3min. de leitura

A inteligência artificial (IA) tem sido uma aposta na segurança cibernética há vários anos, mas a ampla adoção de grandes modelos de linguagem (LLMs) fez de 2023 um ano especialmente empolgante. Na verdade, os LLMs já começaram a transformar todo o cenário da segurança cibernética. No entanto, isso também gera desafios sem precedentes.

Por um lado, os LLMs facilitam o processamento de grandes quantidades de informações e permitem que todos aproveitem a IA. Eles podem proporcionar enorme eficiência, inteligência e escalabilidade para gerenciar vulnerabilidades, prevenir ataques, tratar alertas e responder a incidentes.

Por outro lado, os adversários também podem aproveitar os LLMs para tornar os ataques mais eficientes, explorar vulnerabilidades adicionais introduzidas pelos LLMs, e o uso indevido dos LLMs pode criar mais problemas de segurança cibernética, como o vazamento não intencional de dados devido ao uso onipresente da IA.

A implantação de LLMs exige uma nova maneira de pensar sobre a segurança cibernética. Ela é muito mais dinâmica, interativa e personalizada. Na época dos produtos de hardware, o hardware só era alterado quando era substituído pela próxima nova versão de hardware. Na era da nuvem, o software podia ser atualizado e os dados dos clientes eram coletados e analisados para melhorar a próxima versão do software, mas somente quando uma nova versão ou patch era lançado.

Agora, na nova era da IA, o modelo usado pelos clientes tem sua própria inteligência, pode continuar aprendendo e mudar com base no uso do cliente — para atender melhor aos clientes ou se desviar na direção errada. Portanto, não apenas precisamos criar segurança no design – garantir que criamos modelos seguros e evitar que os dados de treinamento sejam envenenados – mas também continuar avaliando e monitorando os sistemas de LLM após a implantação quanto à sua segurança, proteção e ética.

O mais importante é que precisamos ter inteligência incorporada em nossos sistemas de segurança (como incutir os padrões morais corretos nas crianças em vez de apenas regular seus comportamentos) para que eles possam ser adaptáveis para fazer discernimentos corretos e robustos sem se desviar facilmente de comportamentos errados.

O que os LLMs trouxeram para a segurança cibernética, de bom ou de ruim? Vou compartilhar o que aprendemos no ano passado e minhas previsões para 2024.

Olhando para trás em 2023

Quando escrevi The Future of Machine Learning in Cybersecurity (O futuro do aprendizado de máquina na segurança cibernética) há um ano (antes da era do LLM), apontei três desafios para a IA na segurança cibernética: precisão, escassez de dados e ausência de verdade absoluta, bem como três desafios comuns de IA, mas mais graves na segurança cibernética: explicabilidade, escassez de talentos e segurança da IA.

Agora, um ano depois, após muitas explorações, identificamos a grande ajuda dos LLMs em quatro dessas seis áreas: escassez de dados, ausência de verdade absoluta, explicabilidade e escassez de talentos. As outras duas áreas, precisão e segurança da IA, são extremamente importantes, mas ainda muito desafiadoras.

Resumi as maiores vantagens do uso de LLMs na segurança cibernética em duas áreas:

1. Dados

Dados rotulados

O uso dos LLMs ajudou a superar o desafio de não ter “dados rotulados” suficientes.

É necessário contar com dados rotulados de alta qualidade para tornar os modelos de IA e previsões mais precisos e adequados para casos de uso em segurança cibernética. No entanto, esses dados são difíceis de obter. Por exemplo, é difícil descobrir amostras de malware que nos permitam conhecer os dados de ataque. As organizações que sofreram violações não estão exatamente empolgadas em compartilhar essas informações.

Os LLMs são úteis para reunir dados iniciais e sintetizar dados com base em dados reais existentes, expandindo-os para gerar novos dados sobre fontes, vetores, métodos e intenções de ataque. Em seguida, essas informações são usadas para criar novas detecções sem nos limitar aos dados de campo.

Verdade absoluta

Como mencionei em meu artigo de um ano atrás, nem sempre temos a verdade absoluta em segurança cibernética. Podemos usar os LLMs para melhorar drasticamente a verdade absoluta, encontrando lacunas em nossos bancos de dados de detecção e de vários malwares, reduzindo as taxas de falsos negativos e continuar treinando os modelos com frequência.

2. Ferramentas

Os LLMs são ótimos para tornar as operações de segurança cibernética mais fáceis, mais amigáveis e mais acionáveis. O maior impacto dos LLMs na segurança cibernética até o momento está no Centro de operações de segurança (SOC).

Por exemplo, o principal recurso por trás da automação do SOC com LLM é a chamada de função, que ajuda a traduzir instruções de linguagem natural em chamadas de API que podem operar diretamente o SOC. Os LLMs também podem ajudar os analistas de segurança a tratar alertas e respostas a incidentes de forma muito mais inteligente e rápida. Os LLMs nos permitem integrar ferramentas sofisticadas de segurança cibernética, recebendo comandos de linguagem natural diretamente do usuário.

Explicabilidade

Os modelos anteriores de aprendizado de máquina tinham um bom desempenho, mas não conseguiam responder à pergunta “por quê?”. Os LLMs têm o potencial de mudar o jogo, explicando o motivo com precisão e confiança, o que vai mudar fundamentalmente a detecção de ameaças e a avaliação de riscos.

A capacidade dos LLMs de analisar rapidamente grandes quantidades de informações é útil para correlacionar dados de diferentes ferramentas: eventos, logs, nomes de famílias de malware, informações de vulnerabilidades e exposições comuns (CVE) e bancos de dados internos e externos. Isso não apenas vai ajudar a encontrar a causa raiz de um alerta ou incidente, mas também vai reduzir imensamente o tempo médio de resolução (MTTR) para o gerenciamento de incidentes.

Escassez de talentos

O setor de segurança cibernética tem uma taxa de desemprego negativa. Não temos especialistas suficientes, e as pessoas não conseguem acompanhar o grande número de alertas. Os LLMs reduzem enormemente a carga de trabalho dos analistas de segurança graças às vantagens dos LLMs: reunir e processar rapidamente grandes quantidades de informações, entender comandos em linguagem natural, dividi-los em etapas necessárias e encontrar as ferramentas certas para executar as tarefas.

Desde a obtenção de conhecimento e dados de domínio até a dissecação de novas amostras e malware, os LLMs podem ajudar a acelerar a criação de novas ferramentas de detecção de forma mais rápida e eficaz, o que nos permite fazer coisas automaticamente, desde a identificação e análise de novos malwares até a identificação de agentes mal-intencionados.

Também precisamos criar as ferramentas certas para a infraestrutura de IA, de modo que nem todos precisem ser especialistas em segurança cibernética ou em IA para se beneficiar do uso da IA na segurança cibernética.

Três previsões para 2024

Quando se trata do uso crescente da IA na segurança cibernética, fica muito claro que estamos no início de uma nova era – o estágio inicial do que é frequentemente chamado de crescimento do “taco de hóquei”. Quanto mais aprendermos sobre os LLMs que nos permitem aprimorar nossa postura de segurança, maior será a probabilidade de ficarmos à frente da curva (e dos nossos adversários) para tirar o máximo proveito da IA.

Embora eu acredite que existam muitas áreas na segurança cibernética que merecem discussão sobre o uso crescente da IA como um multiplicador de força para combater a complexidade e a ampliação dos vetores de ataque, três coisas se destacam:

1. Modelos

Os modelos de IA vão dar enormes passos à frente na criação de um conhecimento de domínio aprofundado que está enraizado nas necessidades da segurança cibernética.

No ano passado, houve muita atenção dedicada ao aprimoramento dos modelos gerais de LLM. Os pesquisadores trabalharam muito para tornar os modelos mais inteligentes, mais rápidos e mais baratos. No entanto, existe uma enorme lacuna entre o que esses modelos de uso geral podem oferecer e as necessidades da segurança cibernética.

Especificamente, nosso setor não precisa sempre de um modelo enorme que possa responder a perguntas tão diferentes quanto “Como fazer ovos à florentina” ou “Quem descobriu a América”. Em vez disso, a segurança cibernética precisa de modelos hiperprecisos com profundo conhecimento de domínio sobre ameaças, processos e outros aspectos da segurança cibernética.

Na segurança cibernética, a precisão é crítica para a missão. Por exemplo, processamos mais de 75 TB de dados todos os dias na Palo Alto Networks em SOCs em todo o mundo. Até mesmo 0,01% de vereditos de detecção errados podem ser catastróficos. Precisamos de uma IA de alta precisão com um histórico rico e conhecimento de segurança para oferecer serviços personalizados com foco nos requisitos de segurança dos clientes. Em outras palavras, esses modelos precisam realizar menos tarefas específicas, mas com uma precisão muito maior.

Os engenheiros estão fazendo um grande progresso na criação de modelos com mais conhecimento específico de setores verticais e de domínios, e estou confiante de que um LLM centrado em segurança cibernética surgirá em 2024.

2. Casos de uso

Surgirão casos de uso transformadores para LLMs em segurança cibernética. Isso tornará os LLMs indispensáveis para a segurança cibernética.

Em 2023, todos estavam muito empolgados com os incríveis recursos dos LLMs. As pessoas estavam usando esse “martelo” para testar todos os “pregos”.

Em 2024, entendemos que nem todo caso de uso é o mais adequado para os LLMs. Teremos produtos reais de segurança cibernética habilitados para LLM direcionados a tarefas específicas que se encaixam bem nos pontos fortes dos LLMs. Isso realmente aumentará a eficiência, melhorará a produtividade, aprimorará a usabilidade, resolverá problemas do mundo real e reduzirá os custos para os clientes.

Imagine poder ler milhares de manuais sobre questões de segurança, como a configuração de dispositivos de segurança de endpoint, a solução de problemas de desempenho, a integração de novos usuários com credenciais e privilégios de segurança adequados e a eliminação do projeto arquitetônico de segurança com base em cada fornecedor.

A capacidade dos LLMs de consumir, resumir, analisar e produzir as informações corretas de forma rápida e escalonável vai transformar os centros de operações de segurança e revolucionar como, onde e quando implantar profissionais de segurança.

3. Segurança e proteção da IA

Além de usar a IA para a segurança cibernética, os grandes tópicos são como criar uma IA segura e o uso seguro da IA, sem prejudicar a inteligência dos modelos de IA. Já houve muitas discussões e um grande trabalho nesse sentido. Em 2024, soluções reais serão implantadas e, embora possam ser preliminares, representarão etapas no sentido certo. Além disso, uma estrutura de avaliação inteligente precisa ser estabelecida para avaliar de forma dinâmica a segurança e a proteção de um sistema de IA.

Lembre-se de que os LLMs também estão acessíveis a agentes mal-intencionados. Por exemplo, os hackers podem gerar facilmente um número muito maior de e-mails de phishing com qualidade superior usando LLMs. Eles também podem aproveitar os LLMs para criar um malware totalmente novo. No entanto, o setor está agindo de forma mais colaborativa e estratégica no uso de LLMs, o que ajuda a nos anteciparmos e nos mantermos à frente dos bandidos.

Em 30 de outubro de 2023, o presidente dos EUA, Joseph Biden, emitiu uma ordem executiva que abrange o uso responsável e apropriado de tecnologias, produtos e ferramentas de IA. O objetivo dessa ordem mencionou a necessidade de os fornecedores de IA tomarem todas as medidas necessárias para garantir que suas soluções sejam usadas em aplicativos adequados e não para fins maliciosos.

A segurança e proteção da IA representam uma ameaça real — uma ameaça que devemos levar a sério e presumir que os hackers já estão se preparando para usar contra nossas defesas. O simples fato de os modelos de IA já serem amplamente usados provocou uma grande expansão das superfícies de ataque e dos vetores de ameaça.

Trata-se de uma área muito dinâmica. Os modelos de IA estão progredindo diariamente. Mesmo depois que as soluções de IA são implementadas, os modelos continuam evoluindo constantemente e nunca ficam estáticos. A avaliação, o monitoramento, a proteção e o aprimoramento contínuos são muito necessários.

Mais e mais ataques vão usar a IA. Como setor, devemos ter como prioridade máxima o desenvolvimento de estruturas de IA seguras. Isso vai exigir uma iniciativa inédita que envolva a colaboração de fornecedores, empresas, instituições acadêmicas, formuladores de políticas, reguladores e todo o ecossistema de tecnologia. Será uma tarefa difícil, sem dúvida, mas acho que todos nós percebemos o quanto ela é fundamental.

Conclusão: O melhor ainda está por vir

De certa forma, o sucesso dos modelos de IA de uso geral, como o ChatGPT e outros, nos deixou mal-acostumados na segurança cibernética. Todos nós esperávamos poder criar, testar, implantar e melhorar continuamente nossos LLMs para torná-los mais centrados na segurança cibernética, apenas para sermos lembrados de que a segurança cibernética é uma área muito exclusiva, especializada e complicada para aplicar a IA. Precisamos acertar todos os quatro aspectos críticos para que funcione: dados, ferramentas, modelos e casos de uso.

A boa notícia é que temos acesso a muitas pessoas inteligentes e determinadas que entendem por que devemos avançar em sistemas mais precisos que combinem potência, inteligência, facilidade de uso e, possivelmente, acima de tudo, relevância para a segurança cibernética.

Tive a sorte de trabalhar nesse espaço por um bom tempo e nunca deixo de me sentir empolgado e gratificado com o progresso que meus colegas da Palo Alto Networks e do setor ao nosso redor fazem todos os dias.

Voltando à parte complicada de fazer um prognóstico, é difícil saber muito sobre o futuro com certeza absoluta. Mas sei de duas coisas:

  • 2024 será um ano fenomenal na utilização da IA na segurança cibernética.
  • 2024 será inexpressivo em comparação com o que ainda está por vir.

A Dr.ª May Wang é CTO de segurança de IoT na Palo Alto Networks.