Estruturas de framework, gestão e curadoria de dados determinam o sucesso da cibersegurança

A combinação de inteligência artificial (IA) e machine learning (ML) tem influenciado o cenário de cibersegurança por mais de 15 anos, tornando a IA essencial para a segurança cibernética. No entanto, embora esta seja uma afirmação do “Guia de um CISO para a Inteligência Artificial”, do IDC, Frank Dickson, Vice-Presidente de Programas, Produtos de Cibersegurança da empresa de consultoria, alerta que há um foco coletivo equivocado na IA quando se trata de cibersegurança. Pois, a verdadeira chave para obter resultados eficazes na segurança cibernética reside nos dados.

Embora a IA ofereça funcionalidades de aconselhamento e defesa de cibersegurança, ela se baseia em dados estruturados e não estruturados para oferecer proteção ou insights aos CISOs. Dessa forma, para Dickson, o objetivo é criar plataformas analíticas que capturem táticas, técnicas e procedimentos de profissionais de segurança, democratizando a detecção e remediação de ameaças.

Segundo ele, o “hype e a conversa estão centradas na IA”, mas “a chave para habilitar resultados em segurança não está na IA; está nos dados. (…) Da mesma forma, os dados são a infraestrutura de suporte para a IA em segurança”, escreveu Dickson no artigo “IA Generativa, Inteligência Preditiva e Criação de Resultados em Cibersegurança – Não Perca o Foco: Não se Trata da IA; Trata-se dos Dados”.

Leia mais: Fabio Assolini, da Kaspersky: Brasil se tornou exportador de ameaças

O executivo do IDC destacou, ainda, a importância das estruturas de framework de dados, a gestão e a curadoria de dados como elementos essenciais para capacitar a IA em segurança cibernética.

Três características determinam o sucesso na cibersegurança

Para Dickson a criação de estruturas e frameworks é essencial para desbloquear o potencial da IA e alcançar a detecção e resposta estendidas (XDR), que envolve a coleta de telemetria de várias ferramentas de segurança, análise dos dados coletados para detectar maliciosidade e ação de resposta e remediação.

Para aplicar análises aos dados homogeneizados e detectar aspectos que indiquem atos maliciosos nos sistemas, a IA requer uma estrutura que permita a análise em escala. “Afinal, a IA não passa de um modelo matemático que implica a relação dos dados”, escreveu. Segundo Dickson, a telemetria ajustada para um cenário particular, como a defesa focada na periferia das redes de um firewall tem pouco valor se não puder ser correlacionada com outros conjuntos de dados, como informações de identidade, e se não estiver organizada de forma a alcançar um objetivo específico.

“O movimento, armazenamento e gerenciamento de tais dados rapidamente cria um problema de escala. As políticas de retenção de dados podem se tornar rapidamente tópicos divisivos. Além disso, somente com a IA é possível colocar os crescentes conjuntos de telemetria para o melhor uso possível. O machine learning tem limites, mas usar a IA para treinar para padrões anteriormente não vistos e examinar os dados pode reduzir significativamente o tempo até a obtenção de resultados (time-to-X)”, escreve.

Conforme a IA busca simplificar a complexidade do ambiente de segurança atual, a uniformidade dos dados se torna, então, uma vantagem. No entanto, a diversidade nas estruturas de dados de diferentes provedores pode atuar como uma barreira para essa uniformidade, dificultando a análise eficaz. Além disso, “reestruturar os dados leva tempo e custa dinheiro”, deixando os pequenos fornecedores em desvantagem em relação às ofertas de multiprodutos em uma única plataforma, com uma maior porcentagem de conjuntos de dados homogêneos de várias tecnologias, oferecidas pelas grandes fornecedoras.

Padrões superam os desafios da curadoria de dados

Dickson lembra que padrões como Structured Threat Information Expression (STIX) e a Trusted Automated eXchange of Indicator Information (TAXII) estão sendo desenvolvidos para resolver os desafios de lidar com conjuntos de dados variados. Eles foram criados pelo MITRE com o apoio do U.S. Department of Homeland Security FFRDC.

A STIX é uma linguagem que padroniza informações sobre ameaças, permitindo que ferramentas compatíveis compartilhem e interpretem esses dados. A TAXII é um protocolo que facilita a transmissão de informações de ameaças entre sistemas. Esses esforços foram transferidos para a organização OASIS, que promove padrões internacionais. “Hoje, o trabalho é colaborativo e aberto”, afirma.

Além disso, o Open Cybersecurity Schema Framework (OCSF) busca normalizar a coleta de dados de segurança em ambientes complexos de nuvem híbrida. O objetivo é simplificar a troca de dados entre diferentes ferramentas, proporcionando um formato único para facilitar a integração, destaca. Essa abordagem visa tornar mais simples para iniciantes e evitar a necessidade de criar vários métodos de conexão entre diferentes soluções. “A verdadeira mensagem aqui é a busca pela simplicidade, um objetivo essencial nas soluções de cibersegurança”.

Interfaces de IA generativa

A adoção de interfaces de IA generativa é uma tendência forte na cibersegurança, e todos os fornecedores desse campo provavelmente lançarão tais interfaces, destaca Dickson.

“Esta é a quarta geração da interface do usuário; é significativa. Um fornecedor será chamativo sem uma. Até o final de 2023, todas as ferramentas relevantes terão uma; as ferramentas sem uma provavelmente se tornarão irrelevantes ou subordinadas àquelas que têm. A capacidade da ferramenta de criar resultados em seu ambiente, no entanto, será determinada não pelo poder da IA generativa, mas nos dados e nos modelos de IA preditiva por trás da IA generativa. Não se trata da IA; trata-se dos dados”, finaliza.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!