top of page
Foto do escritorAgricio Santana

Tendências de ameaças: IA e o profissional de segurança



A chegada do ChatGPT no final de 2022 trouxe a (IA) para o centro das atenções públicas, embora a pesquisa em IA e aprendizado de máquina já estivesse em andamento há décadas. A IA é um campo vasto que tem significados diversos para diferentes pessoas, abrangendo desde a execução de tarefas simples de aprendizado de máquina para auxiliar ou substituir trabalhadores, até o desenvolvimento de sistemas avançados capazes de gerenciar nossa sociedade digital cada vez mais interconectada, em velocidades impressionantes. No entanto, este blog não se dedicará a alimentar a crescente lista de previsões que apontam para uma grande perda de empregos, nem discutirá os potenciais cenários de utopia ou distopia no horizonte.


Neste blog, vamos examinar os exemplos recentemente disponibilizados para o público geral de Inteligência Artificial baseada em modelos de linguagem avançados (LLM), tais como ChatGPT, Google Bard e Microsoft Bing AI. É importante ressaltar que a IA vai além dos chatbots, mas esses sistemas tornam mais fácil a demonstração do meu ponto de vista.


Automação


A automação representa uma conquista muito desejada na indústria de segurança. Ela possibilita a coleta e correlação de dados, a identificação de ameaças ou vulnerabilidades e a implementação de uma resposta totalmente coordenada antes que um agente mal-intencionado alcance seus objetivos. Em muitos casos, ferramentas como as soluções de Automação e Orquestração de Segurança (SOAR) tornam essa atividade viável. No entanto, há locais e cenários em que essa tecnologia não está disponível ou não é prática, especialmente em pequena escala. É nesses momentos que a Inteligência Artificial pode ser uma valiosa aliada.


Abaixo três exemplos de utilização ativamente da IA, em particular o ChatGPT, para otimizar tempo em rotinas diárias de trabalho.


YARA


Uma das tarefas mais comuns hoje em dia é criar regras YARA para ajudar a pesquisar amostras de malware interessantes que possa fazer engenharia reversa. O YARA é uma ferramenta de código aberto, multiplataforma, que utiliza strings e padrões binários para ajudar na identificação e classificação de malware. Escrever essas regras exige um cuidadoso planejamento sobre o que deve ser pesquisado. Muitas vezes, isso inclui o uso de termos e temas atuais, especialmente informações presentes nas notícias, que podem ser facilmente adaptados a nomes de arquivos e e-mails atraentes, capazes de atrair as pessoas a clicarem neles.


Para ilustrar esse processo, consideremos a página inicial de notícias de tecnologia da Reuters como exemplo. Normalmente, esse procedimento envolveria a exploração do site em busca de histórias relevantes, a identificação de palavras-chave ou frases significativas e, então, a inclusão delas em uma regra YARA. No entanto, com o auxílio da Inteligência Artificial e sua capacidade de acessar a Internet e navegar por páginas, é possível acelerar significativamente esse processo. Ao invés de realizar pesquisas manuais, posso direcionar a IA para resumir automaticamente uma página inteira de notícias, otimizando assim a eficiência do trabalho.

Figura 1. Resumos criados por IA a partir das manchetes de um site de notícias.


As informações resumidas que ele fornece tornam a utilidade do modelo de bate-papo prontamente aparente. Depois que essa pesquisa é concluída, podemos direcionar a IA para obter os resumos da história e criar palavras-chave e frases.

Figura 2. Palavras-chave e frases criadas por IA a partir dos resumos iniciais da história.


Depois que essas palavras-chave e frases são criadas, agora podemos fazer com que a IA crie minhas regras YARA.

Figura 3. Solicitando que a IA crie regras YARA a partir dos resultados iniciais da pesquisa.


Levou apenas alguns momentos para gerar, o que teria levado uma quantidade significativa de tempo para digitalizar e compilar manualmente os mesmos dados.

O produto final, no entanto, não está totalmente pronto (pelo menos para nós). Como o mundo é multilíngue, as iscas de malware e phishing também são entregues em vários idiomas. Portanto, nossa regra YARA deve incorporar pesquisas em vários idiomas para lançar a rede mais ampla possível.


Figura 4. Solicitando à IA para aumentar a regra YARA com traduções de vários idiomas.


Executando esta etapa manualmente, teriamos que traduzir uma frase para um idioma por vez, anteriormente teria sido bastante demorado e trabalhoso para converter uma frase e um idioma por vez. Mas com uma pergunta adequadamente elaborada, a IA pode fornecê-los todos simultaneamente em segundos.

Figura 5. O resultado final de nossas regras YARA multilíngues.


Ao salvar o contexto dessa conversão, podemos solicitar essa mesma ação repetidamente, usando uma nova URL e fazendo com que ela produza novas regras sempre que as circunstâncias exigirem.


Prototipagem de código


Durante nossas investigações de amostras de malware, muitas vezes surge a necessidade de escrever scripts ou aplicativos personalizados para lidar com cenários que demandam muito tempo ou trabalho ao utilizar outros métodos.


Antes de incorporar a Inteligência Artificial ao nosso fluxo de trabalho, essa tarefa envolvia a busca por scripts antigos em minha máquina de desenvolvimento/análise e, então, adaptá-los para resolver o problema específico em questão. No entanto, com a introdução da IA, mesmo que a etapa final ainda exija alguma codificação manual, o uso dessa tecnologia minimiza o esforço necessário na configuração inicial e prototipagem.


Por exemplo, recentemente, estávamos trabalhando em uma amostra que descriptografava um bloco de dados utilizando o algoritmo RC4. Decidimos solicitar ajuda ao ChatGPT para criar um script Python que permitisse a reutilização dessa funcionalidade, possibilitando a ingestão do bloco criptografado através da leitura de um arquivo. A IA foi de grande valia ao acelerar o processo de desenvolvimento, tornando-o mais eficiente.


Figura 6. Uma solicitação para um protótipo de decodificador RC4 em Python.

Figura 7. O código gerado por IA.


Muito útil, não são apenas as instruções para executar o código como é fornecido, mas também inclui instruções para instalar e aplicar a biblioteca criptográfica Python necessária usada para o trabalho pesado da descriptografia.


Figura 8. Instruções de execução e instalação da biblioteca Python.


Há também um lembrete importante no final da execução que avisa o usuário de que o RC4 não é mais considerado criptograficamente seguro e não deve ser usado para nada sensível. Obviamente, isso não é um problema, pois o caso de uso está relacionado a malware.


Criação de plataforma cruzada


De tempos em tempos, deparamo-nos com seções de malware criadas e implantadas usando uma linguagem que torna sua análise mais desafiadora. Nesses casos, é vantajoso traduzir essas seções para uma linguagem mais familiar e propícia à análise.

Um exemplo notável é o uso da linguagem de programação Go, desenvolvida pelo Google. O Go tem atraído um número crescente de seguidores devido às suas melhorias significativas em segurança de memória, proporcionando vantagens em termos de segurança em comparação com as tradicionais linguagens C e C++. No entanto, para obter uma compreensão mais aprofundada do funcionamento de uma determinada função de malware, pode ser útil traduzi-la para uma linguagem como o Python 3, que é mais conhecida e amplamente utilizada, facilitando assim a análise e entendimento desses trechos de código maliciosos.

Figura 9. Função Go para gerar uma string aleatória.


O código Go na Figura 9 acima gera uma string aleatória com base em uma entrada de tamanho. Para avaliar mais facilmente essa função, podemos pedir ao ChatGPT para traduzi-la para Python.

Figura 10. A saída do Python 3 gerada pelo ChatGPT.


A IA nos dá um equivalente em Python 3. Ele também distingue a biblioteca “aleatória” no primeiro exemplo da Figura 10 como não sendo criptograficamente segura e nos fornece uma segunda opção para usar, se desejado.

Ressalvas


Como em qualquer coisa, simplesmente aceitar os resultados como são de uma IA pode levar a consequências indesejadas. É possível obter um código que não funcione como desejado, ou as respostas às consultas podem resultar no que é conhecido como alucinação , em que uma resposta confiante é injustificada pelos dados de treinamento. Por exemplo, a IA pode compartilhar com confiança informações incorretas ou, pior, que parecem ter sido totalmente inventadas.


Conclusão


Como resultado, verificar os resultados antes de usá-los é uma tarefa crítica de garantia de qualidade para garantir que as suposições e conclusões corretas sejam alcançadas.


Neste artigo, apresentamos três exemplos de como um profissional de segurança pode encontrar grande utilidade ao utilizar um agente de IA ou chatbot, agilizando ações e simplificando tarefas essenciais. No entanto, é importante ressaltar que existem muitos outros casos em que a IA pode ser aplicada. Apesar de demonstrar como a IA pode automatizar e simplificar tarefas específicas, não se pode ignorar que ela não é capaz de substituir completamente um profissional humano. É essencial que alguém saiba fazer as perguntas certas e guiar a IA para garantir que ela desempenhe o trabalho necessário de forma adequada.


A chegada da era da IA é inevitável, quer estejamos preparados para ela ou não. Contudo, é crucial reconhecer as limitações da IA e incorporá-la como mais uma ferramenta no nosso repertório. Em última análise, o benefício ou prejuízo que a IA trará para a sociedade dependerá de como ela for utilizada pelas pessoas e organizações. Devemos ser responsáveis e éticos em sua aplicação, utilizando-a para o bem comum e buscando maximizar seus impactos positivos, enquanto minimizamos quaisquer efeitos adversos.

🔎 Fale com um de nossos analistas em TI e cyber segurança e apresente a sua demanda, iremos ajuda-lo sem custo a mensurar seu projeto.


Proteja-se com quem entende do seu negócio!

Venha agora mesmo aderir a Audere!


☎️ (11) 4063-2655

✉️ vendas@audere.com.br


Fonte: https://www.fortinet.com/blog


57 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page