.
Recurso patrocinado O setor de segurança cibernética, agora rotineiramente atestado, está em meio a uma crise de habilidades de longo prazo.
De acordo com recente e amplamente citado (ISC)² Cybersecurity Workforce Study, a força de trabalho global de cibersegurança atingiu um recorde de 4,7 milhões de pessoas em 2022. O que parece bastante até você ler que ainda é 3,4 milhões a menos do que a organização acredita ser necessário para atender à demanda atual.
Embora os países que pagam salários mais altos estivessem em uma situação um pouco melhor, está claro que fechar até mesmo as lacunas modestas no número de trabalhadores não acontecerá rápida ou facilmente em nenhum lugar. Isso levanta a questão do que pode ser feito, se é que algo pode ser feito para resolver um déficit que se tornou um empecilho estrutural para um setor cujas fortunas importam consideravelmente para todos.
A solução do (ISC)² é treinar mais pessoas e levar mais a sério o planejamento de longo prazo para habilidades e qualificações. Isso é lógico, mas levará anos para ser alcançado em um setor de tecnologia que precisa de pessoas agora. E há o fato de que a escassez de habilidades em TI remonta à década de 1980. A indústria teve mais de três décadas para resolver suas deficiências de habilidades e parece não estar mais perto de encontrar uma solução hoje.
máquinas inteligentes
O que causou o déficit? Sem dúvida, o setor de tecnologia não tem treinado pessoas suficientes para o trabalho e tem atraído uma parcela muito pequena da população trabalhadora quando o fez. Os sinais e incentivos econômicos eram fracos. No entanto, há uma segunda e mais controversa visão de que muitos aspectos da segurança cibernética não podem mais ser executados com eficiência apenas por pessoas. Há simplesmente muito para saber – conhecimento que leva anos para adquirir – e muitas decisões para tomar, muito rapidamente.
Isso levou ao surgimento da automação de segurança cibernética, que é a ideia de que as máquinas agora são necessárias como auxiliares em uma ampla gama de tarefas. Um sintoma disso é a maneira como os recursos de ‘IA’ se tornaram uma parte padrão de todas as folhas de especificações da plataforma de segurança cibernética. Isso, afirma-se, economiza esforço humano – habilidades, se preferir – para outras tarefas mais importantes.
É um segredo aberto para onde isso pode estar indo; A IA acabará se tornando um sistema primário de segurança cibernética que não apenas ajuda, mas também realiza detecção e resposta a ameaças sem intervenção humana. A IA se tornará um sistema de segurança cibernética, assumindo a triagem de ameaças de uma maneira que corresponda ou até supere o que as equipes humanas de SOC podem fazer.
A ideia de máquinas inteligentes não é uma ideia nova, é claro. Uma empresa britânica fundada em 2013 para realizar seu potencial é a Darktrace, com sede em Cambridge. Para seus fundadores, o potencial da IA não era simplesmente melhorar as tecnologias estabelecidas, mas eventualmente substituí-las. Mesmo uma década atrás, era possível ver que as ameaças estavam superando as tecnologias defensivas e a disponibilidade de pessoas qualificadas para mantê-las.
Hoje, o que está consumindo habilidades é um enorme aumento na complexidade da segurança cibernética, argumenta o diretor de segurança corporativa da Darktrace, Ásia-Pacífico e Japão, Tony Jarvis. As organizações ficaram sobrecarregadas com ferramentas, com resultados previsíveis.
“Cada ferramenta adicional que eles colocam torna sua vida mais difícil do que fácil, porque agora você precisa gerenciar o treinamento e os recursos para executá-la e integrá-la a todas as outras ferramentas que eles possuem.”
Se você é uma pequena empresa, deseja simplicidade. Se você é uma empresa, deseja a mesma coisa, mas não acredita que algum dia a alcançará. Uma ameaça é detectada e as equipes de SOC devem seguir conforme ela se manifesta em vários sistemas. As equipes se veem perseguindo fantasmas nos sistemas, tentando desesperadamente descobrir o que é real e o que é um falso positivo.
“Nem tudo que é incomum será malicioso, mas quase tudo que é malicioso vai aparecer eventualmente como algum tipo de comportamento incomum”. diz Jarvis.
confirmação humana
Embora a abordagem baseada em IA da Darktrace às vezes tenha sido descartada como não comprovada, a súbita ascensão da IA à respeitabilidade durante 2022 parece ter mudado essa percepção. Agora, a empresa pode reivindicar legitimamente ser pioneira em algo que outros foram obrigados a seguir.
“Fomos formados desde o início como uma organização de IA que queria casar especialistas em inteligência de ameaças com pessoas da academia e da matemática”, explica Jarvis. “A crença sempre foi de que a maneira atual de fazer as coisas não estava funcionando.”
Depois de 2013, a Darktrace começou a construir uma coleção de ferramentas baseadas em IA que agora amadureceu em um ciclo de feedback completo que inclui prevenção, detecção, respostae recuperação de incidentes cibernéticos em rede, e-mail, nuvem, SaaS, pontos finaise tecnologia operacional (TO). A base desta plataforma é a ideia de detecção avançada de anomalias. Parece bastante simples: em vez de tentar detectar ameaças detectando sua assinatura ou padrão de ataque, procure as anomalias e eventos incomuns que correspondem ao comportamento da ameaça.
O conceito básico de detecção de anomalias existe há mais de 20 anos, mas sempre lutou com limitações subjacentes. Primeiro, você precisa estabelecer uma linha de base, o que é mais difícil do que parece. Há simplesmente muitos pontos de dados para filtrar, o que é difícil de avaliar sem acabar com falsos positivos. O que é uma anomalia em um contexto pode não ser em outro ou em outro momento. Por fim, há o fato de que os invasores agora visam contas legítimas por meio do comprometimento de credenciais para representar usuários genuínos. Esse acesso pode não aparecer como uma anomalia.
No entanto, Jarvis acredita que sempre há uma anomalia em algum lugar, se você conseguir encontrá-la. A chave é olhar longe e fundo o suficiente, e é aí que entra a IA.
“Começamos a procurar uma série de bandeiras vermelhas, como usuários fazendo coisas incomuns. Correlacionamos isso com outras coisas incomuns que aconteceram antes disso ser observado. Pode até estar em diferentes linhas do tempo, mas é aqui que começamos a juntar os pontos .”
Encontre a anomalia, encontre a ameaça
A segurança cibernética é capaz de detectar anomalias comportamentais há muito tempo, diz ele, mas sempre foi fortemente roteirizada. Ou seja, com base em suposições sobre a aparência das anomalias. Infelizmente, os melhores ataques de hoje são muito mais sofisticados do que isso e cada vez mais evitam comportamentos conhecidos.
O sistema Darktrace, por outro lado, usa modelos matemáticos que levam em conta um grande número de métricas para pontuar anomalias, identificando novos padrões que os sistemas convencionais não percebem. Fazer isso seria simplesmente impossível sem IA, afirma Jarvis. Em teoria, a IA usada dessa maneira deve tornar a análise SOC mais rápida, levando a detecções mais precisas. Mas isso elimina a necessidade de colocar pessoas e habilidades em todos os problemas? Para resolver isso, uma plataforma de segurança cibernética baseada em IA teria que realizar as tarefas realizadas pelos analistas SOC tradicionais, liberando os humanos para tomar outras decisões maiores.
Lançado em 2019, o Darktrace’s Analista de IA Cibernética (PDF) aborda esse problema de frente. Por um lado, economiza esforços ao automatizar inúmeras tarefas de triagem, enquanto, por outro, afirma que pode fazer o mesmo tipo de perguntas que um ser humano para testar uma hipótese. O conjunto de dados que ele usa para fazer esses julgamentos é baseado em um banco de dados de comportamentos de analistas cibernéticos humanos do mundo real.
“Vamos encontrar as coisas muito mais rapidamente. Não estamos contando com olhos olhando para telas”, diz Jarvis, que aponta para um estudo interno da Darktrace que estima que o tempo economizado em comparação com uma abordagem manual é de 92%.
É importante ressaltar que o sistema não é uma caixa preta, enfatiza ele, e se enquadra na categoria de ‘IA explicável’, que pode documentar a maneira como chegou a uma conclusão específica e os dados usados para fazer isso.
“Assim como acontece com um analista SOC humano, você pode ver o processo seguido”, diz Jarvis. “Nossa IA também pode ser usada para descobrir como um invasor pode penetrar em seus sistemas. Você pode fornecer essas informações a um testador de penetração para avaliar mais profundamente”.
Aquisição lenta
Onde Jarvis vê a IA da Darktrace indo em termos de tomada de decisão autônoma e a capacidade de dispensar a tomada de decisão humana é iminente? Atualmente existem três modos; modo somente detecção, que recomenda ações a serem executadas manualmente, mas não solicita permissão para executar essas recomendações por conta própria, modo de confirmação humana, em que o sistema se oferece para corrigir uma ameaça enquanto permite que um humano aprove uma decisão e um modo totalmente autônomo, onde a IA funciona de forma independente.
No momento, a maioria das organizações está em algum lugar no meio, mas contemplando um futuro que parece mais autônomo. Jarvis acredita que a IA autônoma será inicialmente implantada para combater ameaças extremas, onde o tempo de ação é crítico. Um exemplo de uma ameaça extrema pode ser infecções por ransomware que estão se espalhando mais rápido do que a detecção manual e as metodologias de resposta são capazes de contê-las.
A IA autônoma também verá maior aceitação em organizações menores sem número de funcionários de segurança cibernética e que lutam para triar ameaças avançadas. Para essas organizações (e seus provedores de serviços gerenciados), ter um sistema de IA para gerenciar tarefas complexas pode ser libertador. Em organizações maiores, o uso da IA levará mais tempo, pois eles reformulam os processos para máquinas e não para pessoas.
“É algo com o qual nos sentiremos mais confortáveis à medida que veremos como pode ser usado”, prevê Jarvis. “Mas estamos enfrentando ameaças de IA e a única maneira de nos manter atualizados é a segurança cibernética da IA”.
Patrocinado pela Darktrace.
.
