Ciber ataques com tecnologia de IA

Como os ciber ataques com tecnologia de IA funcionam?

A IA se consolidou como uma tecnologia essencial em qualquer conjunto de ferramentas de TI corporativa – e, infelizmente, também virou uma arma poderosa nos arsenais dos ciber criminosos.

Ciber ataques com tecnologia de IA aproveitam a IA ou os algoritmos e técnicas de machine learning (ML) para automatizar, acelerar ou aprimorar várias fases de um ciber ataque. Isso inclui a identificação de vulnerabilidades, a implementação de campanhas por vetores de ataque identificados, o avanço dos caminhos de ataque, a criação de backdoors dentro dos sistemas, a exfiltração ou adulteração de dados e a interferência nas operações dos sistemas.

Assim como todos os algoritmos de IA, os usados em ciber ataques com tecnologia de IA conseguem aprender e evoluir com o tempo. Ou seja, ataques cibernéticos habilitados por IA podem se adaptar para evitar detecção ou criar padrões de ataque que sistemas de segurança convencionais não conseguem identificar.

Características dos ciber ataques com tecnologia de IA

Os ciber ataques com tecnologia de IA têm cinco características principais:

• Automação de ataques: até pouco tempo atrás, a maioria dos ciberataques exigia a participação significativa de um adversário humano. No entanto, o crescente acesso a ferramentas baseadas em IA e IA generativa está permitindo que os adversários automatizem a pesquisa e a execução dos ataques.
• Coleta eficiente de dados: a fase inicial de qualquer ciberataque é o reconhecimento. Durante essa etapa, os ciberatacantes buscam alvos, vulnerabilidades exploráveis e ativos que possam ser comprometidos. A IA pode automatizar ou acelerar grande parte desse trabalho preliminar, permitindo que os adversários reduzam drasticamente a fase de pesquisa e potencialmente melhorem a precisão e a abrangência das análises.
• Personalização: uma das principais capacidades da IA é a extração de dados, que consiste em coleta e análise de informações de fontes públicas, como redes sociais e websites corporativos. No contexto de um ciberataque, essas informações podem ser usadas para criar mensagens altamente personalizadas, relevantes e oportunas, que servem como base para ataques de phishing e outros ataques que exploram técnicas de engenharia social.
• Aprendizado por reforço: algoritmos de IA aprendem e se adaptam em tempo real. Da mesma forma que essas ferramentas evoluem continuamente para gerar insights mais precisos para usuários corporativos, elas também ajudam adversários a aprimorar as técnicas usadas e evitar detecção.
• Ataque aos funcionários: de forma similar à personalização de ataques, a IA pode ser usada para identificar indivíduos dentro de uma organização que representam alvos de alto valor. Esses indivíduos podem ter acesso a dados confidenciais ou acesso privilegiado a sistemas, demonstrar menos familiaridade com as tecnologias ou ter relacionamentos próximos com outros alvos importantes.

Tipos de ciber ataques com tecnologia de IA

Vários tipos de ciber ataques são potencializados por IA e machine learning. Alguns exemplos incluem:

Ataques de engenharia social impulsionados por IA

Os ataques de engenharia social impulsionados por IA usam algoritmos de IA para auxiliar na pesquisa, criação de conceitos criativos ou execução de ataques de engenharia social. Esse tipo de ataque é qualquer ciberataque que busca manipular o comportamento de pessoas para atingir objetivos, tais como o compartilhamento de dados confidenciais, a transferência de dinheiro, a propriedade de itens de alto valor ou a concessão de acesso a sistemas, aplicações, bancos de dados ou dispositivos.

Em um ataque de engenharia social impulsionado por IA, um algoritmo pode ser utilizado para fazer o seguinte:

• Identificar um alvo ideal, abrangendo tanto a organização como um todo quanto um indivíduo específico dentro da empresa que possa servir como ponto de acesso ao ambiente de TI
• Desenvolver uma persona e uma presença on-line condizente com ela, com o objetivo de se comunicar com o alvo do ataque
• Desenvolver um cenário realista e convincente capaz de chamar a atenção do alvo
• Elaborar mensagens personalizadas ou criar ativos multimídia, como gravações de áudio ou vídeos, para engajar o alvo de forma eficaz

Ataques de phishing impulsionados por IA

Esses ataques usam a IA generativa para criar e-mails, mensagens SMS, comunicações telefônicas ou contatos em mídias sociais altamente personalizados e realistas, com o objetivo de alcançar um resultado predeterminado. Na maioria dos casos, os objetivos são parecidos com os de um ataque de engenharia social: ganhar acesso a informações confidenciais, invadir um sistema, receber fundos ou induzir um usuário a instalar um arquivo malicioso no seu dispositivo.

Em cenários mais avançados, a IA pode ser usada para automatizar a comunicação em tempo real em ataques de phishing. Por exemplo, chatbots impulsionados por IA podem interagir de formas que os tornam quase indistinguíveis de conversas com humanos. Invasores podem utilizar essas ferramentas implementadas em larga escala para tentar estabelecer contato com várias pessoas ao mesmo tempo. Na maioria dos casos, os chatbots se fazem passar por agentes de suporte ao cliente ou de serviço, para coletar informações pessoais e credenciais de contas, redefinir senhas de contas ou acessar sistemas ou dispositivos.

Deepfakes

Um deepfake é um arquivo de vídeo, imagem ou áudio gerado por IA com o intuito de enganar as pessoas. Geralmente, os deepfakes que aparecem na Internet são só para entreter e confundir as pessoas. No entanto, eles também podem ser usados de forma maliciosa em campanhas de desinformação, disseminação de "fake news", campanhas de difamação contra figuras públicas ou ciber ataques.

No contexto de um ciber ataque, um deepfake costuma fazer parte de uma campanha de engenharia social. Por exemplo, um invasor pode usar as filmagens de um líder corporativo ou cliente para criar gravações de voz ou vídeo falsas. A ferramenta pode imitar a voz de alguém e instruir outras pessoas a tomar ações específicas, como transferir fundos, alterar senhas ou conceder acesso a um sistema.

IA/ML adversários

IA adversária ou ML adversário ocorre quando um invasor busca interromper o desempenho ou reduzir a precisão de sistemas de IA/ML através de manipulação ou desinformação intencional.

Os invasores usam várias técnicas de IA/ML adversário voltadas a diferentes aspectos do desenvolvimento e da operação de modelos. Elas incluem:

• Ataques de envenenamento: têm como alvo os dados de treinamento de modelos de IA/ML, que são as informações usadas pelo modelo para treinar o algoritmo. Nesse tipo de ataque, adversários podem inserir informações falsas ou enganosas no conjunto de dados de treinamento, comprometendo a precisão ou a objetividade do modelo.
• Ataques de evasão: visam os dados de entrada de um modelo de IA/ML. Esses ataques aplicam alterações sutis aos dados compartilhados com o modelo, levando a classificações incorretas e impactando negativamente as capacidades preditivas do modelo.
• Adulteração do modelo: têm como alvo os parâmetros ou a estrutura de um modelo de IA/ML pré-treinado. Nesses ataques, um adversário faz alterações não autorizadas no modelo, comprometendo a capacidade dele de gerar resultados precisos.

GPTs maliciosos

Um transformador pré-treinado generativo (GPT) é um tipo de modelo de Inteligência Artificial capaz de gerar textos inteligentes em resposta aos comandos do usuário. Um GPT malicioso é uma versão modificada de um GPT que produz resultados prejudiciais ou com a intenção de desinformar.

No contexto de ciber ataques, um GPT malicioso pode ser usado para gerar vetores de ataque (como malware) ou materiais de apoio para ataques (tais como e-mails ou conteúdo on-line falso), com o objetivo de impulsionar a progressão de um ataque.

Ataques de ransomware

Ransomware habilitado por IA é um tipo de ransomware que usa a inteligência artificial para aprimorar o desempenho ou automatizar certas etapas de ataque.

Por exemplo, a IA pode ser usada para pesquisar alvos, identificar vulnerabilidades em sistemas ou criptografar dados. Além disso, a IA é capaz de adaptar e modificar os arquivos de ransomware ao longo do tempo, dificultando a detecção por ferramentas de cibersegurança.

Como mitigar ciber ataques impulsionados por IA

Com a tecnologia de IA, os ciber criminosos têm mais facilidade e velocidade na realização de ciber ataques, reduzindo efetivamente a barreira de entrada para alguns atores e aumentando o nível de sofisticação dos atores estabelecidos. Os ataques impulsionados por IA geralmente são mais difíceis de detectar e prevenir do que ataques que usam técnicas tradicionais e processos manuais, o que os torna uma ameaça de segurança relevante para todas as empresas.

Nesta seção, vamos oferecer recomendações de quatro categorias principais de proteção e defesa contra ciber ataques impulsionados por IA.

Realização contínua de avaliações de segurança

• Implemente uma plataforma de cibersegurança abrangente, com monitoramento contínuo, detecção de intrusões e proteção de endpoints.
• Crie bases para a atividade do sistema e o comportamento dos usuários, que servirão como padrões de comparação para atividades futuras, e estabeleça a análise de comportamento de usuários e entidades (UEBA). Essa análise deve ser integrada a outras atividades do ambiente, como atividades de endpoints e de ambientes na nuvem.
• Faça análises de sistemas em busca de atividades de usuário anormais ou mudanças inesperadas no ambiente que possam indicar um ataque.
• Implemente a análise em tempo real de dados de entrada e saída do seu sistema de IA/ML, para proteção contra ataques de IA adversária.

Crie um plano de resposta a incidentes

Um plano de resposta a incidentes é um documento que descreve os procedimentos, as etapas e as responsabilidades de uma empresa no caso de um ciber ataque. Esse plano é baseado em quatro áreas principais, como definido pelo Instituto Nacional de Padrões e Tecnologia (NIST):

• Preparação: desenvolva um plano para ajudar a impedir os eventos de segurança e responder a ataques assim que ocorrerem.
• Detecção e análise: confirme se um evento de segurança ocorreu, e em caso positivo, determine a severidade e o tipo dele.
• Contaminação e erradicação: restrinja o uso e a operação do sistema para limitar o alcance e o impacto do ataque; execute táticas de remediação para restaurar o uso do sistema e corrigir vulnerabilidades.
• Recuperação: coordene a implementação de medidas de segurança adicionais para impedir ataques semelhantes no futuro e se proteger contra uma variedade ainda maior de ameaças.

Treinamento de conscientização dos funcionários

• Adicione um módulo ao curso de treinamento em segurança existente com foco específico em ataques com tecnologia de IA.
• Mostre como as técnicas habilitadas por IA são realísticas e convincentes, particularmente em relação a técnicas de engenharia social, chats deepfakes e ataques baseados em áudio.
• Para estabelecer uma proteção contra ataques de IA adversária, treine suas equipes para que reconheçam atividades suspeitas ou saídas relacionadas a sistemas baseados em IA/ML.

Implemente soluções com tecnologia de IA

Assim como a IA pode ser usada pelos ciber criminosos para o mal, as organizações podem usá-la para realizar contra-ataques de IA.

• Adote uma cibersegurança nativa de IA que permita que as organizações aproveitem a tecnologia para analisar conjuntos de dados vastos e identificar padrões.
• Use ferramentas habilitadas por IA para automatizar tarefas relacionadas à segurança, como monitoramento, análise, correção, prevenção e remediação.
• Desenvolva sistemas de parâmetros que alertem as equipes sobre atividades de alto risco e ajudem a priorizar respostas.

Plataforma nativa de IA da CrowdStrike

A plataforma CrowdStrike Falcon^® é a plataforma nativa de IA de cibersegurança para a era de Detecção e Resposta Estendidas (XDR).

A plataforma Falcon estimula a convergência de dados, segurança e TI com a IA generativa e a automação de fluxo de trabalho já integradas nativamente para interromper ataques e reduzir a complexidade e os custos.

Como a plataforma Falcon usa a força da IA:

• Ela aproveita os indicadores de ataque (IOAs) impulsionados por IA e a análise comportamental impulsionada por IA para melhorar a detecção de ameaças
• Pelo CrowdStrike Falcon^® Identity Threat Detection, usa a IA para oferecer visibilidade dos ataques baseados em identidade e impedir ataques de movimento lateral dentro das redes
• Traz as capacidades nativas de IA para a detecção e resposta estendidas de ameaças e respostas de endpoint com o CrowdStrike Falcon^® Insight XDR
• Integra soluções impulsionadas por IA, como ExPRT.AI da CrowdStrike Falcon^® Spotlight, que introduz capacidades impulsionadas por IA ao gerenciamento de vulnerabilidades e CrowdStrike^® Charlotte AI™, a nossa assistente de segurança inteligente habilitada para IA generativa.

Quer saber como sua organização pode usar a força da IA para se defender contra os ciber ataques mais sofisticados? Fale conosco agora para saber mais sobre a plataforma CrowdStrike Falcon e agendar uma demonstração.

Agende uma demonstração