BLOG


Uma abordagem eficaz e viável de cibersegurança: analytics, big data e inteligência artificial

Visibilidade dos riscos relevantes, análise de perfil comportamental, reconhecimento de padrões e outras técnicas avançadas permitem estratégias mais pragmáticas e efetivas, com alinhamento dos investimentos ao real impacto das ameaças

Nas livrarias, há algum tempo os títulos sobre Inteligência Artificial se estenderam da seção de ficção às estantes de engenharia, marketing e hoje até de jornalismo e direito. Além de amadurecer rapidamente, as tecnologias se tornam acessíveis por meio de modelos as a service, que viabilizam financeiramente o uso de computação de alto desempenho. As aplicações de IA normalmente se conjugam com sistemas de big data e analytics. As fronteiras entre essas disciplinas às vezes parecem confusas, mas o que importa são os objetivos gerais: combinar a capacidade de capturar informações de múltiplas fontes (big data); dar sentido a essas informações (analytics); e, no passo adiante da IA, ter um sistema capaz de se autorreprogramar conforme a mudança de contexto.

Na área de cibersegurança, a aplicação de técnicas de big data, correlação de eventos (SIEM), machine learning e outras tecnologias cognitivas responde a uma demanda urgente e generalizada: as organizações dependem cada vez mais de serviços digitais abertos e interconectados; o cenário de ameaças e ataques fica mais complexo; os criminosos se especializam; e, evidentemente, as equipes e os orçamentos de segurança não podem crescer à escala dos riscos a serem mitigados.

Em um estudo do Gartner, a consultoria define “5 características das centrais de segurança suportadas por inteligência”: capacidade analítica; inteligência de ameaças; automação; investigação e resposta proativas; e segurança adaptativa. O estudo foi feito há algum tempo, quando as aplicações estavam em fase de projeto. Hoje, o mercado já tem ilustrações concretas de cada um desses conceitos. Junto ao fortalecimento da segurança em si, as inovações facilitam e fomentam uma conversa mais ampla, de diversas áreas da organização, sobre ameaças, riscos e contramedidas.

Filtrar a irrelevância barulhenta e falar a linguagem de negócios

De certa forma, os sistemas de analytics e de IA buscam reproduzir a experiência e o senso crítico, respectivamente, de quem conhece determinada atividade. Em contrapartida, pesquisas quantitativas, estatísticas, inspeções técnicas e outras medições objetivas costumam surpreender e mudar a avaliação dos mais visionários estrategistas. Não é diferente com a cibersegurança.

A premissa inicial para bom uso de analytics ou machine learning cabe ao pessoal de negócios. Em resumo, é preciso definir claramente o que se precisa defender; o que não deve ou não pode acontecer com dados, aplicações e processos. É a partir disso que se determina a eficácia tanto das técnicas de analytics, como reconhecer comportamentos suspeitos, quanto dos demais fundamentos elencados pelo Gartner.

Em termos operacionais, a capacidade analítica permite identificar e verificar anomalias pontuais; perceber novas tentativas de ataque. Contudo, essa abordagem proativa também leva a um amadurecimento da conversa da área de cibersegurança com as áreas de negócios.

Essencialmente, os sistemas analíticos devem responder quais as tendências e probabilidades de determinado incidente, o impacto e as medidas de mitigação. O responsável pela área ou processo de negócio tem, então, condições de decidir se mitiga o risco ou provisiona eventuais perdas. Não é necessário saber detalhes sobre firewall, injeção de SQL e outros detalhes técnicos para se tomar decisões estratégica e financeiramente conscientes. Os investimentos se alinham objetivamente aos riscos, com foco e antecipação da resposta às ameaças mais relevantes.

Sua rede e seus funcionários como aliados, não como vetores de risco

Os fundamentos relacionados à Inteligência de Ameaças, Segurança Adaptativa e Automação, listados pelo Gartner, tem a ver com a complexidade técnica do cenário de ameaças. Cada serviço envolve uma infinidade de componentes, cada um com potenciais vulnerabilidades a ser exploradas por hackers focados.

As ferramentas de Inteligência de Ameaças correlacionam o comportamento de equipamentos, aplicações e pessoas, com identificação de ataques ou riscos. A Segurança Adaptativa é a capacidade de colocar todos os recursos operando contra o agressor.

A Automação não se refere apenas à velocidade de estabelecer novas regras no firewall ou fechar portas de switch para bloquear um ataque. Além da agilidade, se agrega disciplina às respostas. Por exemplo, no caso de incidentes, um esquema estruturado de reação evita que se percam provas forenses durante as tentativas de recuperação.

A Investigação e Resposta Proativa é uma das disciplinas de analytics em segurança com maior leque de aplicações possíveis. Em um caso recente, uma empresa que iniciaria uma grande operação terceirizada de habilitação de cartões, percebeu uma ação “proativa” de criminosos, por tentativas de aliciamento de funcionários na dark web, identificou os sistemas alvo e frustrou antecipadamente os delinquentes.

A visibilidade e a compreensão da segurança, com as novas ferramentas de análise e inteligência, têm revelado “detalhes” sofisticados em ataques complexos. Mas são comuns descobertas singelas. Em outra companhia, que também pede para não ser citada, após um extenso estudo de incidentes se constatou que a simples desabilitação de macros do MS Office evitaria quase todos os problemas com vazamento de dados e malware.

Vanderlei Campos - Jornalista