Cinco formas de utilizar o ChatGPT na resposta a incidentes: prós e contras

Com o recente entusiasmo significativo à volta das ferramentas de IA e a introdução de versões empresariais, a utilização destas soluções pode registar um aumento significativo num futuro próximo. Hoje, falo-vos dos méritos e das limitações de cinco exemplos práticos de utilização do ChatGPT no domínio da resposta a incidentes.

1. Melhorar a caça a ameaças 

Uma tarefa crítica para os defensores da cibersegurança é identificar indicadores de comprometimento (IoCs). Tecnologias de IA como o ChatGPT mostram-se promissoras para acelerar essa tarefa, ao imitar a análise de texto humano em um ritmo acelerado. Um script especializado, como o HuntWithChatGPT, pode ajudar nesse esforço, extraindo logs de eventos de segurança e executando processos de sistemas-alvo. Através de solicitações à API OpenAI, os metadados são avaliados quanto a possíveis dados comprometidos.

No entanto, conforme indicado pelo título do artigo, existem certas limitações que impedem a automação completa, exigindo participação humana e considerações cuidadosas de uso. Ou seja, este método não é totalmente infalível. Suscita preocupações em termos de custos e tem implicações legais associadas à transmissão de dados sensíveis com o OpenAI.

2. Facilitar a engenharia inversa

A engenharia inversa desempenha um papel fundamental para os que trabalham em segurança compreenderem a natureza da ameaça e as características distintas do malware. Neste contexto, as tecnologias do tipo GPT revelam-se valiosas, descrevendo sucintamente as funcionalidades do código e ajudando a identificar amostras de código malicioso e as suas capacidades. Este apoio pode acelerar os esforços de informação sobre ameaças.

Mas o uso do ChatGPT para engenharia inversa não é isento de desvantagens. Os seus desafios em lidar com código complexo e preocupações legais enfatizam a necessidade de combinar a sua utilização com conhecimentos humanos para uma análise precisa e segura, em que os resultados são submetidos a validação para garantir a fiabilidade. Além disso, como em qualquer outro cenário, é preciso ter cuidado ao partilhar código potencialmente sensível com um chatbot, pois isso pode resultar em problemas de privacidade.

3. Aumentar a qualidade dos relatórios

Para além das aplicações de deteção de ameaças e engenharia inversa, o ChatGPT pode também apoiar tarefas que são frequentemente executadas por um leque diversificado de profissionais de segurança, desde analistas a CISOs. Esta tarefa é a composição de texto. É frequente encontrarmo-nos a elaborar vários tipos de textos, desde relatórios e recomendações de clientes a pesquisas públicas. Além disso, dado que a cibersegurança é uma comunidade genuinamente global, a maior parte da comunicação ocorre em línguas diferentes da língua materna. Neste contexto, o ChatGPT pode, sem dúvida, ajudar a transformar os rascunhos iniciais numa linguagem comercial bem estruturada, articulada e coerente.

A principal desvantagem é que os textos revistos pelo ChatGPT necessitam de uma dupla verificação cuidadosa, uma vez que a ferramenta tende a omitir factos do texto original, a adicionar novos factos, a alterar o significado e até a cometer erros factuais.

4. Acelerar o desenvolvimento de scripts de análise a ameaças

Na cibersegurança, são utilizados vários tipos de scripts para procurar e identificar ameaças. Algumas das linguagens de scripting mais utilizadas para fins de cibersegurança são o Python, Bash, PowerShell e Perl. No entanto, lidar com a sintaxe intrincada da linguagem e os desafios da depuração pode ser cansativo e demorado. É aqui que o ChatGPT ajuda, permitindo a criação rápida de scripts adaptados à sua tarefa, ao mesmo tempo que diminui a necessidade de conhecimentos profundos e experiência em áreas específicas, tais como ferramentas Linux e sintaxe de expressões regulares.

Mas embora o ChatGPT ofereça conveniência ao escrever scripts, além da preocupação padrão com a privacidade, as suas limitações incluem a possível supervisão de cenários complexos. A saída gerada pelo ChatGPT é limitada em termos do número de palavras que pode produzir. Por conseguinte, um analista pode ter de combinar manualmente diferentes segmentos do código recebido do ChatGPT, o que pode ser uma tarefa difícil e obrigar a trabalho extra para ajustar o resultado. 

5. Acelerar a criação de scripts de remediação

Uma parte significativa do ciclo de vida do incidente consiste na fase de correção. Durante esta fase, os profissionais de cibersegurança podem, por exemplo, remover ficheiros maliciosos ou bloquear a sua execução, isolar hosts na rede, desativar contas de utilizador e realizar outras tarefas para curar o sistema afetado. Para isso, são necessários scripts, e o ChatGPT pode ajudar, tal como faz com os scripts da fase de análise. A ferramenta de IA acelera o processo de desenvolvimento de scripts, acelerando a remoção do malware. Além disso, facilita o processo ao fornecer exemplos e funções de código, melhorando o fluxo de trabalho para analistas juniores.

Certamente, esses tipos de scripts também devem ser abordados com cautela. A necessidade de partilhar IoCs com o ChatGPT levanta questões de privacidade. Além disso, se o script de saída se revelar incorreto - e a probabilidade de isso acontecer é bastante significativa - existe o risco de eliminar componentes essenciais do sistema e perturbar gravemente o seu funcionamento. Antes de implementar estes scripts, é crucial verificar minuciosamente o resultado da ferramenta de IA e garantir que tem uma cópia de segurança dos seus dados. 

Em conclusão…

É importante notar que, embora as ferramentas de IA como o ChatGPT possam lidar com tarefas básicas com alguma criatividade, ainda não estão prontas para as assumir completamente, particularmente em áreas como a cibersegurança. As verdadeiras tarefas de cibersegurança exigem a precisão, a velocidade e a fiabilidade que, até agora, só os especialistas humanos experientes podem fornecer. Por conseguinte, existe uma procura de serviços em que os peritos humanos localizam e neutralizam o malware que escapou às soluções de segurança existentes numa empresa.

Outra tendência atual é a fusão da experiência humana com a aprendizagem automática e a IA. Esta abordagem já está em prática - na deteção automatizada de malware e em certas soluções de deteção e resposta alargadas (XDR), por exemplo. Através da aprendizagem automática, uma solução XDR pode analisar e ajustar-se continuamente a novas informações sobre ameaças, melhorando assim a sua capacidade de deteção e resposta às mesmas e ajudando os analistas humanos a gerir a enorme quantidade de dados.

No entanto, independentemente do tipo de inteligência artificial que discutimos, o elemento humano na equação continua a ser crucial.