Paulo Pinto, Portugal Business Development Manager na Fortinet em 2023-2-15
Os profissionais de segurança há muito que esperam uma solução que detete ameaças comportamentais em tempo real, no contexto das redes empresariais modernas
Paulo Pinto, Portugal Business Development Manager na Fortinet
Contudo, historicamente, as empresas tiveram de confiar na deteção de intrusão na rede, que se baseia principalmente nos padrões de vulnerabilidade conhecidos, e na proteção dos endpoints para identificar ameaças, com capacidades comportamentais limitadas através de agentes. Embora estas duas categorias possam fazer algum do trabalho, são desafiadas por ameaças avançadas e zero-day. Para algumas organizações, isto tem deixado uma enorme lacuna na visibilidade da rede. Felizmente, a investigação e desenvolvimento de tecnologia de Inteligência Artificial (IA) acelerou rapidamente nos últimos anos. Cientistas e engenheiros fizeram progressos significativos em muitos campos relacionados com a IA, como machine learning, processamento natural de linguagem e computer vision. A IA já está a ser utilizada em muitas indústrias e é uma grande promessa no mundo da cibersegurança. Os sistemas de Network Detection Response (NDR) com base em IA são capazes de identificar e responder a ameaças muito mais rapidamente do que os sistemas tradicionais, e só estão a melhorar à medida que a tecnologia evolui. Entre algumas das áreas de IA aplicada na área de deteção e resposta a ameaças em redes (NDR, sigla em inglês), encontramos:
Atualmente, a maior parte do tráfego de rede é encriptado. Isto significa que o NDR só pode confiar em informação limitada no header para o reconhecimento de padrões; Recentemente, com a introdução da mais recente norma de encriptação standard (TLS1.3), tornou-se mais difícil para as ferramentas de deteção ganhar visibilidade do tráfego da rede, porque mais informação é encriptada. Para resolver este problema, foram adotadas abordagens mais eficazes para automação e classificação de padrões de tráfego em rede, procedendo-se à introdução de variáveis, como os IoC (Indicadores de Compromisso) para melhorarem a capacidade dos modelos de machine learning detetarem possíveis ameaças.
O reconhecimento de artefactos é o processo de identificação de objetos em imagens ou vídeos. No entanto, estas ideias podem ser reformuladas por modelos de IA para a identificação de relações entre ficheiros ou entre utilizadores e aplicações, por exemplo. Neste contexto, a capacidade de reconhecimento de artefactos no tráfego em rede por parte dos modelos de IA, artefactos como ficheiros, acessos, utilizadores, entre outros, melhora a capacidade de deteção e resposta a ameaças em rede (NDR) permitindo compreender o impacto da ameaça de um ataque.
Para compreender e mitigar eficazmente uma ameaça detetada, quer pela análise de padrões de tráfego, quer pelo reconhecimento de artefactos na rede, e posteriormente mitigá-la, a melhor abordagem é identificar as táticas, técnicas e procedimentos (TTP, na sigla em inglês) que podem ser utilizadas por um atacante para depois acionar contramedidas. Assim, quando uma anomalia é detetada, pelas técnicas de AI referidas nos pontos anteriores, estas associam o ataque a um cenário de TTPs possíveis e a uma, ou mais fases da Cyber Kill Chain em que as mesmas possam estar a ser executadas permitindo conhecer as táticas que o possível atacante está a tentar pôr em prática e implicitamente quais as melhores contramedidas a acionar. A Inteligência Artificial pode desempenhar um papel importante na evolução da cibersegurança na área da deteção e resposta a ameaças avançadas em redes - Network Detection and Response (NDR). No entanto, e em particular, para fornecer uma resposta rápida de remediação, necessita também de soluções de segurança que respondam rapidamente às ameaças detetadas, integrando e orquestrando ferramentas de proteção para bloquear um ataque nas diferentes fases do Cyber Kill Chain em que se encontre. Uma coleção de soluções de segurança pontuais não é suficiente para atingir este objetivo; é necessária integração e automação para reduzir a complexidade, aumentar a eficiência e a eficácia da resposta. A plataforma de segurança Fortinet Security Fabric satisfaz este requisito permitindo detetar e responder de forma eficaz a ataques detetados pelo NDR de acordo com a fase do Cyber Kill Chain em que o ataque se encontre, fornecendo uma integração e orquestração simples para automatizar as ferramentas de proteção adequadas para bloquear o ataque.
Conteúdo co-produzido pela MediaNext e pela Fortinet |