• A Arte e a Ciência de Detecção de Ameaças Emergentes

    Através de uma entrevista concedida, o executivo Stephen Huxter, COO da Darktrace, fala sobre os desafios envolvidos na detecção de ameaças emergentes, Recursive Bayesian Estimation, a evolução de AI, e muito mais. Ao ser perguntado logo no início da entrevista sobre os os obstáculos mais relevantes quando se trata de detectar ameaças emergentes, o executivo disse que a detecção de ameaças se desenvolve de forma bastante complexa, porque as pessoas está lidando com a incerteza. No cenário atual de ameaças, é necessário enfrentar o risco de intrusos que agem de forma extremamente sofisticadas, que mudam constantemente e aperfeiçoa, seus métodos, a fim de perpetrar a sua missão. Isso envolve insiders que abusam dos direitos de acesso legítimos com a má intenção de manipular dados.


    Dificuldade na Detecção de Ataques

    Esses tipos de ataques são muito difíceis de detectar, pois não há livro de regras que nos diz como eles irão se comportar. Um intruso inteligente pode estar dentro de uma organização por semanas ou meses, e esconder os seus movimentos utilizando uma rede que tenha um alto tráfego de dados. Dessa forma, fica extremamente difícil de detectar quaisquer que sejam os tipos de ataques, porque muito do que eles fazem pode ser legítimo.


    A indústria de segurança da informação faz um trabalho digno de encontrar as ameaças que já foram identificados e classificadas, mas esforça-se com o trabalho de detecção de ameaças sem precedentes. De acordo com o executivo, foi possível ver exemplo após exemplo de cyber-ataques prejudiciais contra grandes empresas, aparentemente bem defendidos, executados por agentes de ameaças sofisticadas que ignoram, com sucesso, todas as defesas de segurança tradicionais. Diante disso, a questão é: como você vai encontrar alguma coisa quando você não sabe o que está procurando?

    Acontece que estamos vendo uma transição na indústria atual, onde há um abandono em relação a ilusão de 100% de segurança de rede - o perímetro quase se tornou um conceito teórico em redes de maiores dimensões, de alta complexidade e globais dos dias de hoje. Ao invés disso, o desafio é entender o que está acontecendo dentro do firewall, avaliar o grau de risco que enfrentamos a qualquer momento e priorizar as ameaças de alto nível sobre os incidentes de baixo nível, a fim de proteger nossas redes de informação de modo proporcionado.


    Como Recursive Bayesian Estimation Ajuda a Fortalecer a Segurança de TI?

    Ao adotar a abordagem baseada em probabilidade, a qual a matemática Recursive Bayesian Estimation permite, as organizações podem aumentar a sua capacidade de detectar as ameaças que estão em andamento dentro de seus sistemas internos, e operar de uma forma dinâmica e secreta. Este ramo da matemática foi desenvolvido por matemáticos de classe mundial na Universidade de Cambridge, e aplicado ao desafio da segurança cibernética para entregar o primeiro Enterprise Immune System.

    Dessa forma, a matemática usa uma abordagem de aprendizagem não supervisionada, o que significa que ela funciona estatisticamente a padrões de atividade e classifica seus aprendizados sem qualquer conhecimento ou suposições prévias. Dentro de uma rede corporativa, existe um processo de monitoramento de análise das informações, calculando continuamente probabilidades de comportamentos anômalos, com base na mudança de provas.


    "Probabilidade" como Palavra-chave

    A palavra-chave é a probabilidade - isso denota que não estamos falando de certezas, mas de estabelecer o melhor possível, o entendimento com base em evidências de ameaças em constantes mudanças em ambientes de informação complexos. Em última análise, esta inovação permite que que o foco em segurança relacionado à mitigação de ameaças, seja feito de forma pró-ativa e assim, possa responder a incidentes de nível superior, ao invés de ficar preso em um modo reativo e lidar com as enormes ocorrências de falsos positivos.


    Refinamento na Detecção de Situações Anômalas

    Sem o conhecimento prévio de como uma ameaça pode se manifestar, o Recursive Bayesian Estimation fortalece adequadamente o sistema que, constantemente, passa a refinar sua compreensão da normalidade e anormalidade em tempo real. A partir daí, ele evolui em sintonia com a organização a fim de encontrar comportamentos relevantes e altamente anômalos, que requerem intervenção oportuna de algum tipo ou natureza.

    Na sequência, levando em consideração os novos avanços na aprendizagem, os matemáticos estão transformando nossa capacidade de defesa contra ameaças em algo muito complexo, que exige tomadas de decisão bastante rápidas. Ao mesmo tempo, devemos lembrar que estamos apenas no início dessa transição. Estamos começando a ver o Immune System Enterprise tornar-se um componente essencial das estratégias de segurança de hoje, em que a máquina entende o que está acontecendo na rede e vê ameaças, e dessa maneira, o humano faz o alto valor do trabalho responder às ameaças mais desenvolvidas e que oferecem maiores riscos.

    Além de tudo isso, é importante lembrar que a segurança cibernética é um problema muito difícil de resolver - e pode ser insolúvel. No entanto, no futuro, vamos ver, sem dúvida alguma, o desenvolvimento e a aplicação de métodos de aprendizado que trarão ao âmbito da segurança da informação, novos níveis de sofisticação e melhorias relacionadas a nossa capacidade de defender os nossos ativos, quando se trata de informações essenciais.


    Evolução e Poder de Soluções de Detecção de Ameaças

    Quando foi perguntado ao executivo quais são as características essenciais de uma poderosa solução de detecção de ameaças, ele disse que "à medida em que fazemos a transição para uma nova fase de defesa cibernética, que leva em conta, de fato, a vulnerabilidade das nossas redes e inevitabilidade de intrusões, as ferramentas de detecção de ameaças são forçadas a evoluir também". Os atacantes mais audaciosos e perigosos não utilizam a mesma metodologia duas vezes - eles usam a força dos seus recursos e inteligência para manobrar em torno de ambientes do seu alvo, sem provocar nenhum vestígio de preocupação.

    Por esta razão, as ferramentas de detecção de ameaças precisam ser capazes de detectar mais ameaças conhecidas, com base em inteligência obtida a partir de metodologias de ataques anteriores. "Se nós queremos fazer mais do que apenas reagir a ataques cibernéticos, essas soluções também devem detectar comportamentos que, anteriormente, não foram notados", disse o executivo.

    Além do mais, as características essenciais desta abordagem de estilo Immune System incluem a capacidade de auto-aprender, para operar em tempo real e se adaptar, constantemente, a um contexto de negócios em constante evolução e meio ambiente. Além disso, é necessário que haja um nível suficiente de visibilidade na rede, que lhes permite detectar indicadores muito fracos que, quando combinados, podem pintar uma imagem atraente e perigosa.

    O valor fundamental em soluções virtuais de última geração, reside nesta capacidade de entender e calcular diferentes probabilidades - para que sejam postas em prática quando um determinado comportamento constitui atividade anormal e potencialmente ameaçador. Somente ao abraçar a incerteza, os departamentos de TI, em específico os departamentos de Segurança da Informação das empresas, podem recuperar a vantagem contra os seus adversários, além de gerenciar todos os riscos, de forma eficaz e pragmática.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/article.php?id=2090&p=1

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L