A IA é ótima, mas ainda assim são necessários humanos para impor a segurança cibernética

Quando se trata de proteger computadores e sistemas de informação contra ataques cibernéticos, a inteligência artificial e o aprendizado de máquina podem ajudar, mas não são a cura para um problema crescente.

Apesar da atual empolgação com a IA e sua capacidade cada vez maior de superar os humanos em várias frentes, não é uma solução mágica para fortalecer a segurança cibernética, afirma Randy Watkins, diretor de tecnologia da Critical Start, Inc.

A IA é excelente no gerenciamento de grandes quantidades de dados, incluindo alertas sobre possíveis violações de segurança. O problema está em como ele interpreta essas informações.

Os alertas são endereçados na ordem em que chegam. Em seguida, eles são priorizados e avaliados quanto ao nível apropriado de ameaça. Analistas humanos, com profundo conhecimento e experiência do negócio, são bons em colocar cada alerta em seu contexto adequado. Máquinas, nem tanto. Um sistema baseado em IA pode detectar atividades anômalas do usuário, mas é menos eficaz para determinar se o evento envolve intenções maliciosas.

“Eu não sou um opositor de tudo em IA”, diz Watkins, “mas a IA e o aprendizado de máquina não têm a capacidade de aplicar uma abundância de razão ao que estão fazendo”.

As máquinas não são especialmente boas em minimizar falsos positivos. Veja o PowerShell da Microsoft, uma estrutura popular para automação de tarefas. Uma máquina não pode determinar com precisão se um determinado usuário dessa ferramenta deve executar um comando em um determinado momento. A anomalia pode ou não ser resultado de um ataque malicioso.

O termo “aprendizado de máquina” implica que o sistema fica melhor com a experiência, mas Watkins diz que a capacidade é limitada. Treinar o algoritmo para responder da maneira adequada requer alimentar um grande número de exemplos anteriores, tanto bons quanto ruins. E ainda não resolve o problema dos falsos negativos - ataques reais que o sistema perde. “Você precisa ser capaz de eliminar os valores discrepantes que distorcem seus dados”, diz Watkins.

Descobrir se um evento é malicioso ou não nem sempre equivale a uma resposta sim ou não. Por um lado, as empresas devem determinar o quão sensível elas desejam que o sistema seja. Deve disparar o alarme para 100% dos eventos aparentemente anômalos? Que tal 80%? Demais, você é inundado com alertas e possíveis desligamentos do sistema. Muito pouco, e as violações provavelmente passarão despercebidas.

“Quando você introduz mais variáveis, precisa de conjuntos de dados adicionais, mais contexto sobre o assunto e o comportamento [do sistema]”, observa Watkins. “Assim que você começa a introduzir essas questões, a máquina desmorona.”

A detecção eficaz de ataques cibernéticos depende da pontuação de risco cumulativa, algo que os humanos fazem bem. “Cada vez que olhamos para um evento, estamos decidindo se ele é suspeito”, diz Watkins. “Mas você também pode aplicar a razão e o conhecimento prévio sobre segurança que os algoritmos não possuem.

“Uma máquina pode rastrear enormes quantidades de dados rapidamente”, continua ele. “Mas dê a ele um conceito abstrato como privilégio mínimo e aplique-o ao conjunto de alertas - ele vai reconhecer uma escalada de privilégio? Há muitas atividades benignas que parecem maliciosas. ”

Não há dúvida de que o aprendizado de máquina evoluirá, mesmo que os ladrões cibernéticos encontrem novas maneiras de evitar a detecção. A Microsoft deu passos largos no sentido de aprimorar a sofisticação dos sistemas de detecção automatizados, assim como a Palo Alto Networks, líder global em segurança cibernética. “Mas no final do dia”, diz Watkins, “você ainda precisa de um humano para dizer,‘ Sim, coloque este controlador de domínio offline. ’” As empresas se esforçam constantemente para minimizar o custo do tempo de inatividade do sistema causado por alertas errados.

Dito isso, não há especialistas humanos suficientes para preencher a necessidade de segurança cibernética em todos os setores. “Definitivamente, há falta de talento na indústria”, diz Watkins. Daí a virada para o suporte externo, na forma de detecção e resposta gerenciadas.

A escassez de talentos não é nova. “Ela existe desde que a segurança existe”, diz Watkins. Somente nos últimos 10 anos as empresas e universidades começaram a despertar para a necessidade de melhor treinamento e educação dos futuros especialistas em segurança cibernética.

Tanto os humanos quanto as máquinas têm um longo caminho a percorrer, se quiserem colaborar na proteção de sistemas vitais contra a ameaça cada vez maior de ataque cibernético. “Começamos do zero quando precisávamos estar aos 60”, diz Watkins. “Agora precisamos estar com 90 e estamos com 60.”