Raja Patel *
Publicada em 14 de julho de 2017 no site CIO
Recentemente, tem-se falado muito sobre o aprendizado de máquina (machine learning, em inglês), com manchetes como "Os robôs substituirão o seu emprego", conversas no Twitter com tópicos como "A inteligência artificial será responsável pela queda da humanidade?" etc. A maioria das previsões do futuro inevitavelmente são erradas (ou, como disse Yogi Berra, "O futuro não é o que costumava ser").
Deixando a ficção científica de lado, há uma área em que a ajuda da automação é desejada e necessária: segurança cibernética.
As ameaças cibernéticas estão vindo com rapidez e força. E a intensidade disso é tanta que esses visitantes indesejados poderão afetar seriamente o progresso da Era Digital.
Precisamos de mais pessoas para combater esse problema? Sim. Muito mais pessoas são necessárias. A intensidade disso é tanta que o "Especialista em Segurança Cibernética" foi indicado como uma das nove profissões "à prova de futuro".
Mas não se trata apenas de envolver cada vez mais pessoas no problema. Ou, ainda, de desenvolvedores de software fazerem horas extras para aperfeiçoar outro widget de segurança cibernética independente.
A avalanche de malwares e novas variantes, como ransomware, simplesmente evolui com muita rapidez.
O setor precisa de ajuda e ela virá através da automação.
A McAfee recentemente deu início à pesquisa sobre o estado atual da inteligência das máquinas, visto que isso está relacionado à segurança de endpoint: "A aprendizagem de máquina coloca as equipes de segurança em um novo patamar." Convoco todos que estão realmente interessados em segurança cibernética a conferir essa pesquisa.
Está claro que o machine learning é necessário, mas ela não substitui as pessoas: é uma auxiliar para o trabalho que as pessoas já estão realizando.
Os limites da aprendizagem de máquina
Da mesma forma que precisamos das máquinas, é importante nos lembrarmos do que elas podem e não podem fazer:
A aprendizagem de máquina pode detectar padrões ocultos nos dados em altas velocidades; aumentar essa precisão à medida que mais dados alimentam seus algoritmos; analisar resultados quando uma violação tiver ocorrido; e acompanhar um grande volume de ataques de rotina.
A aprendizagem de máquina não pode iniciar respostas criativas; entender o panorama geral; comunicar ameaças entre organizações e sistemas separados; antecipar-se ao círculo de ameaças de novos adversários humanos.
A aprendizagem de máquina será tão boa quanto o algoritmo apenas se tiver "treinamento". A aprendizagem de máquina não pode existir sem os humanos.
A aprendizagem de máquina torna as equipes de segurança melhores. Isso significa que elas estão mais bem informadas e podem tomar decisões melhores. Conforme novas ameaças forem surgindo, as equipes humanas de segurança sozinhas não conseguirão dar conta do volume e as máquinas sozinhas não poderão dar respostas criativas. As equipes homem-máquina tornam a segurança cibernética mais eficaz sem diminuir o desempenho ou inibir a experiência do usuário.
Aprendizagem de máquina + endpoint
A aprendizagem de máquina permite que a segurança de endpoint evolua continuamente para interromper novas táticas de ataque. Um dos desafios das operações de TI é que os endpoints não ficam abrigados no data center, onde podem estar cercados por camadas de defesa e sob a vigilância de equipes de segurança. Os endpoints estão constantemente em evolução, dentro e fora da rede.
Dessa forma, a segurança do endpoint está em um estado constante de refinamento gradativo, adotando novas técnicas de prevenção para interromper as novas táticas. A aprendizagem de máquina é uma extensão natural para outros métodos de prevenção de malware e o conflito oscilatório constante com hackers e atacantes.
Contudo, localizar a aprendizagem de máquina no cliente isoladamente não é a resposta completa. Existem aqueles que acreditam que as soluções com base em cliente são a melhor forma de interromper o malware antes que sua execução seja iniciada. Outros reivindicam que a aprendizagem de máquina deve ter como base a nuvem, onde os experimentos dos criminosos podem ser analisados.
A McAfee não concorda excessivamente com nenhum deles: achamos que a aprendizagem de máquina deve cobrir ambos. Em resumo, uma solução integrada é a única forma de estar totalmente protegido.
É importante se lembrar também de que a aprendizagem de máquina é apenas um elemento de uma estratégia de endpoint bem-sucedida.
Além do endpoint
E por último, mas não menos importante, existe atualmente um foco muito grande na aprendizagem de máquina de endpoint. A aprendizagem de máquina não é apenas para endpoint: é uma ferramenta valiosa que pode ser usada em vários aspectos da segurança cibernética. A McAfee usa a aprendizagem de máquina, e outros algoritmos de aprendizagem sem supervisão, no portfólio, desde Defesa Avançada Contra Ameaças (ATD) e Segurança da Informação e Gerenciamento de Eventos (SIEM) até Sistemas de Classificação de URL e no Gateway.
Se um analista de segurança precisar de 15 minutos para investigar e resolver um alerta de segurança, ele poderá processar apenas cerca de 30 alertas por dia. Essa fórmula condena as equipes de segurança a padrões reacionários insustentáveis e não permite que o pessoal de segurança desenvolva habilidades de solução de problemas. Os atacantes usam práticas automatizadas para descobrir o que funciona e depois relançam essas táticas para efeito máximo. A melhor forma de as equipes de segurança ficarem à frente nesse jogo é dar tempo para que as pessoas utilizem sua inteligência e criatividade com a finalidade de aprimorar as práticas de segurança e aproveitar as eficiências obtidas com a tecnologia de aprendizagem de máquina para ganhar tempo.
A aprendizagem de máquina na segurança cibernética já existe, e isso é bom. É uma parte fundamental de qualquer estratégia de segurança de endpoint empresarial. Com base no volume e na evolução dos ataques que persistem nos endpoints, a segurança deverá ser capaz de se adaptar sem intervenção humana e deverá fornecer a visibilidade e o foco para permitir que os humanos tomem decisões com base em informações. Portanto, olhe para aquele "robô" como algo que executa as tarefas de rotina e permite que os humanos voem alto.
(*) Raja Patel é VP e Gerente Geral de Soluções de Segurança da McAfee
Nenhum comentário:
Postar um comentário