O setor de segurança cibernética está pronto para a IA?
À medida que as equipes de segurança cibernética se concentram em como frustrar os agentes de ameaças, elas estão ignorando os riscos envolvidos nos dados que estão compartilhando voluntariamente.
A IA não é novidade na segurança cibernética — a maioria das ferramentas de segurança automatizadas depende de IA e ML de alguma forma — mas a IA generativa tem deixado todo mundo comentando e preocupado.
Se os profissionais de segurança cibernética ainda não abordaram as implicações de segurança em torno da IA generativa, eles já estão atrasados.
“O trem já partiu da estação”, disse Patrick Harr, CEO da SlashNext, em uma conversa na RSA Conference 2024 em São Francisco.
Ameaças geradas por IA já impactaram três quartos das organizações, mas 60% admitiram que não estão preparadas para lidar com ataques baseados em IA, de acordo com um estudo conduzido pela Darktrace.
Os ataques cibernéticos com tecnologia de IA estão revelando as lacunas na disponibilidade de talentos em segurança cibernética. As organizações já estão preocupadas com a lacuna de habilidades, especialmente em áreas como computação em nuvem, implementação de confiança zero e recursos de IA/ML.
Com a crescente ameaça que a IA representa, as equipes de segurança cibernética não podem mais se dar ao luxo de esperar alguns anos para preencher essas lacunas de talentos, disse Clar Rosso, CEO da ISC2, ao público da RSAC.
Atualmente, 41% dos profissionais de segurança cibernética têm pouca ou nenhuma experiência em proteção de IA e 21% disseram que não sabem o suficiente sobre IA para amenizar preocupações, de acordo com a pesquisa do ISC2.
Não é de se admirar, então, que esses mesmos profissionais tenham dito que, até 2025, a IA será o maior desafio do setor.
Por que a indústria de segurança ainda não está pronta
As organizações têm usado IA para detectar ameaças cibernéticas há anos. Mas o que mudou a conversa foi a IA generativa.
Pela primeira vez, o pensamento sobre IA vai além da rede corporativa e do agente da ameaça; agora inclui o cliente.
À medida que as organizações dependem da IA para interação com o consumidor por meio de ferramentas como chatbots, as equipes de segurança precisam repensar sua abordagem para detecção de segurança e resposta a incidentes que se concentram em interações entre a IA e um usuário final terceirizado.
O problema é a governança em torno da IA generativa. As equipes de segurança cibernética — e as organizações em geral — não têm um entendimento claro sobre quais dados estão sendo treinados em IA, quem tem acesso a esses módulos de treinamento e como a IA se encaixa na conformidade.
No passado, se um terceiro pedisse informações sobre a empresa que pudessem ser consideradas sensíveis, ninguém as daria; seria um risco potencial à segurança. Agora, essas informações são incorporadas ao modelo de resposta de IA, mas quem é responsável pela governança dessas informações é indefinido.
À medida que as equipes de segurança cibernética se concentram em como frustrar os agentes de ameaças, elas estão ignorando os riscos envolvidos nos dados que estão compartilhando voluntariamente.
“Do ponto de vista da segurança, para adotar uma tecnologia com segurança, precisamos entender o que é o modelo de ML, como ele está conectado aos dados, se é pré-treinado, se está aprendendo continuamente, como você direciona a importância?”, disse Nicole Carignan, vice-presidente de IA cibernética estratégica na Darktrace, durante uma conversa na RSAC.
Construindo a expertise da equipe de segurança
É importante lembrar que a IA generativa é apenas um tipo de IA e, sim, seus casos de uso são finitos. Saber em que as ferramentas de IA são boas ajudará as equipes de segurança a começar a desenvolver habilidades e ferramentas para lidar com o cenário de ameaças de IA.
No entanto, as organizações precisam ser realistas. A lacuna de habilidades não vai diminuir magicamente em dois ou cinco anos só porque a necessidade está lá.
À medida que a equipe de segurança alcança as habilidades de que precisa, os provedores de serviços gerenciados podem intervir. O benefício de usar um MSP para gerenciar a segurança de IA é a capacidade de ver além da rede de uma única organização. Eles podem observar como as ameaças de IA são manipuladas em diferentes ambientes.
Mas as organizações ainda vão querer treinar seus sistemas internos de IA. Nessa situação, é melhor para a equipe de segurança começar em uma sandbox usando dados sintéticos, disse Narayana Pappu, CEO da Zendata. Isso permitirá que os profissionais de segurança testem seus sistemas de IA com dados seguros.
Não importa as habilidades internas, eventualmente, gerenciar ameaças de IA se resumirá a como a IA é usada em kits de ferramentas de segurança. Profissionais de segurança precisarão contar com a IA para ajudar a implementar práticas básicas de higiene de segurança e adicionar camadas de governança para garantir que as regulamentações de conformidade sejam atendidas.
“Ainda temos muito a aprender sobre IA. É nosso trabalho nos educar”, disse Rosso.
