Por Leonardo Ribeiro Pinto, executivo de tecnologia e empreendedor com mais de 15 anos de experiência em desenvolvimento de software, estratégia de negócios e transformação digital.
Ambientes cloud e aplicações corporativas lidam com centenas de milhares de eventos de segurança por dia, múltiplas fontes de dados (logs, SIEM, endpoints, rede) e muitas ameaças que estão em constante evolução e, com isso, são criados desafios para as equipes de cibersegurança, governança e TI e até mesmo para o time de desenvolvedores, como:
- O alto volume de alertas (alert fatigue) e como tratar e o que realmente é crítico;
- Uma grande quantidade de falsos positivos, o que demanda tempo para avaliar cada item, e que nem sempre são tratados da maneira correta;
- Escassez de profissionais especializados, visto que, mesmo um profissional com certificações, é necessário estar envolvido em pesquisas, em notícias e em conteúdos de estudo sobre novas (e constantes) ameaças.
O resultado que chegamos é de que eventos críticos podem passar despercebidos e causar grandes prejuízos à imagem e, certamente, ao resultado financeiro da empresa.
A abordagem das IAs aplicadas à cibersegurança
O diferencial com relação ao uso das IAs está na capacidade de interpretar tantos dados e estruturas complexas, algo que desafia sistemas convencionais que são limitados a artigos acadêmicos, bancos de dados de ameaças antigas e relatórios de segurança por vezes ultrapassados.
Uma IA aprimora seu aprendizado desde o início da sua aplicação, mesmo seu nível de conhecimento não sendo perfeito, seu sistema de redes neurais generativa são alimentados por diversas fontes e estudos de casos atualizados e, o mais importante, tudo isso em tempo real.
Em um exemplo curioso em uma aplicação de minha autoria, uma IA inicialmente interpretou o termo “ransomware” como o nome de uma cidade. Foi necessário intervenção humana para corrigir o entendimento e, a partir disso, essa IA passou a reconhecer corretamente o conceito e aplicar a todos os usuários que se utilizam dessa mesma inteligência artificial.
Usar inteligência artificial para ampliar a capacidade humana
A proposta para um funcionado perfeito é a sinergia entre o profissional humano que irá organizar informações, sugerir hipóteses e fornecer contexto para que a IA possa acelerar a resposta a ataques, e também ajudar a descobrir ameaças que passariam despercebidas. A analogia é bem simples: um profissional humano sozinho observa o tráfego da estrada e, com o auxílio de uma IA, ele passa a enxergar tudo de um helicóptero.
Em um outro caso prático em que atuei para mitigar um clássico ataque de SQL Injection, estavam utilizando operadores lógicos em alguns campos de autenticação. Inicialmente eu tratei como inconsistência de dados e não como tentativas exploração.
Para entender e mapear esse comportamento, precisei gravar todas as tentativas em LOGs no sistema e depois de alguns dias analisar esses LOGs, isso gerou impacto no banco de dados por gravar mais de 130 mil tentativas/dia e tempo de análise e intervenção no código.
Em um cenário com o uso da IA, esse padrão seria facilmente identificado e classificado de maneira automática como uma ameaça. Após a implementação da IA, criei “prompts”, instruções com o conceito e assinaturas definidas como potenciais ameaças, com a capacidade da IA em aprendizado e replicar o contexto, outros usuários dessa IA recebem esse conhecimento de maneira automática.
Evidências científicas: IA aplicada à cibersegurança na prática
Os desafios que citei neste artigo, especialmente relacionados à escala, complexidade e volume de dados, não são apenas fruto dos meus estudos ou percepções do mercado, mas também são amplamente documentados em estudos acadêmicos recentes.
Um exemplo relevante é o estudo publicado pela MDPI, escrito por acadêmicos da School of Computer Science & Engineering, California State University. O trabalho apresenta uma análise sobre o uso de inteligência artificial em operações de cibersegurança (SOC – Security Operations Center), destacando como o uso de IAs está sendo aplicado para lidar com os pontos apresentados neste artigo.
De acordo com o estudo, sistemas baseados em IA demonstram ganhos significativos em três áreas críticas, como: redução de falsos positivos, aumento da eficiência na detecção e aceleração da resposta a incidentes. Um dos pontos mais importantes destacados no estudo é que o uso exclusivo da IA não deve substituir um especialista em cibersegurança, mas atuar como um multiplicador de sua capacidade, pois a IA pode processar grandes volumes de dados em tempo real, mas o analista é quem irá interpretar, validar e tomar decisões estratégicas com base nas informações passadas.
Em resumo, a adoção de inteligência artificial em cibersegurança não é mais uma parte de um projeto futuro, mas uma necessidade operacional imediata, diante do alto volume de novas ameaças e da complexidade de mapeamento dos ambientes digitais.
Os ganhos observados com redução de falsos positivos, aumento de precisão e aceleração da resposta, confirmam de maneira categórica que a IA é uma “ferramenta” de extrema necessidade e utilidade para a evolução dos modelos de defesa cibernética.
Imagem: https://pt.vecteezy.com/foto/69352800-artificial-inteligencia-microchip-em-o-circuito-borda-tecnologia-fundo
