Automatização na cibersegurança: salvação para as empresas ou oportunidade para os criminosos

Uma vez que o desenvolvimento de qualquer solução de cibersegurança é um investimento significativo em recursos e que a natureza das ameaças muda constantemente, verificamos que os ataques se tornam mais complexos, impulsionados pelos avanços tecnológicos na gestão de ameaças. Isto está a conduzir-nos a uma nova vaga de avanços tecnológicos nas soluções de proteção. 

As técnicas e procedimentos utilizados nos ataques estão em constante evolução. Quanto mais eficazes forem os mecanismos de defesa, mais rapidamente os métodos de ataque progridem. Para enfrentar estas ameaças modernas, são necessários mecanismos avançados de proteção de endpoints, capazes de resistir a novas táticas e técnicas dos cibercriminosos.

O que é a proteção de endpoints? 

A proteção de endpoints refere-se a plataformas modernas que combinam uma variedade de tecnologias para gerir ameaças. A lógica de deteção destas soluções pode ser implementada no endpoint ou na cloud, e a deteção de ameaças pode ser baseada em objetos maliciosos (ficheiros, endereços IP, URLs, objetos de memória, objetos do sistema operativo) ou em caraterísticas comportamentais. 

Por proteção dos endpoints entende-se um sistema que pode gerir as ameaças de forma totalmente automática. Uma Plataforma de Proteção de Endpoints (EPP, na sigla original) pode fazê-lo se um ataque puder ser processado com eficácia sem envolvimento humano. Se o ataque for mais complexo e sofisticado, requer o desenvolvimento de um conjunto específico de tecnologias. Não existe uma diferença fundamental entre a EPP moderna e o “EDR totalmente automático”, porque qualquer tarefa que possa ser resolvida de forma totalmente automática deve ser resolvida no sistema de proteção de endpoints.

A threat intelligence também desempenha um papel crucial na deteção de ameaças de alta qualidade, porque quanto mais dados sobre ameaças tivermos, mais amplas serão as nossas capacidades de gestão de ameaças. Além disso, é impossível desenvolver tecnologias de proteção e realizar qualquer investigação sobre ameaças sem a mais recente threat intelligence.

Automatização de software malicioso. Como é que as empresas de cibersegurança combatem esta ameaça?

Os fornecedores de cibersegurança utilizam várias abordagens à gestão de ameaças, combinando frequentemente a deteção baseada em ferramentas maliciosas com a análise comportamental.

Para qualquer cenário de ameaça identificado, é sempre utilizada a deteção “circular”. Isto significa que, para a mesma técnica de ataque, são desenvolvidas várias abordagens de gestão com várias tecnologias, incluindo a análise de ameaças. Esta abordagem reduz significativamente a probabilidade de se perder uma ameaça. Se ocorrer um ataque num anfitrião, a telemetria deste será transmitida para a cloud e processada utilizando algoritmos mais avançados, e as regras criadas automaticamente protegerão outros de ameaças semelhantes.

Devem as redes neuronais ser utilizadas no desenvolvimento de soluções de cibersegurança?

Uma rede neuronal é uma das implementações da aprendizagem automática. Para treinar um modelo, é necessário um conjunto de treino sobre o qual o modelo ajustará os seus parâmetros e será capaz de aplicar a “experiência” adquirida em dados reais. No entanto, é importante lembrar que o futuro nunca repete exatamente o passado, especialmente se os ataques forem conduzidos por uma pessoa com as suas capacidades ilimitadas de improvisação e adaptação. 

Uma solução pode ser separar os ataques em técnicas, tácticase procedimentos (TTP) e detetar combinações populares dessas praticas. O machine learning, o deep learning e as redes neuronais são ferramentas que permitem realizar tarefas de gestão de ameaças. A aprendizagem automática é útil, mas não é uma solução universal para todos os problemas. É uma das várias abordagens tecnológicas no arsenal dos investigadores de ameaças que desenvolvem mecanismos de gestão de ameaças.

O futuro da ciberproteção

Todos os cenários que envolvam ataques completamente automatizados serão automaticamente neutralizados no âmbito da PPE. A longo prazo, o foco será deslocado para a automatização da gestão de ameaças: as bases de dados de técnicas e procedimentos automaticamente classificáveis serão reabastecidas, a gama de tecnologias para prevenir eficaz e eficientemente os ataques identificados de uma forma totalmente automatizada expandir-se-á.

No entanto, devido à infinita adaptabilidade dos atacantes, a necessidade de investigação e de threat hunting proactivas não desaparecerá, pelo que o desenvolvimento de telemetria para as necessidades das equipas SOC e dos investigadores de ameaças continuará também a ser uma direção importante no desenvolvimento dos fornecedores de EPP (na sigla original).