Como a IA está alimentando uma nova geração de ataques cibernéticos
A batalha dos algoritmos começou
Era 2017 e um hacker havia obtido acesso a um sistema digital em uma organização na Índia. No início, parecia apenas uma intrusão normal – o tipo que acontece milhares de vezes por dia. Mas este era diferente.
Ao examinar o incidente de hacking, a empresa de segurança cibernética Darktrace descobriu que o invasor havia analisado o comportamento digital da organização para que pudesse imitá-lo e permanecer oculto. Eles não fizeram isso manualmente – eles usaram um software de aprendizado de máquina para fazer isso por eles. Darktrace detectou o ataque porque sabia como era o comportamento normal daquela organização. A empresa de segurança cibernética usa IA para entender os ‘padrões de vida’ das organizações para detectar desvios sutis indicativos de uma ameaça cibernética. O incidente na Índia indicou uma tendência preocupante: os invasores também estavam começando a usar a IA.
Mudando o equilíbrio de poder
A IA é uma virada de jogo no conflito de ‘gato e rato’ entre os defensores de ambientes digitais críticos e hackers que procuram atacar esses sistemas. Os ataques tradicionais contam com hackers humanos que fazem o melhor para navegar pelas defesas digitais de uma empresa. Agora, da mesma forma que empresas legítimas usam IA para interromper setores importantes, os hackers estão usando IA para automatizar seus ataques, gerando novas eficiências em suas operações. Bem-vindo ao mundo da IA ofensiva.
O uso de IA para ataques cibernéticos parece destinado a inclinar ainda mais a balança a favor dos invasores e está acontecendo mais rapidamente do que você imagina. Em seu relatório sobre IA ofensiva, a Forrester perguntou a mais de 100 tomadores de decisões de segurança cibernética sobre as ameaças à segurança que enfrentam. Quase nove em cada dez pensaram que seria inevitável que esses ataques se tornassem comuns e quase a metade esperava ver alguns neste ano.
AI de armamento
As agências de inteligência já perceberam o potencial da IA como ferramenta de hacking. A Defense Advanced Research Projects Agency (DARPA) realizou um desafio de hacking baseado em IA em 2016 para explorar como a tecnologia poderia automatizar técnicas de ataque e defesa. Este Cyber Grand Challenge foi apenas o começo. Desde então, tem explorado técnicas de hackeamento de IA assistida por humanos em um projeto chamado CHESS (Computers and Humans Exploring Software Security).
Por que os invasores são tão atraídos pela IA como ferramenta ofensiva, principalmente quando os ataques sem ela ainda estão funcionando? Para um grupo de criminosos cibernéticos, os benefícios de alavancar a IA em seus ataques são pelo menos quatro vezes maiores:
- Isso dá a eles uma compreensão do contexto
- Ajuda a aumentar as operações
- Isso torna a detecção e atribuição mais difícil
- Em última análise, aumenta sua lucratividade
Os invasores têm recursos finitos, como todos os outros, portanto, estão sempre em busca de tecnologias que possam permitir que façam mais com menos. Usar a IA para automatizar esses ataques dá a eles um exército digital virtual de invasores, todos operando na velocidade do computador.
A Forrester descobriu que 44 por cento das organizações já levam mais de três horas para detectar uma infecção, enquanto quase 60 por cento demoram mais de três horas para entender seu escopo. Um invasor que usa IA pode infectar um sistema em segundos e aumentar ainda mais esse intervalo de tempo, dando-lhes mais tempo para localizar e roubar dados valiosos.
Reconhecimento alimentado por IA
A IA e a automação ofensivas afetarão todas as partes do ciclo de vida do ataque, desde o reconhecimento inicial até o estágio final: geralmente ransomware ou exfiltração de dados.
Durante a fase de reconhecimento, os bots automatizados podem vasculhar milhares de contas de mídia social na velocidade da máquina, selecionando de forma autônoma os principais alvos para caça submarina. Os chatbots podem interagir com esses funcionários através das redes sociais para ganhar confiança, construindo relacionamentos com eles. A tecnologia por trás disso está melhorando diariamente – por exemplo, considere o sucesso do modelo de geração de texto GPT-3 da OpenAI.
Antes de enviar e-mails de spearphishing em grande escala, talvez você precise colocar um rosto em um nome em sua conta de e-mail recém-criada. Rostos Deepfake, criados por redes neurais adversas generativas, estão disponíveis online gratuitamente. Eles também fazem ótimas fotos de perfil para pessoas falsas em sites de mídia social como o LinkedIn.
Deepfakes oferece outro forte vetor de ataque para cibercriminosos. Nem todos os ataques que os usam são visuais. Os fraudadores usaram a IA para imitar a voz do executivo-chefe alemão de uma empresa de energia durante uma conversa por telefone com seu CEO baseado no Reino Unido. O golpe foi bom o suficiente para enganar a empresa por € 220.000. As coisas só vão piorar: a Forrester prevê que os deepfakes custarão às empresas US $ 250 milhões este ano.
Era uma vez, os spearphishers tinham que passar horas rastreando e traçando perfis de alvos específicos antes de tentar enganá-los. A capacidade da AI de analisar e imitar a linguagem automaticamente significa que ela pode lançar ataques em grande volume por meio de sites de mídia social. A empresa de segurança ZeroFOX demonstrou isso, escrevendo uma ferramenta de protótipo baseada em rede neural que “lia” postagens direcionadas ao Twitter e, em seguida, criava tweets que soavam convincentes, visando pessoas específicas. Esses tweets podem facilmente persuadir as pessoas a baixar documentos maliciosos e infectar um computador.
Escondendo-se em plena vista
Esses recursos agora permitem que os invasores lancem ataques de email direcionados e sofisticados que parecem indistinguíveis da comunicação legítima. Depender de funcionários para diferenciar amigo de inimigo torna-se uma causa perdida. Basta um e-mail malicioso chegar para que os invasores carreguem as chaves do reino.
O próximo estágio envolve mover-se lateralmente pela rede para encontrar outras máquinas para explorar, conectando-se a diferentes partes da infraestrutura da empresa.
A chave é fazer isso furtivamente, e a IA também pode ajudar aqui. Empire é uma estrutura de hacking pós-exploração que torna mais fácil para os invasores se comunicarem com seu malware, uma vez que ele esteja em um sistema. De acordo com o Darktrace, também permite que escondam suas atividades à vista de todos, restringindo o tráfego de comando e controle a períodos de pico de atividade.
O malware também pode usar a IA para se ocultar, tornando seu comportamento imprevisível. Em 2018, a IBM Research anunciou o DeepLocker , um sistema que incorporou sua carga útil em um aplicativo de aparência inócua como software de videoconferência. Ele usou uma rede neural profunda para decidir quando dispararia sua carga útil, dificultando o teste em uma sandbox. Em testes, a IBM programou o AI para disparar apenas se reconhecesse a face de um usuário específico do sistema.
No futuro, as ferramentas automatizadas de tomada de decisão podem mover-se em um sistema sem nenhuma orientação dos hackers, minimizando ou até eliminando o tráfego de comando e controle revelador.
Depois de se conectar a uma série de sistemas, é hora do hacker elevar seus privilégios. Isso requer credenciais de login. A quebra de senhas tem sido tradicionalmente um caso de força bruta, envolvendo ataques de dicionário contra listas de palavras conhecidas e combinações alfanuméricas óbvias. Os invasores podem refinar esses ataques usando palavras-chave que sejam mais relevantes para esse usuário ou organização. Para fazer isso, ele precisa ler o site do alvo.
As partes principais do site são protegidas por um CAPTCHA? Sem problemas. Um disjuntor CAPTCHA com tecnologia de IA pode obter acesso a sites selecionando imagens de semáforos ou reconhecendo textos (há APIs online disponíveis por menos de um dólar por vez). Uma vez lá, é fácil rastrear o site usando uma ferramenta única de extração de palavras como CeWL . Embora essa ferramenta não use IA, existem outras provas de conceito que levam as coisas um estágio adiante. Pesquisadores do Stevens Institute of Technology em Hoboken, New Jersey, criaram o PassGAN , uma ferramenta que alimenta listas de palavras exclusivas em redes adversárias geradoras (a mesma técnica usada em deepfakes) para gerar grandes volumes de senhas prováveis.
Para onde vamos daqui?
A dificuldade de atribuição de crimes cibernéticos torna difícil saber quando um ataque não tem um humano por trás do teclado. No entanto, existem marcas registradas, como ataques que parecem se misturar ao ambiente e malware que está ciente dos ambientes de sandbox e altera seu comportamento de acordo. E de acordo com Darktrace, essas marcas estão se tornando cada vez mais comuns nos ataques cibernéticos de hoje. À medida que os ataques baseados em IA aumentam, as ferramentas de segurança legadas não serão capazes de vê-los porque usam conjuntos de regras inflexíveis. Os algoritmos adaptativos da AI calcularão maneiras de evitá-los.
Em vez disso, devemos nos preparar para combater fogo com fogo, combatendo o uso da IA como arma para defender nossas próprias redes. Mais de 80% dos entrevistados da Forrester acreditam que precisamos de ferramentas que “pensem” da mesma forma que esses novos ataques com IA.
Em vez de usar regras para identificar sinais predefinidos de comportamento malicioso, a segurança cibernética alimentada por IA procura por qualquer coisa que se desvie do comportamento que considera normal. Para fazer isso, a tecnologia vai além dos pontos de dados individuais, como conteúdo de e-mail, domínios e endereços IP. Ele avalia dinamicamente centenas de pontos de dados, avaliando-os não em relação a regras estáticas, mas como parte de um modelo estatístico mais amplo que leva em consideração todo o histórico de eventos nos domínios de email, nuvem e rede.
Ao aprender os ‘padrões de vida’ para cada usuário e dispositivo em uma organização, a IA defensiva pode estabelecer o que é e o que não é comportamento ‘normal’. Quando ele vê atividades que se desviam desses padrões de vida, ele dá o alarme. Para causar danos, os invasores – sejam humanos ou IA – devem, por definição, fazer algo fora do comum. Sua compreensão em constante evolução de como é “comum” é o que ajuda a IA defensiva a reagir.
A adaptabilidade é uma parte fundamental dessa abordagem porque a tecnologia está em constante retreinamento para acomodar novos dados. Isso é importante porque o que é normal para uma organização um mês pode não ser normal três ou seis meses depois, especialmente depois de um evento global como uma pandemia que altera sismicamente os padrões de trabalho.
E a visibilidade é crucial para decidir o vencedor final nesta batalha de algoritmos. A defesa cibernética de IA tem uma visão geral de todo o ambiente digital – não apenas uma subseção dele. O invasor pode fazer uma incursão ou incursões, mas, em última análise, nunca terá essa visibilidade completa e, portanto, a compreensão dos defensores de ‘normal’ será sempre mais precisa, mais atualizada e mais informada.
Parte de qualquer estratégia de combate envolve olhar não apenas para a luta de hoje, mas também para a luta de amanhã. Os defensores inteligentes anteciparão a próxima geração de armas de ataque e prepararão defesas adequadas. Em um ponto em que estamos enfrentando uma mudança radical na capacidade, essa abordagem voltada para o futuro é mais importante do que nunca.
Patrocinado por Darktrace
Fonte: https://www.theregister.com/2020/11/18/the_battle_of_the_algorithms
