.
Recurso patrocinado O que os ursos e os cibercriminosos têm em comum? Ambos são assustadores e ambos têm o mesmo efeito nas equipes de segurança.
Hanah-Marie Darley passou anos estudando o efeito das ameaças no cérebro humano. Agora, chefe de pesquisa de ameaças na empresa de segurança cibernética Darktrace, ela usa sua formação em psicologia para entender como os profissionais de segurança cibernética lidam com as ameaças recebidas. Uma coisa que ela descobriu é que o cérebro é construído para eficiência. “Ele está sempre procurando maximizar os recursos e minimizar a tomada de decisões porque requer muito processamento cognitivo.”
Quando confrontado com uma situação estressante como encontrar um urso mal-humorado, o cérebro coloca sua energia exatamente onde é necessário. Ele extrai sangue do córtex frontal (que toma decisões lógicas) para a amígdala, um aglomerado de neurônios profundamente arraigado que toma decisões viscerais. “Isso significa que você está operando no modo de luta, fuga ou congelamento e não consegue tomar decisões ponderadas”, adverte Darley.
Viver em sua amígdala fazia todo o sentido para nossos ancestrais. Eles não precisavam refletir sobre as nuances das estratégias de fuga dos ursinos ou conversar para sair de uma situação. Eles só precisavam de seus cérebros para fazer suas pernas se moverem muito rapidamente.
Quando lutar, fugir ou congelar nos leva ao erro
O problema é que a sociedade humana evoluiu muito mais rapidamente do que o cérebro. Os analistas de segurança que se deparam com situações estressantes, como invasões de ransomware, se comportam da mesma forma que seus ancestrais neandertais, mas com um pouco menos de resmungo. Seus cérebros mudam do modo lógico para o modo de luta ou fuga, diz Darley.
Pernas que se movem rapidamente raramente são necessárias em um centro de operações de segurança (SoC), porque os analistas estão, na maioria das vezes, sentados. O que eles precisam é de seus circuitos lógicos, porque esses problemas são altamente matizados. A amígdala não só não é necessária, mas também é um obstáculo, porque também é a parte do cérebro que faz a maior parte do nosso processamento emocional. Emoção é a última coisa que você quer no banco do motorista quando suas ações estão caindo, o helicóptero que você pilota perde potência ou você acaba de descobrir um programa desconhecido que exclui dados de terminais sem permissão.
O cérebro, no entanto, é o pequeno órgão que poderia. Não desiste. Em vez disso, ele faz o melhor que pode nessa situação, usando o aparato de tomada de decisão mais eficiente possível no modo de luta ou fuga.
Esses mecanismos de raciocínio reduzidos são conhecidos como vieses cognitivos. “São apenas caminhos que seu cérebro cria para tomar decisões rapidamente, porque é um organismo eficiente”, diz Darley.
visão de túnel
O viés cognitivo é como a visão de túnel. Ele bloqueia grandes áreas de cognição para focar no que o cérebro vê como as opções mais prováveis. Isso é ótimo em situações em que a ameaça e os parâmetros da decisão são claros. Se você enfrentar um urso, fugir é a decisão mais óbvia. Durante um ataque de phishing, porém, os parâmetros são mais complexos. Nessas situações, os vieses cognitivos podem levá-lo na direção errada, cegando-o para todas as possíveis decisões que você poderia tomar.
“É importante considerar a psicologia humana do ponto de vista da equipe de segurança, porque todos nós temos vieses cognitivos”, explica Darley. “Você está tomando decisões ponderadas rapidamente, então não está considerando uma ampla gama de ideias”, diz ela. “Isso significa que assim que você encontrar um modelo, você o aplicará a essa decisão.”
Esses vieses cognitivos estão embutidos em nosso pensamento e aparecem em todos os lugares. “Um ótimo exemplo é o viés de confirmação”, diz Darley. Digamos que você tenha lido muito sobre o malware Emotet ultimamente. O cérebro agrupa as coisas em categorias e depois tende a procurar a categoria que é mais óbvia para ele. Entradas recentes – como muitos artigos do Emotet – tendem a trazer essa categoria à tona. “Quando você olha para sua próxima ameaça e descobre, consciente ou inconscientemente, que ela começa a se parecer com um malware, provavelmente procurará o Emotet mesmo que não perceba”, explica ela.
Há muito mais desses vieses afetando as equipes de segurança. O viés de atenção nos leva a focar em algumas coisas sem prestar atenção em outras. Qualquer pessoa que não consegue se lembrar de como voltou do trabalho para casa porque estava repassando uma conversa anterior em sua cabeça foi vítima disso. Os profissionais de segurança geralmente têm grandes quantidades de informações de log à sua disposição e não podem consumir tudo, o que significa que devem escolher o que digerir. Isso os torna altamente propensos ao viés de atenção, o que é mortal, porque ursos moonwalking são os piores. Outro é o desvio de bicicletas, também conhecido como a lei da trivialidade de Parkinson – concentrar-se demais em questões mais simples em detrimento das mais difíceis e complexas.
Essas tendências inatas podem levar a resultados de segurança operacional incorretos e pioram com a fadiga, aponta Darley. “Tomamos decisões piores no final do dia, e muitas vezes, o ransomware ataca às 17h,” ela diz.
Como o viés cognitivo afeta as estratégias
O viés cognitivo também cobra seu preço nos níveis tático e estratégico, ela adverte. Ela se lembra de uma organização com a qual lidou que estava revisando onde gastar seu orçamento de segurança cibernética.
A empresa investiu um pouco na detecção de endpoints e na atualização de seu sistema de gerenciamento de eventos e informações de segurança (SIEM). No entanto, a equipe de gerenciamento estava preocupada em detectar novas ameaças e se proteger contra ataques de dia zero, levando-a a investir principalmente na contratação de pesquisadores de ameaças e software de inteligência de ameaças. No meio do ano, a empresa se viu no meio de um ataque de phishing que comprometeu dez dispositivos em seu departamento jurídico. Os invasores obtiveram 5 GB de dados confidenciais.
“Há muita reestruturação interna que precisa acontecer depois de um acordo como esse”, diz Darley. Mas, em vez de investir mais em ferramentas de detecção de endpoint, antiphishing ou gateway de e-mail, a equipe de gerenciamento se concentrou ainda mais na caça às ameaças.
“Isso foi uma mistura de viés de confirmação e alguns outros vieses”, explica Darley. “Em vez de deixá-lo informá-los e mudar e dinamizar sua estratégia de segurança, os fez dobrar.”
Como o aprendizado de máquina pode ajudar
Como a IA pode nos ajudar a superar esses vieses cognitivos? O aprendizado de máquina pode analisar o tráfego de rede e identificar anomalias ou comportamentos suspeitos que possam indicar um ataque cibernético. O algoritmo pode interpretar eventos abrangendo infraestrutura e atividades do usuário, até mesmo examinando metadados de e-mail para obter uma visão holística da atividade online.
“Se você aplicou IA a um problema de segurança cibernética, pode obter soluções baseadas em evidências que podem mostrar qual ameaça é empiricamente a maior para sua organização”, diz Darley.
A IA pode coletar e interpretar todas as evidências que a infraestrutura puder oferecer. Não cansa e não deixa que vieses cognitivos atrapalhem.
Darley enfatiza que isso não sinaliza o fim do profissional de cibersegurança humano. A IA pode ser um assistente útil e imparcial que pode aliviar o estresse que coloca as equipes em modo de luta ou fuga.
“Isso tira um grande elemento de tomada de decisão das mãos da equipe humana, o que lhes dá espaço cerebral ideal para desestressar um pouco e voltar com a lógica.”
Um assistente imperturbável
Por exemplo, no meio de um compromisso, um agente autônomo de tomada de decisão pode tomar decisões críticas sobre contenção. A equipe de segurança humana não precisa decidir se coloca um sistema em quarentena ou até onde essa quarentena deve se estender. O sistema pode fazer uma recomendação para a equipe ou até mesmo executar a recomendação automaticamente. “Eles podem pensar mais sobre o quadro mais amplo com o qual estão lidando e como o compromisso os afetará.” Darley diz.
Ao reorientar sua atenção para essas decisões estratégicas, os profissionais de segurança cibernética podem contar com evidências qualitativas, destiladas pela IA, para informar seu pensamento. Isso mais uma vez os liberta do viés cognitivo.
“Quando você usa o máximo de métricas e dados possível, você se afasta do viés cognitivo porque não está operando por instinto”, explica Darley. “Você está operando apenas com dados, o que é muito mais difícil de argumentar.”
As ferramentas de IA são adaptáveis, aprendendo com ataques anteriores e padrões comportamentais para observar com mais precisão as coisas que se desviam da norma. Isso torna muitos aplicativos de IA menos propensos a vieses, porque, em vez de procurar padrões maliciosos do passado, ele procura coisas que estão fora da norma antes de se aprofundar nelas para entender o que está acontecendo.
O viés cognitivo está enterrado profundamente no código do nosso cérebro e não podemos mudar esse algoritmo facilmente. Pode ser um trunfo em algumas situações mais simples, mas em outras, como ambientes técnicos complexos, devemos trabalhar duro para dominá-lo. Darley vê que a IA é a voz sussurrante no ouvido do profissional de segurança; o assistente gentil que apresenta um ponto de vista alternativo baseado em fatos concretos, ajudando a nos orientar corretamente. Em um ambiente onde as ameaças estão em maior volume do que nunca, isso pode ser um divisor de águas para os defensores.
Patrocinado pela Darktrace.
.
