogo.
Jonas: Educação de funcionários e treinamento de segurança é algo que deve ser implementado ao lidar com ameaças cibernéticas, é claro. Os funcionários costumam ser a primeira linha de defesa em muitos casos.