Utilizada como uma aplicação de assistência a analistas, a IA generativa pode ajudar os programas de informação sobre ameaças em áreas como a recolha, análise e divulgação de dados.
Por Jon Oltsik (Opinião)
Atualmente, a IA generativa está em todo o lado: nos meios de comunicação social, na conferência RSA, nos anúncios dos fornecedores. Parece que toda a gente no lado da oferta da cibersegurança está a falar de IA generativa, mas não no lado da procura. Os profissionais de cibersegurança continuam céticos e a maioria dos CISO com quem falo não tem planos imediatos de implementação.
O que é que se passa aqui? Os profissionais céticos da cibersegurança já ouviram histórias semelhantes de “soluções milagrosas”. Lembram-se da previsão “O IDS está morto, o IPS é a nova norma” no início dos anos 2000? E o grande impulso dado ao controlo de acesso à rede (NAC) por volta de 2006 ou o burburinho em torno da análise comportamental de utilizadores e entidades (UEBA) em 2015-2016? Mesmo o recente furor em torno do XDR criou mais confusão entre os utilizadores finais do que um novo mercado robusto.
Para ser justo, a IA generativa está a dar os primeiros passos e muitos dos anúncios referiam-se a produtos que ainda estão em fase beta. Tendo isto em conta, é compreensível que muitos CISO estejam a adotar uma abordagem de “esperar para ver”, mas reparei que alguns CISO estão a analisar a retórica e a pensar em casos de utilização em que a IA generativa pode fazer uma verdadeira melhoria.
Potencial da IA generativa para a inteligência contra ameaças
Permitam-me que acrescente os meus dois cêntimos a este processo de pensamento. A IA generativa tem um potencial real para ajudar as organizações a melhorar a eficácia e a eficiência dos seus programas de informação sobre ameaças.
Porquê centrar-se na informação sobre ciberameaças (CTI)? Porque cada vez mais organizações se apercebem de que precisam de um programa de informação sobre ameaças, mas estabelecer, gerir e beneficiar da informação sobre ameaças pode ser difícil. Por exemplo, a pesquisa do ESG revela que 72% das organizações empresariais (ou seja, com mais de 1.000 funcionários) têm dificuldade em classificar o ruído da CTI para encontrar informações relevantes, enquanto 63% das empresas admitem que não têm a dimensão ou as competências adequadas em termos de pessoal para desenvolver um programa de CTI adequado. Não admira, portanto, que 82% das organizações afirmem que o seu programa de CTI é frequentemente tratado como um exercício académico em que os relatórios de informação não acrescentam valor nem ajudam a orientar as decisões de redução dos riscos.
A IA generativa pode ajudar neste domínio? Sim. Noutra questão de investigação, o ESG pediu a 380 profissionais de cibersegurança que identificassem os principais desafios do seu programa de inteligência contra ameaças. Aqui estão alguns dos principais desafios identificados, juntamente com algumas análises sobre como a IA generativa poderia ajudar:
33% dos profissionais de cibersegurança afirmam que os relatórios de threat intelligence contêm demasiados pormenores técnicos, o que dificulta o seu consumo pelos gestores. Isto não é surpreendente, uma vez que os analistas de informações sobre ameaças estão enterrados em detalhes técnicos sobre indicadores de comprometimento (IoC), malware, táticas, técnicas e processos adversários (TTP), estrutura ATT&CK do MITRE, etc. A IA generativa poderia ajudar as equipas de informações sobre ameaças a criar relatórios resumidos adaptados a diferentes consumidores técnicos e empresariais. Isto, combinado com o feedback dos consumidores de CTI, pode ajudar as organizações a melhorar continuamente a qualidade, a relevância e a atualidade destes relatórios ao longo do tempo.
28% dos profissionais de cibersegurança afirmam que a informação sobre ameaças gera muito ruído, o que dificulta a identificação de informações verdadeiramente valiosas. Muitas equipas de CTI operam segundo a filosofia “mais é melhor”, recolhendo e processando o máximo possível de informações comerciais e de fonte aberta sobre ameaças. Como resultado, ficam enterradas em dados, dificultando uma análise impactante. A IA generativa pode ajudá-las a identificar os dados de CTI mais relevantes para o seu negócio, setor e região como base de referência e, em seguida, ajudá-las a encontrar novas pepitas de informações sobre ameaças de forma incremental. Isto não só melhorará o valor do programa de CTI, como também reduzirá os custos, uma vez que as empresas selecionam e pagam pelos dados de informações sobre ameaças mais relevantes e descartam os marginais.
27% dos profissionais de cibersegurança afirmam que o facto de se concentrarem na identificação e no bloqueio de IoCs os impede de obter valor estratégico. A IA generativa pode ajudar de três formas. Em primeiro lugar, pode ajudar a acelerar a descoberta e a correção de IoCs ao ser incorporada nos fluxos de trabalho das operações de segurança. Além disso, fornece outra ferramenta para ajudar os analistas de ameaças a trabalhar com gestores para definir requisitos de inteligência prioritários (PIRs) para todos os aspetos da empresa. Por último, pode adaptar os relatórios IoC a diferentes consumidores, como já foi referido.
25% dos profissionais de cibersegurança afirmam ter pouca ou nenhuma experiência em informações sobre ameaças na sua equipa. A IA generativa não pode aliviar a necessidade de competências avançadas em matéria de inteligência, mas pode ajudar a formar pessoal júnior e reforçar as suas contribuições, criando regras de deteção, avaliando se os ficheiros ou scripts são maliciosos ou não e comparando vulnerabilidades com explorações conhecidas.
22% dos profissionais de cibersegurança afirmam que não efectuam análises suficientes para compreender melhor os adversários. Este requisito está alinhado com um modelo conhecido como a pirâmide da dor, que basicamente afirma que quanto mais se sabe sobre um adversário (ou seja, TTP, ferramentas, artefactos de rede/hospedeiro, etc.), mais se pode preparar as defesas e tornar os ataques mais dispendiosos e difíceis para os maus da fita. A IA generativa não substitui um analista experiente da NSA, mas pode ajudar a colmatar a lacuna de conhecimentos.
Vários fornecedores de informações sobre ameaças, como a Cybersixgill, a Mandiant, a Microsoft e a Recorded Future, anunciaram o apoio à IA generativa nos seus produtos e serviços de CTI. Muitos, muitos outros seguir-se-ão em breve.
Mitos da IA generativa
Para terminar, permitam-me que esclareça alguns mitos sobre a IA generativa. A IA não substituirá os analistas de ameaças nem tomará decisões de automatização por si só, mas pode atuar como uma aplicação auxiliar para analistas de informações sobre ameaças com falta de pessoal e sobrecarregados de trabalho ou com falta de competências avançadas. Esta deve ser uma boa notícia para os CISO. A investigação do ESG indica que 98% das empresas planeiam aumentar as despesas com a inteligência contra ameaças até 2024, pelo que precisam claramente de ajuda. Por conseguinte, os CISO têm de descobrir de que forma a IA generativa se enquadra nos investimentos do seu programa de CTI como forma de os ajudar a obter benefícios táticos, operacionais e estratégicos de CTI.