Por João Abreu, SSE Endpoint Security, Fortinet
A Inteligência Artificial (IA) entrou no zeitgeist público com o lançamento do ChatGPT no final de 2022 (apesar do estudo sobre o machine learning e a IA estar em curso há décadas). A IA é um tópico extraordinariamente amplo que significa muitas coisas para muitas pessoas. No caso dos profissionais de cibersegurança, estes podem aproveitar a IA como uma ferramenta prática para assumir tarefas específicas, criando assim soluções para que as equipas de TI dediquem mais tempo a temas mais urgentes ou interessantes.
Um exemplo muito ilustrativo são os grandes modelos de linguagem (LLM) que se generalizaram recentemente (por exemplo, ChatGPT, Google Bard, Microsoft Bing AI). Naturalmente que a IA vai além dos chatbots.
Se tivermos como exemplo a função de Threat Intelligence Engineer, estes têm, como principais tarefas, investigar, fazer engenharia inversa e escrever sobre as suas investigações de malware. Cada tarefa requer várias etapas (às vezes únicas, dependendo do tema). E, às vezes, muitas dessas etapas podem consumir muito tempo. É aqui que entra a automatização.
A automatização é como um Santo Graal para o sector da segurança. Permite que os dados sejam recolhidos e correlacionados, que as ameaças ou vulnerabilidades sejam identificadas e que uma resposta totalmente coordenada ocorra antes que um agente malicioso possa concluir o seu objetivo. E, em muitos casos, existem ferramentas que permitem esta atividade, como as soluções SOAR (Security Automation and Orchestration). No entanto, há locais e cenários em que este tipo de tecnologia não está disponível ou não é prática, especialmente numa escala mais reduzida.
A IA pode ajudar em algumas destas circunstâncias
Uma das tarefas mais comuns dos Threat Intelligence Engineers é criar regras YARA, uma ferramenta de código aberto e multiplataforma que utiliza strings e correspondência de padrões binários para ajudar na identificação e classificação de malware. Escrever tais regras requer uma reflexão cuidadosa sobre o que deve ser procurado. Em muitos casos, envolve a utilização de termos atuais, especialmente itens nas notícias que podem ser prontamente adaptados a nomes de ficheiros e lures de e-mail que levam as pessoas a clicar neles. Com acesso à Internet e capacidade de navegação, a IA pode encurtar este processo. Em vez de pesquisar manualmente, podemos instruir a IA para resumir uma página inteira de notícias.
Por sua vez, ao investigar samples de malware, é muitas vezes necessário escrever scripts ou aplicações autónomas para cenários que requerem demasiado tempo ou trabalho utilizando outro método.
Antes de introduzir a IA no trabalho, isto significava encontrar um script mais antigo no equipamento de desenvolvimento/análise e depois adaptá-lo para resolver o problema em que estivessem a trabalhar. Mas agora, mesmo que o estado final ainda exija algum código manual, a IA reduz ao mínimo a configuração inicial e a criação de protótipos.
Ocasionalmente, as secções de malware são também criadas e implementadas utilizando uma linguagem menos propícia à análise, e torna-se mais fácil analisá-las traduzindo essas secções para algo mais familiar.
Um excelente exemplo é a Go, uma linguagem de desenvolvimento criada pela Google. Go está a ganhar seguidores porque tem várias melhorias na segurança da memória que lhe conferem vantagens em relação às linguagens C e C++ tradicionais.
IA (tal como está) pode ter consequências indesejáveis
É possível obter código que não funciona como desejado, ou as respostas às perguntas podem resultar no que é conhecido como alucinação, em que uma resposta confiante não é justificada por dados. Por exemplo, a IA pode partilhar com confiança informações incorretas ou, pior ainda, que parecem ter sido totalmente inventadas.
Consequentemente, a verificação dos resultados antes de os utilizar é uma tarefa crítica de garantia de qualidade para assegurar que se obtêm pressupostos e conclusões corretos.
Quer queiramos, quer não, a era da IA está a chegar. No entanto, é vital reconhecer as suas limitações e incorporá-la como mais uma ferramenta no nosso dia a dia. Em última análise, é a forma como é utilizada pelas pessoas e organizações que determinará o seu benefício ou prejuízo para a sociedade.
