Este artigo sobre Machine Learning em segurança cibernética explica os principais elementos do ML, incluindo a definição, os tipos e os desafios. Ele oferece uma compreensão do papel do aprendizado de máquina na segurança cibernética e orientações sobre como avaliar estes modelos. Este artigo também faz uma análise dos benefícios e casos de uso.
Veja por que a IA, o ML e a automação são elementos necessários para identificar riscos de forma proativa, ajudando as equipes de TI e outros stakeholders do negócio a tomar decisões mais informadas.
O que é o machine learning?
O machine learning é um subconjunto da inteligência artificial (IA) que permite aos sistemas identificar automaticamente recursos, classificar informações, encontrar padrões em dados, tomar decisões e fazer previsões, além de revelar insights. Dados históricos são transmitidos para sistemas que usam algoritmos para criar modelos de aprendizado de máquina que treinam continuamente os sistemas para aumentar a precisão.
A qualidade de um modelo de machine learning depende de dois aspectos principais:
A qualidade dos dados de entrada (ou seja, má qualidade na entrada, má qualidade na saída).
O alinhamento do algoritmo com o caso de uso.
A escolha do algoritmo para modelos de machine learning depende do tipo de dado disponível e da tarefa específica.
Exemplos de como os algoritmos são usados para o aprendizado de máquina em segurança cibernética incluem:
- Algoritmo de árvore de decisão: para detectar e classificar ataques.
- Algoritmos de redução de dimensionalidade: para remover dados imprecisos e irrelevantes.
- Clustering K-means: para detectar malware.
- Classificador de K-nearest neighbors (kNN): para reconhecimento facial usado para autenticação.
- Regressão linear: para prever resultados de segurança de rede.
- Regressão logística: para detecção de fraudes.
- Algoritmo Naive Bayes: para detecção de intrusão.
- Algoritmo de Random Forest (floresta aleatória): para classificar ataques de phishing.
- Algoritmo de máquina de vetores de suporte (SVM): para classificar, detectar e prever endereços IP e portas na lista negra.
| Origem do termo “machine learning” |
|---|
| Um cientista americano, Arthur Samuel, introduziu o termo machine learning em 1959. Ele o definiu como “o campo de estudo que confere aos computadores a capacidade de aprender sem programação explícita”. Arthur Samuel desenvolveu um dos primeiros programas de aprendizado de máquina bem-sucedidos do mundo, o Samuel Checkers-playing Program, que foi usado para jogar damas melhor do que o autor do programa. |
Fonte: Estudos em machine learning usando o jogo de damas
Como o machine learning transforma a segurança cibernética
A capacidade dos modelos de machine learning de processar e extrair inferências a partir de grandes volumes de dados é o principal catalisador das transformações na segurança cibernética. As ferramentas de segurança tradicionais dependem principalmente de regras fixas e características (assinaturas) de ameaças conhecidas, o que limita sua capacidade de detectar ataques novos ou em andamento.
O aprendizado de máquina promove uma mudança de paradigma nas estratégias de segurança cibernética, ao viabilizar mecanismos defensivos adaptativos e preditivos. À medida que as ameaças surgem, os modelos evoluem com base em dados atualizados, permitindo que as empresas mudem de um modelo reativo de resposta para estratégias preditivas e orientadas por dados.
Continuamente, os modelos de machine learning aprendem com grandes volumes de dados para identificar padrões e anomalias em tempo real. Esses insights permitem que as organizações identifiquem novas ameaças, incluindo ataques de dia zero, antes que causem danos significativos.
Além da detecção, o machine learning promove a automação na resposta e no gerenciamento de incidentes. O aprendizado de máquina em sistemas de segurança cibernética pode iniciar ações predefinidas (como isolar sistemas afetados ou bloquear endereços IP maliciosos) em segundos após a detecção de uma ameaça. Isso minimiza os danos potenciais e ajuda as organizações a manter a continuidade durante um ataque. Também ajuda as equipes de segurança a priorizar alertas de forma mais eficaz e a reduzir o tempo necessário para investigar e conter ameaças.
Qual é o papel da IA e do machine learning na segurança cibernética?
A inteligência artificial (IA) e o machine learning são componentes essenciais das soluções de segurança cibernética graças à capacidade que elas têm de prever, detectar e responder a ameaças com precisão e velocidade sem precedentes. As suas principais funções incluem:
- Automatizar processos complexos de segurança e respostas a incidentes.
- Reforçar a eficácia das medidas de segurança cibernética existentes.
- Aprender continuamente com dados históricos e em tempo real.
- Detectar malware desconhecido e ataques de dia zero.
- Habilitar mecanismos de defesa adaptativos que evoluem com base em situações semelhantes de ameaças cibernéticas anteriores.
- Prever potenciais vulnerabilidades.
- Otimizar políticas de segurança com base no comportamento do mundo real.
- Reduzir a dependência de intervenções manuais.
- Simular cenários de ataque.
Exemplos de machine learning em ferramentas de segurança cibernética
Antimalware e antivírus
Aproveita o machine learning para classificar e detectar softwares maliciosos com base em características de código, comportamento ou padrões de execução, incluindo ameaças de dia zero.
Gerenciamento de postura de segurança na nuvem (CSPM)
O ML aprimora as ferramentas de gerenciamento de postura de segurança na nuvem (CSPM, Cloud Security Posture Management) identificando configurações incorretas, atividades anômalas em ambientes de nuvem e potenciais violações de políticas com base em tendências de uso.
Gateways de segurança de e-mail
Utiliza o aprendizado de máquina para identificar phishing, spoofing e comprometimento de e-mails comerciais, por meio de análise de conteúdo, comportamento do remetente e padrões de URL.
Detecção e resposta de endpoints (EDR)
Usa o machine learning para monitorar e analisar a atividade de endpoints e identificar ameaças com base em anomalias comportamentais e não apenas assinaturas de ataque.
Sistemas de detecção e prevenção de intrusão (IDPS)
Usa o aprendizado de máquina para detectar padrões anormais de tráfego de rede e impedir acesso não autorizado, mesmo quando os indícios de ataque sejam desconhecidos.
Análise de tráfego de rede
Usa o ML para inspecionar os dados de fluxo de rede e identificar anomalias, ajudando a identificar movimentação lateral, exfiltração de dados e comunicação de comando e controle.
Gerenciamento de informações e eventos de segurança (SIEM)
Incorpora o machine learning para correlação de eventos, detecção de anomalias e redução de falso-positivos, com base em dados históricos de eventos de segurança.
Orquestração, automação e resposta de segurança (SOAR)
Usa o aprendizado de máquina para priorizar alertas e recomendar ou automatizar ações de resposta com base em inteligência de ameaças e análise comportamental.
Análise de comportamento de usuários e entidades (UEBA)
Emprega o aprendizado de máquina para estabelecer linhas de base de comportamento normal para usuários e sistemas e, em seguida, sinaliza atividades atípicas que possam indicar uma ameaça de agentes externos ou de pessoas mal-intencionadas.
4 Tipos de machine learning
1. Machine Learning Supervisionado
O aprendizado de máquina supervisionado em segurança cibernética é usado para classificar dados ou prever resultados. Ele utiliza conjuntos de dados rotulados para treinar algoritmos e definir as variáveis a serem avaliadas para correlações, com as entradas e saídas especificadas. Como parte do processo de validação cruzada, quando os dados de entrada são inseridos, o modelo ajusta seus pesos até que sejam ajustados adequadamente para evitar sobreajuste ou subajuste.
O aprendizado de máquina supervisionado em segurança cibernética é usado de diversas formas, inclusive:
- Identificar rótulos exclusivos de riscos de rede, como varredura e spoofing.
- Prever ou classificar uma variável-alvo para uma ameaça de segurança específica (por exemplo, um ataque de negação de serviço distribuído ou ataque DDOS).
- Treinar modelos em amostras maliciosas e não maliciosas para que consigam identificar se novas amostras representam uma ameaça.
Além do aprendizado de máquina em segurança cibernética, é possível usar o aprendizado de máquina supervisionado para:
- Classificação binária: dividir dados em duas categorias.
- Classificação multiclasse: escolher entre mais de dois tipos de respostas.
- Modelagem de regressão: prever valores contínuos.
- Aprendizado de conjunto: combinar as previsões de vários modelos de aprendizado de máquina para gerar uma previsão mais precisa.
Exemplos de técnicas usadas para aprendizado de máquina supervisionado em segurança cibernética:
- Adaptive Boosting.
- Regressão linear.
- Regressão logística.
- Naive Bayes.
- Redes neurais.
- Random Florest.
- Máquinas de vetores de suporte (SVM, Support Vector Machines).
2. Machine Learning por Reforço
O machine learning por reforço é um modelo de ML usado em segurança cibernética que é semelhante ao modelo supervisionado. No entanto, ele treina o algoritmo por tentativa e erro, em vez de usar dados de amostra. Sinais positivos ou negativos são fornecidos e registrados ao longo do caminho, com o algoritmo programado para buscar confirmação e evitar penalidades.
Geralmente, o ML por reforço é usado para ensinar uma máquina a concluir um processo de várias etapas em que as regras são claramente definidas, como no treinamento de robôs.
O aprendizado de máquina por reforço é usado de diversas formas, inclusive:
- Simulação adversarial para treinar modelos de ML a identificar e responder a ataques em tempo real.
- Detecções autônomas de intrusão.
- Sistemas cibernéticos e físicos.
- Defesas contra negação de serviço distribuído (DDoS, Distributed Denial of Service).
Além do ML para segurança cibernética, o aprendizado de máquina por reforço é geralmente usado em situações onde:
- O modelo do ambiente é conhecido, mas não há uma solução analítica disponível.
- Existe apenas um modelo de simulação do ambiente.
- A única maneira de coletar informações ambientais é interagindo com elas.
Exemplos de técnicas usadas para aprendizado de máquina por reforço em segurança cibernética:
- Deep Deterministic.
- Deep Q Network (DQN).
- Policy Gradient (DDPG).
3. Machine Learning Não Supervisado
O aprendizado de máquina não supervisionado em segurança cibernética é usado para analisar e agrupar conjuntos de dados não rotulados (por exemplo, imagens fotográficas, gravações de áudio e vídeo, artigos ou publicações em mídias sociais). Ele pode identificar padrões ocultos ou agrupamentos de dados sem intervenção humana.
O algoritmo varre conjuntos de dados, em busca de padrões que são usados para agrupar informações em subconjuntos. O modelo não supervisionado é mais comumente usado deep learning.
O aprendizado de máquina não supervisionado em segurança cibernética pode ser usado de diversas maneiras, inclusive:
- Detecção de comportamentos incomuns.
- Identificação de novos padrões de ataque.
- Mitigação de ataques de dia zero.
Além do ML em segurança cibernética, o aprendizado de máquina não supervisionado pode ser usado para:
- Detecção de anomalias.
- Mineração de associação.
- Clustering.
- Redução de dimensionalidade (ou seja, redução do número de variáveisem um conjunto de dados).
Exemplos de técnicas usadas para aprendizado de máquina não supervisionado em segurança cibernética:
- Clustering K-means
- Redes neurais
- Análise de componentes principais (ACP)
- Clustering probabilístico
- Decomposição de valor singular (DV)
4. Machine Learning Semissupervisionado
O aprendizado de máquina semissupervisionado em segurança cibernética combina aprendizado de máquina supervisionado e não supervisionado. Ele extrai um pequeno conjunto de dados rotulados de um conjunto maior de dados não rotulados para classificação e extração de características quando não há dados rotulados suficientes para um algoritmo de aprendizado supervisionado. Também é usado quando o custo da rotulagem de um conjunto de dados é muito alto.
O aprendizado de máquina semissupervisionado para segurança cibernética pode ser usado para:
- Redes neurais adversariais
- Identificação de bots maliciosos e não maliciosos
- Detecção de malware
- Detecção de ransomware
Além do ML em segurança cibernética, o aprendizado de máquina semissupervisionado pode ser usado para:
- Detecção de fraudes
- Rotulagem de dados
- Tradução automática
Exemplos de técnicas usadas para aprendizado de máquina semissupervisionado em segurança cibernética:
- Regularização de consistência
- Propagação de rótulos
- Pseudorotulagem
- Autotreinamento
Vantagens do machine learning em segurança cibernética
- Permite que BYOD (Brig Your Own Device, traga seu próprio dispositivo) e CYOD (Choose your Own Device, escolha seu próprio dispositivo) sejam implementados com segurança.
- Automatiza processos de segurança cibernética.
- Aprimora a detecção de ameaças, encontrando-as nos estágios iniciais.
- Permite sistemas de defesa adaptativa e proativa.
- Agiliza os tempos de detecção e resposta a ameaças.
- Identifica vulnerabilidades de rede difíceis de encontrar.
- Internaliza aprendizados de ataques anteriores para prevenir ataques futuros com perfis semelhantes.
- Facilita identificação, priorização e remediação de ataques por analistas de segurança.
- Minimiza erros humanos.
- Possibilita o uso de mecanismos sofisticados de autenticação, como reconhecimento facial e de impressão digital, rastreamento de movimento, escaneamento de retina e reconhecimento de voz.
- Ajuda a prevenir ameaças de segurança em endpoints.
- Fornece insights em relação a ameaças avançadas.
- Reduz as cargas de trabalho.
- Analisa imensos volumes de dados para identificar malware.
- Detecta nuances de comportamento normal para permitir a identificação até mesmo dos menores desvios.
Machine learning aplicado à cibersegurança
Prevenção de ataques DDoS e botnets
É possível treinar os modelos para analisar grandes volumes de tráfego entre diferentes endpoints com o objetivo de identificar e prever, de forma proativa, ataques DDoS (por exemplo, ataques a aplicativos, protocolos e volumétricos) e botnets.
Identificação de web shells
É possível treinar modelos para identificar web shells, apesar de técnicas sofisticadas de evasão.
A detecção de web shells tem se mostrado mais precisa com o machine learning máquina do que com outros sistemas, pois os modelos podem melhorar significativamente as previsões completas para páginas desconhecidas.
Detecção e classificação de ameaças
O ML é usado em aplicativos que facilitam e agilizam a detecção e resposta a ataques. Grandes volumes de dados de eventos de segurança são analisados para identificar padrões de atividades maliciosas.
Quando um incidente é detectado, o modelo toma ações automaticamente. Os conjuntos de dados são extraídos de diversas fontes, como indicadores de comprometimento (IOCs) e arquivos de log do sistema de segurança.
Detecção de malware
Os modelos podem ser treinados para ajudar as soluções antivírus a combater todos os tipos de malware, como adware, backdoors, ransomware, spyware e trojans. O aprendizado de máquina também é eficaz na detecção de malware de dia zero que os sistemas tradicionais baseados em assinaturas não detectam.
Pontuação de risco de rede
O machine learning pode ser usado para analisar dados históricos de ataques cibernéticos e identificar as áreas mais visadas. Isso permite atribuir pontuações de risco com base na localização, na probabilidade e no impacto dos ataques. Essas pontuações ajudam as empresas a priorizar recursos e ações em caso de ameaças generalizadas.
Proteção contra ataques a aplicações
O ML pode ser utilizado para treinar modelos que detectam anomalias em ataques HTTP/S, SQL e XSS, protegendo aplicações propensas a diferentes ataques de Camada 7.
Proteção contra endpoints móveis
O aprendizado de máquina é utilizado em diversas aplicações de detecção e resposta para lidar com ameaças a dispositivos móveis. Outro uso do aprendizado de máquina sofisticado é a proteção contra ataques usando comandos de voz, treinando modelos para diferenciar entre a voz do proprietário e a voz dos hackers.
Centros de operações de segurança (SOCs)
Este caso de uso do ML oferece suporte ao monitoramento, à detecção e à resposta a ameaças à segurança, automatizando a análise de um grande volume de dados gerados.
Prevenção contra ataques de phishing
O machine learning pode ser usado para analisar dados em tempo real e identificar e interromper e-mails de phishing. Treinando modelos com base em cabeçalhos de e-mail, corpo da mensagem e padrões de pontuação, é possível aprender a distinguir entre mensagens maliciosas e legítimas, identificando padrões que revelam tentativas de phishing. Os modelos também podem ser treinados para identificar URLs maliciosas incorporadas a e-mails que parecem inofensivos.
Automação de tarefas
O aprendizado de máquina destaca-se na automação de tarefas de segurança demoradas, repetitivas e propensas a erros, como análise de logs de rede, análise de ameaças, triagem inteligente e avaliação de vulnerabilidades. Além de fornecer automação, o ML pode identificar ameaças e anomalias com mais rapidez e precisão do que processos manuais.
Análise de comportamento de usuários e entidades (UEBA)
A UEBA (User and Entity Behavior Analytics) utiliza o aprendizado de máquina para fornecer visibilidade completa de usuários e entidades, detectar comprometimentos de contas e mitigar e detectar atividades internas maliciosas ou anômalas. Usando os algoritmos, as bases para padrões de comportamento normal são estabelecidas e usadas em casos de atividades suspeitas, como login fora do horário habitual, acesso remoto inconsistente ou volume incomum de downloads.
Monitoramento e segurança de e-mail
O Processamento de Linguagem Natural (PLN), um tipo de aprendizado de máquina, é eficiente para monitorar e avaliar e-mails em busca de malwares e vírus sem precisar abrir a mensagem. Ele também pode detectar phishing, analisando cabeçalhos de e-mails, conteúdo da mensagem, links e padrões de envio para sinalizar tentativas de phishing.
Detecção de ameaças internas
Ao aprender os comportamentos básicos do usuário (por exemplo, horários de login, padrões de acesso a arquivos), os modelos de aprendizado de máquina podem detectar atividades incomuns que indicam um usuário mal-intencionado, como um usuário que baixa grandes volumes de informações confidenciais.
Ajuste de firewall
Os modelos de aprendizado de máquina ajudam ferramentas de firewall a distinguir entre tráfego legítimo e solicitações maliciosas (por exemplo, injeção de SQL ou scripts entre sites), aprendendo padrões no tráfego real ao longo do tempo.
Biometria comportamental para autenticação
O aprendizado de máquina analisa continuamente o comportamento humano, por exemplo, a forma como um usuário digita, move o mouse ou interage com um dispositivo. Isso ajuda a detectar impostores, mesmo que as credenciais corretas de login sejam usadas.
Busca de ameaças e investigação forense
O ML facilita a busca de ameaças e o trabalho forense, processando o grande volume de informações em arquivos de log e dados de telemetria para descobrir ameaças ocultas, correlacionar indicadores de comprometimento (ICs) e identificar padrões de ataque.
Detecção de ataques à cadeia de fornecedores
Os modelos de aprendizado de máquina podem identificar padrões incomuns em atualizações de software, comportamento de ferramentas de terceiros ou acesso de fornecedores para sinalizar potenciais comprometimentos na cadeia de fornecedores.
Avaliação de modelos de aprendizado de máquina
Nos casos em que um modelo de machine learning não está integrado a uma solução, é necessário ter cuidado ao avaliar e selecionar modelos adequados para a segurança cibernética. Ao procurar por um modelo de aprendizado de máquina adequado ao caso de uso e aos dados, considere:
- Identificar os recursos que estão disponíveis para dar suporte aos modelos de aprendizado de máquina (por exemplo, treinamento, monitoramento, manutenção e avaliação do sucesso).
- Estabelecer o objetivo e identificar possíveis entradas de dados.
- Avaliar os resultados dos modelos para casos de uso semelhantes.
- Entender a quantidade de dados necessária para que o modelo seja eficaz.
Desafios e considerações sobre o machine learning
Sem dúvida, o machine learning aplicado à segurança cibernética é uma nova função poderosa e eficaz. No entanto, ele apresenta desafios.
Alguns dos desafios citados com mais frequência em relação ao aprendizado de máquina são:
- Algoritmos treinados com conjuntos de dados que excluem certas informações ou contêm erros podem levar a modelos imprecisos.
- Monitoramento e manutenção são necessários para manter os modelos com desempenho ideal.
- Modelos de ML excessivamente sensíveis podem gerar falso-positivos, o que pode levar à fadiga de alertas e à redução da confiança no sistema.
- O grande volume de dados necessário para alimentar a aprendizagem de máquina exige recursos computacionais e de processamento de dados mais altos.
- A baixa qualidade dos dados pode comprometer o desempenho dos modelos usados para aprendizado de máquina em segurança cibernética.
- O ML em segurança cibernética tem dificuldade em identificar ameaças de dia zero por causa da falta de assinaturas ou padrões conhecidos que possam ser usados como exemplos para direcionar os modelos.
O sobreajuste e o subajuste também criam desafios resultantes da degradação em modelos de aprendizado de máquina.
- O sobreajuste ocorre quando um modelo de aprendizado de máquina é treinado com muitos dados e começa a capturar ruído e dados imprecisos no conjunto de dados de treinamento, afetando negativamente seu desempenho.
- O subajuste ocorre quando um modelo não consegue aprender completamente os padrões dos dados de treinamento e não consegue fornecer resultados precisos.
Mitos do machine learning
| Mitos do aprendizado de máquina | Realidade |
|---|---|
| O machine learning em segurança cibernética pode substituir totalmente os especialistas humanos. | Embora poderoso, o machine learning não substitui profissionais qualificados em segurança cibernética que oferecem conhecimento contextual, criatividade, pensamento crítico, intuição e uma compreensão profunda de vetores de ataque complexos e do pensamento dos cibercriminosos. |
| O machine learning consegue resolver todas as ameaças e vulnerabilidades. | Alguns tipos de ataques, como explorações de dia zero ou ataques altamente direcionados e sofisticados, podem passar despercebidos por modelos de machine learning que não foram treinados nessa área. |
| Modelos de machine learning em segurança cibernética não cometem erros. | Modelos de aprendizagem de máquina são tão bons quanto os conjuntos de dados com os quais eles são alimentados. Os resultados ficarão abaixo da média ou incorretos se os dados estiverem incompletos ou imprecisos. |
| O machine learning torna os ataques ineficazes. | Embora os modelos de aprendizagem de máquina possam ajustar as defesas para combater vetores de ataques cibernéticos, os criminosos ajustam continuamente suas estratégias com alto grau de eficácia. |
| O machine learning em segurança cibernética é imune a ataques adversariais. | Infelizmente, o aprendizado de máquina é suscetível a ataques adversariais. Se um invasor conseguir injetar dados enganosos ou incorretos em um conjunto de dados de treinamento, o modelo gerará resultados imprecisos ou fará previsões incorretas. |
| O machine learning está disponível apenas para grandes organizações. | O aprendizado de máquina está disponível e é amplamente utilizado. Qualquer organização pode usar e se beneficiar do ML em algum nível, aproveitando ferramentas de segurança fáceis de usar, serviços de segurança baseados em nuvem e modelos pré-integrados. |
| É preciso ter grandes volumes de dados para que o machine learning funcione. | A eficácia do aprendizado de máquina melhora com o volume de dados fornecido, mas os modelos podem ser utilizados e treinados com quantidades menores de dados, desde que tenham qualidade. |
O aprendizado de máquina em segurança cibernética reforça soluções que combatem ameaças
O uso do machine learning em cibersegurança adiciona às soluções uma vantagem diferenciada, permitindo que se ajustem e se tornem mais eficazes com o tempo e com a experiência adquirida.
A inteligência de ameaças gerada pelo aprendizado de máquina não apenas apoia a proteção proativa contra ameaças, mas também ajuda a tornar as soluções ainda melhores. O ML é onipresente e espera-se que seja parte integrante de muitas soluções.
AVISO LEGAL: AS INFORMAÇÕES CONTIDAS NESTE ARTIGO SÃO APENAS PARA FINS INFORMATIVOS. NENHUM ITEM NESTE ARTIGO TEM A INTENÇÃO DE CONSTITUIR QUALQUER TIPO DE ASSESSORIA JURÍDICA. A SAILPOINT NÃO PODE FORNECER ESSE TIPO DE ORIENTAÇÃO E RECOMENDA QUE VOCÊ CONTATE UM ASSESSOR JURÍDICO PARA QUESTÕES JURÍDICAS APLICÁVEIS.
