Potenciar a cibersegurança com base em inteligência artificial aplicada à deteção e resposta em redes

Contudo, historicamente, as empresas tiveram de confiar na deteção de intrusão na rede, que se baseia principalmente nos padrões de vulnerabilidade conhecidos, e na proteção dos endpoints para identificar ameaças, com capacidades comportamentais limitadas através de agentes. Embora estas duas categorias possam fazer algum do trabalho, são desafiadas por ameaças avançadas e zero-day. Para algumas organizações, isto tem deixado uma enorme lacuna na visibilidade da rede.

Felizmente, a investigação e desenvolvimento de tecnologia de Inteligência Artificial (IA) acelerou rapidamente nos últimos anos. Cientistas e engenheiros fizeram progressos significativos em muitos campos relacionados com a IA, como machine learning, processamento natural de linguagem e computer vision. A IA já está a ser utilizada em muitas indústrias e é uma grande promessa no mundo da cibersegurança. Os sistemas de Network Detection Response (NDR) com base em IA são capazes de identificar e responder a ameaças muito mais rapidamente do que os sistemas tradicionais, e só estão a melhorar à medida que a tecnologia evolui.

Entre algumas das áreas de IA aplicada na área de deteção e resposta a ameaças em redes (NDR, sigla em inglês), encontramos: 

• Análise de padrões de tráfego em rede:

Atualmente, a maior parte do tráfego de rede é encriptado. Isto significa que o NDR só pode confiar em informação limitada no header para o reconhecimento de padrões;

Recentemente, com a introdução da mais recente norma de encriptação standard (TLS1.3), tornou-se mais difícil para as ferramentas de deteção ganhar visibilidade do tráfego da rede, porque mais informação é encriptada.

Para resolver este problema, foram adotadas abordagens mais eficazes para automação e classificação de padrões de tráfego em rede, procedendo-se à introdução de variáveis, como os IoC (Indicadores de Compromisso) para melhorarem a capacidade dos modelos de machine learning detetarem possíveis ameaças.

• Reconhecimento de artefactos no tráfego em rede

O reconhecimento de artefactos é o processo de identificação de objetos em imagens ou vídeos. No entanto, estas ideias podem ser reformuladas por modelos de IA para a identificação de relações entre ficheiros ou entre utilizadores e aplicações, por exemplo.

Neste contexto, a capacidade de reconhecimento de artefactos no tráfego em rede por parte dos modelos de IA, artefactos como ficheiros, acessos, utilizadores, entre outros, melhora a capacidade de deteção e resposta a ameaças em rede (NDR) permitindo compreender o impacto da ameaça de um ataque.

• Identificação de TTPs de um ataque

Para compreender e mitigar eficazmente uma ameaça detetada, quer pela análise de padrões de tráfego, quer pelo reconhecimento de artefactos na rede, e posteriormente mitigá-la, a melhor abordagem é identificar as táticas, técnicas e procedimentos (TTP, na sigla em inglês) que podem ser utilizadas por um atacante para depois acionar contramedidas.

Assim, quando uma anomalia é detetada, pelas técnicas de AI referidas nos pontos anteriores, estas associam o ataque a um cenário de TTPs possíveis e a uma, ou mais fases da Cyber Kill Chain em que as mesmas possam estar a ser executadas permitindo conhecer as táticas que o possível atacante está a tentar pôr em prática e implicitamente quais as melhores contramedidas a acionar.

A Inteligência Artificial pode desempenhar um papel importante na evolução da cibersegurança na área da deteção e resposta a ameaças avançadas em redes - Network Detection and Response (NDR). No entanto, e em particular, para fornecer uma resposta rápida de remediação, necessita também de soluções de segurança que respondam rapidamente às ameaças detetadas, integrando e orquestrando ferramentas de proteção para bloquear um ataque nas diferentes fases do Cyber Kill Chain em que se encontre. Uma coleção de soluções de segurança pontuais não é suficiente para atingir este objetivo; é necessária integração e automação para reduzir a complexidade, aumentar a eficiência e a eficácia da resposta. A plataforma de segurança Fortinet Security Fabric satisfaz este requisito permitindo detetar e responder de forma eficaz a ataques detetados pelo NDR de acordo com a fase do Cyber Kill Chain em que o ataque se encontre, fornecendo uma integração e orquestração simples para automatizar as ferramentas de proteção adequadas para bloquear o ataque. 

Conteúdo co-produzido pela MediaNext e pela Fortinet