Como a Inteligência Artificial está a redefinir a Cibersegurança

Esta dinâmica de constante evolução torna-se ainda mais crítica quando consideramos a escala e a sofisticação dos ataques modernos. Uma estratégia frequentemente adotada pelos cibercriminosos é a massificação dos ataques, na tentativa de atingir o maior número de pessoas possível. Desta forma, mesmo que apenas uma pequena percentagem dos ataques tenha sucesso, a escala em que são realizados acaba por ser atingida largamente.

Esta crescente complexidade e volume de ameaças é fruto de, tanto atacantes como defensores, terem começado a recorrer à Inteligência Artificial (IA). A IA tornou-se uma ferramenta essencial para massificar e melhorar os ataques – e as defesas –, permitindo uma automação mais inteligente. A automação é crucial para reduzir falsos positivos na defesa e aumentar os verdadeiros positivos nos ataques, o que seria extremamente difícil de alcançar manualmente, dada a escala envolvida.

A IA está a ganhar cada vez mais espaço nas tecnologias e a substituir os humanos em muitas das tarefas mais simples, agilizando processos que antes eram manuais. Do ponto de vista do atacante, é relativamente fácil descrever o que se pretende e obter um código malicioso base para ser utilizado. Na defesa, a IA pode ser treinada para detetar com eficiência emails de phishing ou spam, automatizando uma parte significativa do processo e aliviando a carga sobre os analistas humanos.

Um marco significativo na evolução da IA na cibersegurança foi a competição “Rise of the Machines”, apresentada em 2015 na DEFCON e financiada pela DARPA. Esta competição demonstrou as capacidades iniciais das máquinas para identificar e explorar vulnerabilidades autonomamente. O objetivo era conseguir identificar o maior número de vulnerabilidades no tempo disponível, com o último dia dedicado à apresentação dos resultados. Esta competição, que ocorreu há quase 10 anos, exemplificou as capacidades embrionárias da IA. Desde então, estas capacidades evoluíram significativamente, aproximando-se cada vez mais da eficiência humana.

Hoje, a verdadeira força da IA reside na capacidade de criar modelos complexos que podem ser aplicados diretamente em operações de cibersegurança. Contudo, a criação de tais modelos e as suas permutações ainda não está ao alcance de todos. Para ilustrar essa evolução, podemos comparar o modelo OpenLLaMA 3.1, que contém 70 biliões de parâmetros, com o ChatGPT, que opera com mais de 15 triliões de parâmetros. Apesar da diferença substancial na complexidade, os modelos menos sofisticados já permitem realizar muitas tarefas com eficácia, sendo acessíveis para aplicações práticas.

Por exemplo, é possível utilizar modelos open source para interpretar emails, fornecendo um feedback sobre a possibilidade de serem spam ou phishing. Os resultados obtidos com esta abordagem têm sido bastante positivos, demonstrando que até mesmo modelos menos avançados podem ser úteis em contextos práticos. Além disso, a IA tem permitido a criação de emails personalizados que ajudam a educar os utilizadores, destacando indicadores do email original que sugerem a sua maliciosidade.

Na defesa, a IA oferece a possibilidade de interagir com os modelos para obter informações adicionais sobre potenciais ameaças, fazendo correlações com técnicas do MITRE ATT&CK Framework e com fontes de inteligência sobre ameaças (Threat Intelligence). Esta capacidade de enriquecer as respostas a incidentes com informações precisas e contextuais permite aos analistas tomar decisões mais informadas e rápidas, resultando numa resolução mais eficiente dos incidentes.

Apesar dos avanços significativos, é importante reconhecer que a IA, embora reduza significativamente os tempos de resposta e minimize a necessidade de intervenção humana nas equipas de resposta a incidentes (SOC/CSIRT), ainda não consegue substituir completamente os humanos. Pelo contrário, a utilização crescente da IA está a exigir que os profissionais se especializem cada vez mais nas suas áreas, aumentando assim a procura de talento técnico no mercado. Nesse contexto, a formação contínua torna-se essencial. Com a rápida evolução das tecnologias e a constante introdução de novas ferramentas e técnicas, os profissionais precisam de estar em constante atualização. A formação especializada permite não apenas a aquisição de novos conhecimentos, mas também o desenvolvimento de competências críticas para lidar com as ameaças emergentes. Investir em formação é, portanto, um elemento-chave para garantir que as equipas de cibersegurança estão preparadas para enfrentar os desafios colocados pela IA, mantendo-se à frente dos atacantes e protegendo eficazmente as infraestruturas digitais.