Preguiça, cibersegurança e aprendizado de máquina

É simples: seres humanos são preguiçosos. Se for possível não fazer algo, não faremos. Contudo, paradoxicalmente isso é algo bom, pois a preguiça é o motor do progresso! O que? Como? Bem, se um trabalho é oneroso, difícil ou perigoso demais para os seres humanos, a preguiça entra em ação e os homens passam o trabalho para uma máquina. Em cibersegurança, chamamos isso de otimização.

Análises diárias de milhões de arquivos maliciosos e sites, desenvolvimento de “vacinas” contra ameaças futuras, melhoria contínua de proteção proativa e resolução de dezenas de outras tarefas críticas – tudo isso é simplesmente impossível sem automação. O aprendizado de máquina é um dos principais conceitos usados em automação.

O aprendizado de máquina já é aplicado em cibersegurança há mais de uma década, e sem marketing enganoso.

Automação existe em cibersegurança desde o começo (da cibersegurança em si). Lembro que no começo dos anos 2000, escrevi um código para um robô que analisava amostras de malwares:  o robô colocava os arquivos detectados na pasta correspondente na nossa coleção em expansão de malwares, tendo como base as características do arquivo. Era difícil imaginar mesmo naquela época que tudo era feito manualmente!

Atualmente, dar instruções aos robôs a respeito de como executar tarefas preciosamente não é mais suficiente. No lugar disso, instruções para tarefas precisam ser dadas de maneira pouco precisa. Isso mesmo!

Por exemplo, “encontre rostos nessa fotografia”. Para isso, você não descreve como identificar rostos humanos ou como eles são diferentes das faces de cachorros. O que você faz é mostrar diversas fotografias a um robô e dizer a ele: “isso é um ser humano, e esses são cachorros; agora se vira” de forma resumida essa é a liberdade criativa que chamamos de aprendizado de máquina.

25ccd2f400000578-2958597-image-a-27_1424270103152

AM + CS = Amor

Sem o aprendizado de máquina (AM), nenhum fabricante de cibersegurança conseguiria ter chegado a presente década (isso se a detecção não for copiada dos outros). Porém, algumas startups apresentam o AM como uma revolução na cibersegurança (CS) – uma revolução que “começou e continua como vanguarda”. Mas na verdade o AM já foi aplicado em cibersegurança por mais de uma década – e sem esse marketing tendencioso.

O aprendizado de máquina é uma disciplina sobre a qual milhares de dissertações de mestrado e livros foram escritos, de modo que não conseguirei falar sobre em um único post. Acho que nem vários posts seriam suficientes. Mas no fim acho que você, querido leitor, não precisa dos detalhes técnicos. Logo, tratarei de algo muito mais útil: os elementos mais emocionantes relacionados ao aprendizado de máquina – sob a perspectiva da KL.

No começo da “jornada”, usamos vários modelos matemáticos de automação apenas para necessidades internas; para automação de workstations de analistas de malware (ou seja, selecionar as partes mais importantes do fluxo de informação), para a formação de clusters (agrupamento de objetos por atributos), e otimização de analistas web (determinação da importância e prioridade de milhares de URLs baseados em atribuição de pesos e diferentes fatores).

Ao aplicar esse método de aprendizagem de máquina a tarefas reais, diversas dificuldades tendem a surgir.

Mais tarde ficou claro que sem a introdução de tecnologias inteligentes nos novos produtos, o fluxo de informações inúteis no sobrecarregaria. O que precisávamos eram robôs que poderiam responder de maneira rápida e precisa questões complexas como: “Ei robô, me mostre o arquivo mais perigoso com base nesses exemplos”. Ou ainda: “olha só robô, isso são procedimentos heurísticos, que detectam dezenas de milhares de objetos. O que você precisa fazer é encontrar características comuns em outros objetos maliciosos, e então implementar esses mesmos procedimentos por si em objetos diferentes”.

Mas espera aí…

Antes que você pense que isso é fácil: ao aplicar esses métodos de aprendizado de máquina a tarefas reais, diversas dificuldades surgem. Especialmente em cibersegurança: o submundo cibernético inventa novos tipos de ataques constantemente, então não importa a qualidade do modelo matemático, ele precisa ser melhorado sempre. Essa é uma das dificuldades principais do aprendizado de máquina na cibersegurança: trabalhamos em um ambiente dinâmico e hostil no qual o aprendizado de máquina reage de forma constante.

No meio dos anos 2000, a Kaspersky Lab começou a incluir o aprendizado de máquina em seus produtos para usuários domésticos

Primeiro, esses ataques precisam ser identificados. Claro, que os cibercriminosos não facilitam nosso trabalho, pelo contrário: eles tentam se esconder bastante para continuarem sob o radar, por tanto tempo quanto possível de modo que possam lucrar o máximo. A busca em voga por esses ataques é trabalho de especialistas bem pagos com o uso de instrumentos complexos de inteligência.

Segundo, o analista precisa treinar um robô para executar o trabalho corretamente, para diferenciar o que é importante do que não é. Essa é a parte complicada. Um exemplo: o problema do sobreajuste.

machine-learning-ai-artificial-intelligence-e1462471461626

Um exemplo clássico de sobreajuste é o seguinte: matemáticos criaram um modelo para reconhecer imagens de vacas utilizando imagens de vários animais! Mas a partir do momento que as fotos foram ficando mais complexas o modelo passou a reconhecer nada. Dessa forma, eles tiveram de ver o que estava acontecendo. Descobriu -se que o algoritmo ficou esperto demais (mais ou menos), e começou a se enganar: se condicionado a reconhecer o pasto no qual as vacas podiam estar nas imagens.

Dessa forma, adicionar um “cérebro” às tecnologias é realmente desafiador: é um processo longo de tentativa e erro que demanda uma combinação de pelo menos duas especialidades: ciência de dados e cibersegurança. No meio dos anos 2000, tínhamos acumulado bastante das duas, e começamos a incluir aprendizado de máquina nas nossas tecnologias de “combate” direcionadas a nossos produtos.

Desde então, a automação nos nossos produtos avançou e saltou barreiras. Diferentes abordagens matemáticas foram introduzidas em produtos e componentes tanto em larga quanto em pequena escala: em anti-spam (classificações de e-mails baseadas no grau de similaridade com spam); anti-phishing (reconhecimento heurístico de sites de phishing); controle parental (identificar conteúdo indesejado); anti-fraude; proteção contra ameaças específicas; em monitoramento ativo e mais.

Não tão rápido, Sr. Smith.

Depois de ler sobre o sucesso do aprendizado de máquina, observou-se um aumento na tentação de colocar esses algoritmos diretamente nos computadores de clientes e deixá-los agir por si: já que o algoritmo é tão esperto, vamos deixa-lo se virar. Todavia, no jogo do aprendizado de máquina não há lugar para um lobo solitário. Eis o porquê:

Primeiro, essas abordagens são limitadas em termos de performance. O usuário precisa de um balanço razoável entre qualidade de proteção e velocidade, desenvolvimento de tecnologias existentes e implementação de novas – não importa o quão inteligentes – elas usarão recursos importantes do sistema.

Performance, estabilidade de proteção e autodefesa são as principais razões contra o aprendizado de máquina isolado

Segundo, esse isolamento sem atualizações, novos materiais de estudo resultarão no decréscimo da qualidade da proteção. O algoritmo precisa ser regularmente ensinado a respeito de novos tipos de ciberataques; outro ponto é que as habilidades de detecção tornam-se obsoletas rapidamente.

Terceiro, a concentração de todo o arsenal de proteção em um computador favorece a possibilidade de que os bandidos estudem a proteção com detalhes e desenvolvam métodos de contra-ataque.

Essas são as três razões principais, mas existem outras

O que precisa ser feito?

A razão é bem direta:  essa gama de recursos deve ser alocada em um local de importância apropriada. A criação de um cérebro remoto baseado em dados estudados de milhões de computadores de clientes, capaz de reconhecer com precisão e velocidade um ataque e aplicar a proteção apropriada.

Nuvens fofinhas

Há 10 anos, criamos a KSN (17 patentes e petições de patentes) – o “cérebro remoto”. A KSN é uma tecnologia de nuvem com infraestrutura avançada conectada a todo computador protegido, o que não atrapalhar o usuário e melhora a qualidade de proteção.

Em essência, a KSN é uma matriosca: a nuvem contém diversas tecnologias inteligentes para combater ciberataques. Também integra tecnologias inteligentes para lutar contra ciberataques. Também possui sistemas de combate e de desenvolvimento de modelos experimentais. Já escrevi sobre um desses – Astraea (patentes US7640589US8572740US7743419), os quais desde 2009 analisam eventos em computadores protegidos para descobrir ameaças desconhecidas. Hoje o Astraea processa em um dia mais de um bilhão de eventos, e calculando parâmetros para dezenas de milhões de objetos.

Apesar do fato de que tecnologias de nuvem já terem provado sua superioridade, todas são sistemas isolados e autônomos. Essas possuem traços preliminares de aprendizado de máquina e raramente se atualizam já que se localizam no computador do cliente. Vai entender.

Apenas um minuto. 

99,9% das ciberameaças são analisadas utilizando algoritmos infraestruturais alimentados por aprendizado de máquina

As empresas que produziram essas soluções isoladamente dizem que graças ao aprendizado de máquina, elas podem detectar a “nova geração de malwares” sem atualizações regulares. Esse tipo de detecção não desperta o interesse de ninguém, já que não está disseminada o suficiente prometendo pouco ganho econômico para os malvados (poucos usuários, pouco interesse). As vezes, eles detectam coisa ou outra, mas ninguém fica sabendo. Não como se essas empresas nunca tivessem encontrado nada de significante, como ataques de espionagem avançados como o Dugu, Flame ou Equation.

Hoje, analisamos 99,9% das ciberameaças utilizando nossos algoritmos infraestruturas alimentados por aprendizado de máquina. O intervalo entre a descoberta de um comportamento suspeito e a proteção do dispositivo contra esse problema dura por volta de 10 minutos. Isso se ainda não tivermos pego o bandido antes com a proteção proativa (por exemplo a proteção automática contra exploits). Em certas situações, levamos 40 segundos para encontrar o objeto suspeito e neutralizá-lo. Isso levou a especulação em fóruns no submundo dos cibercriminosos.

Para resumir: infraestrutura de nuvem + aprendizado de máquina = proteção efetiva. Antes disso, dificilmente íamos bem em testes independentes; agora, com a KSN somos os primeiros invictos. Além do mais, mantemos baixas taxas de falsos positivos e estamos entre os melhores em termos de velocidade na indústria.

Vinho vintage vs. Vinho barato

É possível que tudo isso tenha dado a impressão de que um remédio universal para ciberameaças surgiu! Um interceptador leve em um dos terminais e todo o trabalho pesado é feito na nuvem. Mas não. Caso tivéssemos problemas de rede, o terminal estaria desprotegido. Na verdade,  a prática nos mostrou que o ambiente ideal de residência para tecnologias inteligentes é entre esses dois extremos  – uma combinação de contextos anônimos e na nuvem.

Foi aí que surgiu a ideia de que o aprendizado de máquina poderia tomar o lugar de todas as outras abordagens para um paradigma total em segurança.

Mas… o que acontecerá com os bandidos quando eles entenderem como os algoritmos funcionam e aprenderem a driblá-lo? Isso significa que todos os modelos matemáticos precisariam ser ajustados e uma atualização emitida para os dispositivos protegidos. Enquanto o modelo é ajustado e a atualização enviada/recebida, o usuário se mantém vulnerável a um ciberataque.

O aprendizado de máquina não é uma solução para todos os problemas: a melhor proteção é uma combinação de tecnologias diferentes, em todos os níveis, levando em conta todos os vetores de ataque.

A conclusão é óbvia: a melhor proteção é uma combinação de tecnologias diferentes, em todas as camadas, levando em conta todos os vetores de ataque.

Finalmente, a coisa mais importante: o aprendizado de máquina é criado por humanos – especialistas do mais alto calibre em análises de dados e ciberameaças. Não dá para ter um sem o outro. Tudo se resume a integração homem e máquina.

Trata -se de um longo processo de tentativa e erro que leva muitos anos. Como um bom vinho – melhora com os anos e sempre será melhor que um vinho novo não importa o quão bonito seja o rótulo do novato. Quem tiver começado a trilhar o caminho do aprendizado de máquina mais cedo terá mais experiência, especialistas, tecnologias melhores, e proteção mais confiável. Essa é apenas minha opinião confirmada por testes, investigações/pesquisas e clientes.

Faixa bônus: o tempora o mores!

O modelo de negócio de algumas startups de TI é claro: não importa o quanto você fatura, mas sim o quanto você vale. O objetivo é provocar um frenesi de marketing intenso baseado em provocações, manipulações e fingimento – tudo para estourar bolhas de expectativas.

Se uma startup não é baseada em truques, ela entenderá que sem proteção multicamadas, aplicação de tecnologias de proteção atuais e o desenvolvimento de sua própria experiência está condenada; até porque o dinheiro do investimento e a confiança dos usuários estão chegando ao fim.

Por outro lado, para compor um bom produto de segurança do nada que preencha todos os requisitos não é nada fácil, se não impossível atualmente. Pois expertise e tempo suplantam dinheiro em necessidade. Ainda assim, algumas startups precisam começar pequenas e crescer estavelmente.

 

machine-learning-robots-dilbert

Tenho certeza de que cedo ou tarde startups “revolucionárias”  começarão a implantar tecnologias testadas adequadamente. E as melhores startups que construírem experiência genuína e acumularem especialistas começarão a expandir seu arsenal de proteção para aumentar a possibilidade de se defender contra ataques diversos. Gradualmente, seus produtos chegaram mais perto do profissional, demonstrarão a correlação com critérios objetivos em qualidade adotados em cibersegurança.

#Aprendizado de máquina é fundamental para #cibersegurança. Conheça os comentários do @E_KASPERSKY #AITWEET

LEIA COMENTÁRIOS 0
Deixe um comentário.