Detectar ataques, comportamentos anômalos e fraudes são tarefas para sistemas de machine learning - Thiago Candido


2022-10-19

Eu centralizo todas minhas compras em um cartão de crédito. Algumas semanas atrás, estava jantando em casa quando uma compra desconhecida apareceu no aplicativo e prontamente bloqueei o cartão. Reportei a compra com a esperança de um reembolso.

Até agora nada, como parece ser o modus operandi de algumas instituições financeiras da atualidade. Mas isso não vem ao caso.

Você pode ter passado por uma situação semelhante recentemente. Também percebeu a atividade suspeita? Ótimo. Se não, o exemplo a seguir pode parecer algo mais assustador ainda do que aparenta para mim.

Vamos pensar em uma situação hipotética: Você sabe do orçamento de toda sua família e todas as transações financeiras realizadas por eles são notificadas no seu celular. Você até pode julgar algumas das compras como estranhas ou como desperdício de dinheiro, mas como saber se uma dessas transações suspeitas não deveria ser reportada?

Um processo natural seria, ao identificar a compra, entrar em contato com seu familiar para verificar. Pode ser cansativo, mas parece uma solução razoável (dentro dessa situação absurda). Agora, ampliando mais sua responsabilidade, você também é escalado para monitorar as compras realizadas na empresa que você trabalha, pelo administrativo ou por representantes espalhadas pelo Brasil. Passagens, refeições, carros de aplicativo, o pacote completo. Ah, e as empresas em que seus familiares trabalham também pediram pra você prestar esse favorzinho pra eles.

Assustador, não? Como manter algum tipo de controle, entrar em contato com cada pessoa, e reportar a transação a cada evento suspeito?

Seguramente, o resultado final, além de inúmeras transações ignoradas, será uma mudança no número de horas dormidas por você. Parece absurdo, não é mesmo? Uma tarefa hercúlea.

Esse exemplo acaba não sendo tão distante do que vemos em algumas empresas ao se tratar de tarefas como:
      - Análise do tráfego na rede;
      - Endpoint fortification;
      - Análise de fraude;
      - Gerenciamento de segurança de autenticação;
      - Análise de atividade do usuário;
      - Gerenciamento de superfície de ataque.

Por maior que seja o esforço realizado, não é algo que pode ser executado com sucesso por um profissional experiente ou por uma equipe altamente treinada. A chave aqui é automatizar. Desenvolvedores, a partir de um conjunto de regras e procedimentos lógicos perfeitamente definidos, podem automatizar tarefas. O problema é que partindo dessa definição, as tarefas devem ter as mesmas características dos algoritmos - devem ser determinísticas -, porém, o comportamento do usuário não é determinístico.



Para lidar com comportamentos não determinísticos, uma alternativa é utilizar sistemas que implementam técnicas de machine learning.

Comprovadamente, sistemas que implementam aprendizado de máquina podem detectar anomalias com alta precisão. Muito mais alta do que você atingiria depois de inúmeras noites mal dormidas e com um celular repleto de notificações. O desenvolvimento desse tipo de aplicação requer profissionais com conhecimento específico na área que costumam ser escassos no mercado. Mas esse é um dos casos que podemos, e muitas vezes devemos, recorrer a serviços que já entregam essa funcionalidade.

Integrando seus sistemas e aplicações com esses serviços de terceiros, fornecidos por vários players reconhecidos mundialmente - Oracle, Microsoft, Amazon, Dynatrace, entre outros - é provável que ninguém do seu time acabe desenvolvendo insônia. E que um número muito inferior de comportamentos anômalos passem despercebidos, assim garantindo um sistema mais seguro para você e para seus usuários.

Iniciando com IA na segurança cibernética do jeito certo

Identifique as fontes de dados e crie plataformas de dados para operacionalizar a IA – Adquirir ou construir uma plataforma de dados para fornecer uma visão consolidada dos dados deve ser o primeiro passo para organizações que desejam usar IA em segurança cibernética com sucesso.

Selecionar os casos de uso certos, para acelerar e maximizar os benefícios – Identificamos 5 casos de uso com o maior benefício e a menor complexidade de implementação:
      1 Detecção de malware;
      2 Detecção de intrusão;
      3 Score de risco em redes para tecnologia operacional (OT);
      4 Detecção de fraude;
      5 Análise de comportamento do usuário/máquina para internet das coisas (IoT).

Colabore externamente para aprimorar a inteligência de ameaças – A colaboração por meio de plataformas de crowdsourcing garante que a organização mantenha-se atualizada com as ameaças enfrentadas por outros profissionais de segurança; também desempenha um papel importante para melhorar a lógica dos algoritmos de IA para que eles detectem ameaças com eficiência.

Implante segurança, orquestração, automação e resposta ('SOAR') para melhorar a gestão de segurança - O SOAR torna o uso da IA mais eficaz e impactante ao permitir uma resposta rápida às ameaças detectadas.

Treine os analistas de segurança para estarem prontos para IA - as equipes precisam conhecimento dos principais processos dentro de uma organização para garantir que o algoritmo de IA possa fechar a entrada de ameaças em pontos potenciais.

Implemente a governança para IA na segurança cibernética, para fornecer melhorias a longo prazo - a governança é essencial para garantir os resultados esperados e para garantir que a IA não seja comprometida.



Artigo revisado e complementado por Wendel Siota, consultor especialista em Cyber Security na EximiaCo


Imagem gerada utilizando IA

Algum comentário ou dúvida? Entre em contato comigo via Twitter ou LinkedIn.