Aproveitar o potencial da automação em cibersegurança é fundamental para manter uma defesa robusta contra ameaças em constante evolução. No entanto, essa abordagem vem com seus próprios desafios.
Neste artigo vamos discutir como a automação pode ser integrada estrategicamente com a expertise humana, os desafios na garantia da integridade dos dados e as considerações ao automatizar tarefas avançadas.
O que você encontrará neste artigo
- A automação é fundamental para manter uma defesa robusta contra ameaças em constante evolução
- Ela é fundamental para que as equipes de cibersegurança possam se concentrar em tarefas de alto valor
- A cognição humana é insubstituível em análises comportamentais que exigem contexto ou conhecimento institucional
- É importante projetar fluxos de trabalho ergonômicos que ajudem analistas de segurança e caçadores de ameaças a se concentrarem na análise e tomada de decisões
- A automação pode ajudar a aliviar a sobrecarga das equipes de segurança, mas é preciso maximizar o potencial da colaboração humano-máquina
- É importante escolher tecnologias de automação que aumentem a capacidade de automação e sejam integradas em todos os níveis das soluções
- Deve-se adotar uma mentalidade de aprendizagem e medir e refinar continuamente os processos de automação
Automação e expertise humana
A cognição humana é insubstituível em análises comportamentais que exigem contexto ou conhecimento institucional. O objetivo é, portanto, automatizar o trabalho chato e repetitivo para que os especialistas em cibersegurança possam se concentrar em tarefas de alto valor.
Praticamente, isso pode significar automatizar subtarefas em vez de automatizar completamente processos inteiros, como correlacionar ou enriquecer dados de eventos, buscar evidências forenses adicionais ou abrir e anotar tíquetes de incidentes. O importante é projetar fluxos de trabalho ergonômicos que ajudem analistas de segurança e caçadores de ameaças a se concentrarem na análise e tomada de decisões, reduzindo sua carga cognitiva e evitando troca de contexto. É sobre usar as forças de cada um – a capacidade de analisar e processar grandes quantidades de dados no caso de máquinas e dar sentido a isso no caso de humanos – que faz com que a soma da colaboração humano-máquina seja maior que suas partes.
Integridade dos dados
Se quisermos automatizar a resposta a ameaças e contenções, podemos tolerar apenas uma quantidade muito pequena de falsos positivos. Primeiramente, devemos garantir que estamos coletando as fontes de dados corretas e que nossa coleta de dados é confiável e consistente. Também precisaremos de uma maneira de determinar quando iniciar uma resposta por meio de regras de detecção ou correlação, ou mais comumente hoje, usando algo como um modelo de aprendizado de máquina. Detecções precisas podem exigir fontes de dados adicionais, como feeds de inteligência de ameaças legíveis por máquina ou contexto de ativos e funções de usuário.
Todos esses dados têm de estar disponíveis no formato correto e no momento certo, quando necessário. Também precisaremos de uma lógica de tomada de decisão adicional para orquestrar o processo de resposta automatizado, como um playbook de resposta em uma solução SOAR. Cada etapa desse processo de múltiplas sequências requer um alto nível de qualidade, integridade e confiabilidade de dados. Especialmente quando se trata de automatizar algo, o ditado “com lixo entra, lixo sai” assume um significado mais imediato. Automatizar quase tudo, mesmo processos aparentemente simples, geralmente resulta em playbooks complexos, com muitos pontos únicos de falha, especialmente para dados.
O que também está se tornando cada vez mais importante, especialmente quando se trata de construir confiança na automação, são a interpretabilidade e explicabilidade do modelo. Ser capaz de confiar nos dados usados para impulsionar as automações é crucial. É difícil confiar em uma caixa preta, especialmente quando os falsos positivos são necessariamente comuns.
Tarefas básicas vs. tarefas avançadas
Muitas equipes de cibersegurança parecem estar sobrecarregadas, assumindo várias responsabilidades. Como a automação pode ajudar a aliviar esse problema sem comprometer a segurança?
A automação de tarefas básicas já é comum, mas a automação de tarefas avançadas ainda é vista com reservas. Como diferenciar essas duas categorias? A adoção da automação depende de muitos fatores, incluindo experiência passada, comportamento competitivo e de pares, pressões de negócios e maturidade e capacidades técnicas. Em geral, como uma organização aborda a automação é um fator importante. As equipes de segurança lutam para liderar a mudança de cultura sem patrocínio executivo.
Um fator que geralmente impulsiona a adoção da automação de segurança é se o risco de não automatizar excede o risco de uma automação dar errado. Por exemplo, se você conduz negócios em um ambiente de alto risco, o potencial de danos quando não se automatiza pode ser maior do que o risco de acionar uma resposta automatizada com base em um falso positivo. A fraude financeira é um bom exemplo, onde os bancos rotineiramente bloqueiam automaticamente transações consideradas suspeitas, porque um processo manual seria muito lento.
Outro fator é quando o potencial de dano de uma automação dar errado é baixo. Por exemplo, não há dano potencial ao tentar buscar um arquivo inexistente de um sistema remoto para análise forense.
O que realmente importa é a confiabilidade da automação. Por exemplo, muitos atacantes hoje usam técnicas do tipo living-off-the-land, como o uso de utilitários de sistema comuns e benignos como o PowerShell. Para fins de detecção, não há características exclusivas identificáveis, como um hash de arquivo ou um binário malicioso para inspecionar em uma sandbox. O que importa é quem está usando o utilitário. O invasor provavelmente também roubou credenciais de administrador, então isso não é suficiente para detectar comportamento malicioso com precisão.
O que também importa é como o PowerShell está sendo usado. Isso, no entanto, exige um conhecimento profundo sobre o que outros usuários geralmente fazem, em que ativos eles costumam trabalhar, etc. É por isso que geralmente se vê o aprendizado de máquina não supervisionado sendo aplicado a esses tipos de problemas, pois ajuda a detectar anomalias em vez de exigir conhecimento prévio de indicadores de comprometimento. Mas isso também significa que os falsos positivos são comuns. Esse é o trade-off.
O que realmente importa é a confiabilidade e a confiança na lógica de tomada de decisão. Infelizmente, também não há muitas regras rígidas. O quão difícil é detectar algo nem sempre se relaciona com a quantidade de risco que uma ameaça representa.
Além disso, deve-se considerar que estamos enfrentando adversários reais que frequentemente mudam a forma como atacam e que também respondem evasivamente às nossas defesas. A detecção e a análise automatizada são problemas difíceis que só foram parcialmente resolvidos. Mesmo os modelos de aprendizado de máquina não serão capazes de ajudar totalmente.
Riscos e armadilhas
Adotar uma abordagem de automação do tipo “tudo ou nada” pode ser um risco. O ROI da automação diminui rapidamente se você acabar gastando qualquer tempo que tenha economizado fazendo análise de causa raiz para falsas detecções e ajustando e otimizando a lógica e as regras de automação. Isso é ainda mais complicado pelo fato de que especialmente as automações mais complexas agora dependem de aprendizado de máquina ou técnicas similares de análise de dados, que podem sofrer com a falta de interpretabilidade e explicabilidade.
É possível focar seletivamente apenas em automações altamente precisas e confiáveis, mas a precisão é altamente variável, independentemente do tipo de ameaça ou risco, o que deixará você com um conjunto muito misto de automações e lacunas de cobertura. É por isso que selecionar as tecnologias certas para uma abordagem de automação primeiro são cruciais. As equipes de segurança que desejam automatizar pesadamente serão melhor aconselhadas a selecionar tecnologias que incluam capacidades de automação e se prestem a aumentar a automatabilidade.
Aliviando a sobrecarga das equipes de segurança
Precisamos aprender a maximizar o potencial da colaboração humano-máquina e a desenvolver fluxos de trabalho que combinem as vantagens da automação e de um analista humano. Isso significa automatizar tarefas como enriquecimento de contexto e inteligência, mapeamento de eventos para modelos de ameaças, pré-busca de dados forenses ou criação de visualizações de dados, tudo para colocar os dados em uma forma adequada para que um humano possa entender e decidir o que fazer em seguida.
Também precisamos experimentar com processos do tipo “human-in-the-loop” e “human-on-the-loop” para tornar a automação mais eficaz e segura.
Considerações importantes
- Seja estratégico, comece com tarefas rotineiras e repetitivas;
- Escolha tecnologias de automação que aumentem a capacidade de automação e sejam integradas em todos os níveis das soluções;
- Maximizar o potencial da colaboração humano-máquina combinando as vantagens da automação e de um analista humano é fundamental;
- A confiança é um fator importante na adoção da automação e é dependente da interpretabilidade e explicabilidade do modelo;
- Adote uma mentalidade de aprendizagem e meça e refine continuamente os processos de automação.
Conclusão
A automação pode ajudar a aliviar a sobrecarga das equipes de segurança, mas é preciso maximizar o potencial da colaboração humano-máquina e focar em tarefas de alto valor. É importante escolher tecnologias que aumentem essa capacidade, mas que sejam integradas com o maior número e nível de soluções já adotadas, para maximizar a interpretabilidade e explicabilidade do modelo. Adotar uma mentalidade de aprendizagem, medir e refinar continuamente os processos de automação também são fundamentais.