Cíber segurança sistemas estão prontos para a ruptura. Ao longo dos anos, ferramentas individuais proliferaram, cada uma com seu próprio formato de dados, causando uma enxurrada de dados díspares. Além disso, há uma escassez global de analistas de segurança cibernética qualificados que podem avaliar esses dados (e eles são muito caros se você puder encontrá-los). Finalmente, os hackers estão ficando cada vez mais inteligentes e criativos. A IA deveria ser a cura para esses problemas, mas tem sido de uso limitado para resolver o problema em escala porque requer uma infraestrutura grande e cuidadosamente planejada. Neste artigo, veremos o papel do IA em cibersegurança sistemas e como ela pode se tornar uma tecnologia verdadeiramente transformadora.
AI como óleo de cobra
A IA é muito mencionada na literatura de marketing que descreve soluções de segurança cibernética, mas até agora não foi tão transformadora quanto você imagina. Apesar de um tamanho de mercado que cresce a uma Taxa de crescimento anual composta de 20.5%, AI ainda permanece operacionalmente difícil de implantar em problemas de segurança. Se você fosse entrar em um moderno centro de operações de segurança (SOC), você provavelmente encontrará algumas TVs grandes com alguns painéis de difícil leitura e CNN, e analistas de segurança que provavelmente acharão seu trabalho penoso, porque estão gastando seu tempo correlacionando dados manualmente e tentando discernir o que está acontecendo em sua empresa em enfrentar ataques cada vez mais complexos. Se os humanos estão fazendo isso, isso levanta a questão, “Onde está a IA?”
Cíber segurança é um problema operacional confuso, e essa é a pequena razão pela qual a IA demorou a transformá-lo. Encontrar ameaças em uma empresa em centenas de fontes de telemetria quando as ameaças geralmente parecem idênticas à atividade normal é um problema muito difícil. Além disso, os dados de cada ferramenta de segurança podem assumir diferentes formas e devem ser normalizados antes de serem usados para treinar um sistema de IA.
Independentemente do setor e do caso de uso, a IA aprende com os dados – o Motor AI deve ser treinado com dados para que possa começar a aprender o que é ou não uma anomalia. Isso é o que há de tão confuso no problema de segurança: os dados de segurança de cada empresa parecem, no mínimo, um pouco diferentes, com ferramentas e padrões de comportamento diferentes e, no máximo, os dados parecem muito diferentes. Não há um conjunto de dados de treinamento de ouro em segurança que possa ser licenciado como pode haver para sistemas de reconhecimento de imagem ou fala. Se você quiser usar a IA para resolver o problema de segurança, precisará criar e adquirir seus próprios dados.
Normalizar os dados para que sejam úteis para um mecanismo de IA é um grande desafio. O problema é tão valioso que a Scale AI, uma startup que cria APIs de dados para desenvolvimento de IA focada principalmente em aplicativos de carros autônomos, obteve uma avaliação de US $ 7 bilhões menos de cinco anos após sua fundação. Scale AI já conta com muitas das organizações mais inovadoras do mundo como seus clientes.
O que a IA transformadora levará
A IA em segurança acabará por ser transformadora, provavelmente tanto para ataque quanto para defesa, mas isso é uma história para outro dia. Aqui, “transformador” significa amplamente transformador, em todas as partes da segurança, portanto, altera fundamentalmente a forma como uma empresa lida com a segurança. Por enquanto, temos que nos contentar com alguns aplicativos limitados em que a IA pode melhorar a segurança.
Ainda assim, existem alguns pontos positivos para a IA em segurança; estes são fáceis de encontrar pensando no problema dos dados. Quais partes da pilha de segurança geram dados limpos e treináveis? Fraude de e-mail e detecção de malware são dois grandes exemplos: a Motor AI pode aprender com exemplos de phishing disponíveis ou assinaturas de malware e identificar explorações semelhantes. Os dados em e-mails de clientes e sandboxes de malware podem ser usados para treinar modelos de IA que impulsionam produtos corporativos. O mesmo treinamento é muito mais difícil de implementar em problemas como detectar ataques que se movem lateralmente em uma rede (digamos, do firewall para o servidor Active Directory e para um servidor de dados), porque esse movimento lateral será um pouco diferente em cada empresa.
A criação de IA que protegerá amplamente uma empresa em todas as suas operações digitais se assemelhará aos esforços atuais das empresas de carros autônomos. Por exemplo, desde 2009, o software de carro sem motorista da Waymo treinou mais de 15 bilhões de milhas de condução simulada e mais de 20 milhões de milhas de experiência de condução pública. Waymo tem uma abordagem rigorosa para testar em diferentes níveis de fidelidade (simulação, curso fechado, mundo real), executando cenários com milhares de variações, enquanto coleta dados para fins de melhoria.
Essa não é uma analogia perfeita para IA em segurança, mas é muito boa – testar com dados simulados, testar em ambientes de laboratório com ataques simulados ou reais e testar em operações do mundo real em um conjunto diversificado de empresas. Problemas de segurança com acesso natural a dados mais limpos surgirão com produtos verdadeiramente baseados em IA mais cedo do que os problemas de dados mais difíceis em toda a pilha de segurança corporativa. Vai levar tempo e capital para chegar lá, e as inovações que são implacavelmente focadas no problema dos dados serão, em primeiro lugar, para desbloquear uma ampla transformação. Hoje, muitas ferramentas de segurança simplesmente não se concentram na normalização de dados porque tendem a ser isoladas em pontos problemáticos específicos na infraestrutura geral.
Como será a IA transformadora em segurança
Imagine que cada iniciativa, configuração, log de segurança e alerta de TI possam ser revisados pelo maior especialista em segurança humana do mundo nessa área em tempo real, sem interrupção das operações de negócios. Imagine que os analistas corporativos pudessem consultar e obter orientação desse especialista. A IA em segurança acabará se sentindo assim.
Quão? Os produtos que são construídos em ativos de dados inteligentes, que reduzem a complexidade dos dados, acabarão sendo os reis da categoria, caso contrário, o produto não funcionará de cliente para cliente e será um produto com margens semelhantes a serviços e não será dimensionado. (Andreesen Horowitz, curiosamente, descobriu que a maioria de suas empresas de IA corporativa têm margens muito mais baixas do que negócios SaaS comparáveis devido aos custos inerentes de construção e dimensionamento de IA.)
Esses futuros reis da categoria terão primeiro que investir em infraestrutura e coleta de dados, provavelmente por anos, antes que seus dados possam ser realmente considerados um ativo e ajudar na natureza de auto-aperfeiçoamento de seu produto. No entanto, uma vez que esses reis da empresa obtenham um ativo de dados real para a IA, seu ritmo de inovação será difícil, se não impossível, de igualar pelos concorrentes, e eles serão coroados reis da categoria, desde que ainda consigam manter um produto intuitivo. Assim como a categoria Search Engine rapidamente se consolidou no Google, o mesmo acontecerá com as soluções de segurança cibernética com uso intensivo de dados. Especificamente, procure uma grande consolidação em Informações de Segurança e Gestão de Eventos (SIEM), Detecção e Resposta Estendidas (eXtended Detection and Response)XDR), Detecção e resposta de endpoint (EDR) e Detecção e resposta de rede (NDR) como mercados.
Assim, a IA está surgindo na segurança primeiro em problemas menores onde há menos complexidade de dados, conforme observado nos exemplos anteriores de fraude e malware por e-mail. A IA será implantada lentamente em problemas de dados mais complexos, mas apenas produtos que são implacavelmente focados no gerenciamento da complexidade de dados surgirão com resultados significativos. Motores de IA. Para ser eficaz, um programa de segurança orientado por IA deve ser capaz de coletar dados de todas as ferramentas de segurança e feeds de ameaças disponíveis e, em seguida, normalizar esses dados para que sejam úteis para treinar o mecanismo de IA. É assim que será o futuro da IA em segurança cibernética.
Sobre o autor
Sam Jones é vice-presidente de gerenciamento de produtos da Stellar Cyber, Inc. Ele é um líder experiente em desenvolvimento de produtos com um histórico de criação de produtos de IA e segurança que os clientes adoram. Ele tem uma sólida experiência em IA/ML, infraestrutura de dados, segurança, SaaS, design de produto e defesa. Sam ocupou cargos de produto e engenharia em empresas como Palantir Technologies e Shield AI, e trabalhou para a Força Aérea dos EUA em estratégia de defesa cibernética. Ele obteve seus diplomas de bacharel em Engenharia Elétrica e de Computação pela Cornell University.
