O uso de Inteligência Artificial para otimizar a Segurança da Informação
Entenda porque este tema é cada vez mais relevante
Com o crescimento dos crimes virtuais a Segurança da Informação é cada vez mais relevante para as organizações. No Brasil, foram registradas mais de 88,5 bilhões de tentativas de ataques cibernéticos durante o ano de 2021, o que representa um aumento de 950% em relação ao ano de 2020 com base nos dados obtidos pelo laboratório de inteligência de ameaças da Fortinet, o FortiGuard Labs.
Apesar do número de tentativas extremamente alto, existe uma preocupação adicional com o nível de sofisticação das ferramentas e tecnologias que são utilizadas por cibercriminosos, para desenvolver ataques otimizados e com maior chance de sucesso. Desta forma, as organizações possuem grandes desafios para garantir a confidencialidade, disponibilidade e integridade dos dados, que podem ser determinantes para o sucesso do seu negócio.
A cada dia surgem novas vulnerabilidades e, consequentemente, existe a probabilidade de acontecer ataques à rede. Novos dispositivos e aplicações são lançados no mercado todos os dias com falhas de segurança. Diante disso, é fundamental identificar e corrigir pontos de vulnerabilidades que exigem soluções mais robustas para a segurança em redes, como o monitoramento e busca de eventos que possam violar as regras de segurança, para isso é possível usar a detecção de anomalias.
Detecção de Anomalias
A detecção de anomalias engloba alterações súbitas e não esperadas nos níveis de tráfego de rede. Tais anomalias podem apresentar causas e consequências variadas, o que dificulta o processo de identificação e solução dos problemas gerados por elas. Os estudos nesta área buscam desenvolver técnicas que consigam identificar as anomalias de forma rápida e eficiente, permitindo que os profissionais de segurança consigam isolar o problema ou tentar solucioná-lo antes que os efeitos sejam prejudiciais para a empresa. As anomalias podem ser provocadas por diferentes problemas, e, podem ser classificadas em duas categorias:
- A primeira engloba anomalias onde não há a presença de agentes maliciosos e podem ser caracterizadas por um congestionamento da rede. Consequentemente, há um aumento brusco de tráfego em um determinado ponto, causando dificuldade de processamento dos pacotes, os quais são entregues com atraso ou são descartados. A queda de um enlace, por exemplo, pode dificultar o escoamento do tráfego que chega a determinados pontos da rede. A mesma, sofre mudanças não esperadas em seu comportamento, caso a entrada de uma grande quantidade de pacotes seja barrada, devido a erros em configurações de firewalls.
- A segunda abrange anomalias causadas por ataques, que normalmente são elaborados por agentes que visam violar a segurança da rede de um determinado alvo. Por exemplo, os ataques de negação de serviço (Denial of Service — DoS) que visam tornar um serviço da empresa inoperante através de uma sobrecarga. Outro exemplo desta categoria são os worms, que possuem a capacidade de se espalhar e executar cópias em máquinas remotas por toda a extensão da rede, infectando inúmeros alvos ao longo dela.
As empresas estão sofrendo constantes ataques, que poderiam ser evitados usando sistemas de detecção de anomalias. Por exemplo, os ataques de ransomwares, trata-se de software malicioso que bloqueia o acesso a arquivos ou sistemas sensíveis de uma empresa. A seguir, para que essas informações sejam liberadas, e não divulgadas ou perdidas, é exigido um resgate a ser pago. Ataques de ransomware tornaram-se relevantes e despertaram a atenção depois do WannaCry, que paralisou o sistema de saúde britânico em 2017. Uma pesquisa realizada pela Accenture revelou que o Brasil está entre os cinco países mais afetados por ataques de ransomware no mundo.
Como solucionar o problema?
A fim de criar um modelo para detecção de anomalias, o primeiro passo envolve a identificação e a coleta de informações da rede, que mostram detalhes do seu funcionamento. As características dos dados utilizados são capazes de direcionar as decisões ao longo da construção do modelo. Há diferentes formas de coletar informações de uma rede, uma delas é através do monitoramento dos fluxos, que são gerados através da coleta e agrupamento dos pacotes de rede utilizando dados do cabeçalho.
A Figura seguinte mostra o tráfego de rede legítimo de usuários como Nicolas, Isa, Luís e um agente malicioso, que busca encontrar formas de burlar a segurança da rede. Com a detecção de anomalias, o objetivo é identificar as diferenças entre os que fluxos que estão tentando buscar formas de burlar a segurança dos sistemas e os que são legítimos.
Para ilustrar o cenário exposto será apresentado um modelo para detectar anomalias com a finalidade de identificar ameaças através de ferramentas de escaneamento da rede. Foram gerados 292.323 fluxos com base em duas fontes, a primeira fonte utilizada foi o dataset ISCXVPN2016 disponibilizado Canadian Institute for Cybersecurity — CIC para representar tráfego legítimo e a segunda fonte foi com base no tráfego de rede de uma imagem do docker chamada Metasploitable2 e ferramentas de escaneamento de rede (sniper, nmap, zap, hping) para caracterizar o tráfego anômalo ou de escaneamento.
A Tabela seguinte apresenta os tipos de tráfego incluídos nos fluxos legítimos e a quantidade de cada categoria. Também expõe o tráfego das ferramentas utilizadas e a quantidade de fluxos incluída na categoria de escaneamento.
Para gerar o modelo foi usado 70% dos fluxos para treinamento e 30% para teste. Dessa forma, foi possível alcançar uma AUC de 99.88%. A imagem a seguir mostra a matriz de confusão com base nas predições do conjunto de testes que conseguimos obter.
Para explorar os resultados obtidos pelo modelo, a próxima tabela apresenta a quantidade de fluxos de cada ferramenta que estão presentes no conjunto de teste e a quantidade de fluxos de tráfego legítimo.
Apesar do modelo classificar os fluxos somente entre legítimo e escaneamento, com a tabela seguinte podemos inferir que o modelo errou somente 47 fluxos de um total de 29647 para os fluxos de escaneamento e para os fluxos legítimos o modelo errou 45 de um total de 58050.
O estudo apresentado mostra que é possível aprimorar os mecanismos de segurança através da detecção de ameaças. A Datarisk oferece soluções que são capazes de reconhecer possíveis ameaças e identificar ataques. Auxiliamos as empresas a aprimorar o nível de segurança com o uso de técnicas de Inteligência Artificial, com o objetivo de proteger os dados dos clientes e do seu negócio.
Para mais informações sobre a Datarisk visite nosso site e redes sociais: Instagram, Linkedin e Youtube.
