11 min de leitura

As ciber-ameaças da IA generativa e o HackGPT

Substitua as abordagens tradicionais baseadas em normas de segurança cibernética por tecnologia e treinamento mais atualizados. Se os cibercriminosos usam IA para cometer crimes, use-a de volta a seu favor

Karen Renaud, Merrill Warkentin, e George Westerman
30 de julho de 2024
As ciber-ameaças da IA generativa e o HackGPT
Este conteúdo pertence à editoria Tecnologia, IA e dados Ver mais conteúdos
Link copiado para a área de transferência!

Nos últimos anos, os criminosos cibernéticos têm usado a inteligência artificial (IA) para invadir sistemas corporativos e desorganizar operações de negócios. Mas novas e poderosas ferramentas de IA generativa, como o ChatGPT, trazem um novo conjunto de desafios para as organizações.

Considere estes possíveis cenários:

– Um hacker usa o ChatGPT para gerar uma mensagem de spear-phishing personalizada com base nos materiais de marketing da sua empresa e nas mensagens de phishing que foram bem-sucedidas no passado. Ele consegue enganar as pessoas que foram bem treinadas em reconhecimento de e-mail, porque não se parece com as mensagens que foram treinadas para detectar.- Um bot de IA chama um funcionário de contas a pagar e fala usando uma voz (deepfake) que soa como a do chefe. Depois de trocar algumas gentilezas, o “”chefe”” pede ao funcionário que transfira milhares de dólares para uma conta para “”pagar uma fatura””. O funcionário sabe que não deve fazer isso, mas o chefe pode pedir exceções, não é?- Os hackers usam a IA para “”envenenar”” realisticamente as informações em um sistema, criando um valioso portfólio de ações que eles podem sacar antes que o engano seja descoberto.- Em uma troca de e-mails falsos, mas muito convincentes, criada usando IA generativa, os principais executivos de uma empresa parecem estar discutindo como encobrir um déficit financeiro. A mensagem vaza para o mercado e se espalha descontroladamente com a ajuda de um exército de bots de mídia social, levando a uma queda no preço das ações da empresa e danos permanentes à reputação.

Esses cenários devem soar muito familiares para aqueles que têm prestado atenção a histórias de deepfakes causando estragos nas redes sociais ou violações impactantes nos sistemas de TI corporativos. Mas a natureza das novas ameaças está em uma categoria diferente e mais assustadora porque a tecnologia subjacente se tornou “”mais inteligente””.

Até recentemente, a maioria dos ataques era feita no formato de alto volume e relativamente pouco sofisticadas. Imagine uma horda de zumbis – milhões de ameaças persistentes, mas sem cérebro, que só têm sucesso quando uma ou duas acontecem em um ponto fraco da defesa. Em contraste, as ameaças mais sofisticadas – os principais roubos e fraudes de que às vezes ouvimos falar na imprensa – foram ataques em pequeno número, centrados em um alvo, que normalmente exigem envolvimento humano real para ter sucesso. Eles são mais como ladrões cuidadosos, examinando sistematicamente todos os elementos de um edifício e seus sistemas de alarme até que possam conceber uma maneira de passar pelas salvaguardas. Ou podem ser como vigaristas, que podem construir uma história de fundo e girar mentiras de forma tão convincente que até mesmo pessoas inteligentes são persuadidas a dar-lhes dinheiro.

Agora imagine que os zumbis se tornam mais inteligentes. Alimentado por IA generativa, cada um se torna um ladrão sofisticado, capaz de entender o design de seus sistemas de segurança e criar uma maneira de contorná-los. Ou imagine um vigarista usando IA generativa para se envolver interativamente com um de seus funcionários, construir confiança e enganá-lo para cair no golpe.

Essa nova era de malware alimentado por IA significa que as empresas não podem mais usar abordagens de práticas recomendadas que podem ter sido eficazes há apenas alguns meses. A defesa em profundidade – a estratégia de instalar as políticas de segurança corretas, implementar as melhores ferramentas técnicas para prevenção e detecção e realizar campanhas de conscientização para garantir que os membros da equipe conheçam as regras de segurança – não será mais suficiente. Uma nova era amanheceu.

Usando combinações de texto, voz, gráficos e vídeo, a IA generativa desencadeará inovações desconhecidas e indetectáveis em hackers. Defesas bem-sucedidas contra essas ameaças ainda não podem ser automatizadas. Sua empresa precisará passar da aquisição de ferramentas e do estabelecimento de regras para o desenvolvimento de uma estratégia que se adapte às ameaças geradas pela IA de próximo nível em tempo real. Isso exigirá tecnologia e funcionários mais inteligentes.

Combata IA generativa com IA generativa

As empresas devem usar IA generativa tanto para fortalecer suas capacidades defensivas quanto para acelerar sua capacidade de responder a novas ameaças em tempo real.

Primeiro, considere as defesas usadas pela empresa para se proteger. Elas já usam bancos de dados de malware para detectar novas ameaças, que são constantemente atualizados pelos fornecedores, mas não são adaptados à situação única de cada organização. Antes os hackers usavam uma única abordagem para atingir os sistemas de quaisquer empresas; agora, usarão a IA para adaptar seus métodos às vulnerabilidades de cada uma. E-mails enganosos pressionarão os pontos certos; eles também serão altamente críveis porque a linguagem orientada por IA em novos ataques de phishing usará informações públicas para adaptar cada mensagem à empresa-alvo. Então, em vez de descartar um e-mail imediatamente como fraudulento, até mesmo os funcionários experientes são mais propensos a avaliar detalhes suficientes para serem convencidos de que a mensagem é legítima.

A OpenAI (fabricante do ChatGPT) e outros estão lançando ferramentas como GPTZero e ZeroGPT que permitirão às empresas detectarem se o texto recém-gerado (sem assinatura identificável) foi produzido por IA generativa. Ao integrar essas ferramentas em servidores de e-mail, as empresas podem melhorar a probabilidade de bloquear mensagens de phishing automatizadas desse nível. Essas ferramentas devem ser adaptadas às necessidades de cada empresa e ser frequentemente ajustadas para manter a vigilância, assim como um gatekeeper humano inteligente precisa se manter atualizado sobre as ameaças mais recentes. Com o tempo, os fornecedores de ferramentas de segurança incorporarão essas tecnologias, mas, enquanto isso, muitas empresas correm o risco de serem hackeadas e sofrerem grandes perdas financeiras e de reputação. Portanto, é importante considerar fazer mudanças internas no curto prazo, em vez de esperar por soluções prontas para uso no mercado para recuperar o atraso.

Em segundo lugar, a detecção em tempo real tem que melhorar, e rápido. Muitas empresas dependem da detecção de padrões para repelir ataques. O problema é que os padrões são parte de ataques que já aconteceram, como um vírus de gripe do ano anterior. Para neutralizar os ataques impulsionados pela IA generativa, é necessária uma nova era, de prevenção “”inteligente””.

A IA generativa tem o potencial de melhorar a capacidade das empresas de detectar rapidamente anomalias em comportamentos ou ações, de funcionários ou em qualquer lugar dentro dos sistemas da empresa. Os comportamentos dos funcionários – evidenciados pelos sistemas em que fazem login, a quantidade de dados que acessam e com quem se comunicam por e-mail – tendem a ser previsíveis no dia a dia, observando-se seu trabalho. Isso pode ser pensado como sua pegada comportamental. Se a pegada mudar de repente sem que a descrição do trabalho mude, isso pode sinalizar, por exemplo, uma possível tentativa de hacking em andamento ou um comportamento fora do normal. Usando IA generativa em combinação com outras ferramentas de IA, as empresas podem identificar a extensão do dano – ou determinar que nenhuma violação ocorreu. Novas extensões e aplicativos de terceiros construídos sobre a base GPT-4 já foram anunciados, então espere que novas ferramentas de segurança baseadas em IA estejam disponíveis em breve.

Treine as pessoas para ataques mais inteligentes

O comportamento humano consciente da segurança continua a ser fundamental para a segurança cibernética, mas as pessoas continuam a cometer erros. Muitas campanhas de conscientização descrevem as ameaças existentes e fornecem um conjunto de regras a serem seguidas: não clique em links, certifique-se de usar senhas fortes e compatibilize todos os softwares, para citar apenas alguns. Numerosas pesquisas sobre o tema de segurança identificaram os funcionários como o elo mais fraco. Os funcionários do call center, por exemplo, podem ser enganados por pessoas que têm informações suficientes ou fornecem o tipo certo de discurso emocional. De acordo com uma estimativa, até 82% das violações envolvem o comportamento humano.

Na era da IA generativa, o treinamento de conscientização precisa mudar de políticas que exigem uma determinada postura para uma preparação baseada em conhecimento que permita que os funcionários detectem novas ameaças. Ou seja, eles precisam saber o suficiente sobre hacking para passar de seguidores de regras a defensores ativos. Com o advento das ferramentas de IA generativas, as políticas tradicionais de segurança da informação foram ultrapassadas e uma abordagem baseada em regras já não é suficiente.

Veja o exemplo: caminhoneiros não garantem a segurança apenas seguindo as leis de trânsito; eles também precisam se adaptar às condições da estrada, como permitir mais distância durante condições chuvosas ou diminuir a velocidade na neblina. Da mesma forma, os funcionários devem aplicar o conhecimento situacional para enfrentar os novos desafios de segurança cibernética da IA generativa. Isso exige que as empresas vão além de treinar as pessoas sobre o que fazer e o que não fazer. Eles também precisam ajudá-los a entender como se manter seguros em um novo mundo muito desafiador.

As empresas precisam se afastar de uma estratégia baseada em conformidade para uma em que os funcionários desenvolvam novas habilidades. Isso pode exigir treinamento conduzido por instrutor, pessoalmente ou online, para desenvolver conhecimentos que vão além das regras. O treinamento atual de tamanho único, mesmo quando seguido por um questionário, é passivo. A era da IA requer treinamento que sintonize os funcionários com cenários reais ou potenciais e inclui discussões ao vivo sobre como responder.

Além de produzir jogadores de defesa através do treinamento de conscientização dos funcionários, as empresas também precisam seguir a sabedoria de Sun Tzu de que “”a defesa é o planejamento de um ataque””. Imagine o pior cenário. Imagine o inimaginável. Use modelos baseados em IA para gerar hipóteses de ameaça ou gatilhos a serem observados. Uma estratégia: forme uma equipe SWAT com seu melhor pessoal de TI, ou até mesmo especialistas de outras empresas, para debater como os bandidos poderiam potencialmente penetrar em suas defesas. Em seguida, encontre maneiras de melhorar suas capacidades técnicas e a conscientização dos funcionários em torno de tais eventos. Uma pesquisa descobriu que as empresas estão fazendo a transição da tradicional abordagem de jogos de guerra cibernéticos de equipe vermelha/equipe azul (ataque/defesa) para uma abordagem mais colaborativa de “”equipe roxa”” para construir uma compreensão mais profunda dos métodos de ataque emergentes e aprender o que funciona e o que não funciona.

A melhor defesa contra hacks alimentados por IA provavelmente irá usar IA. Isso significa não apenas estratégias de defesa mais rápidas e robustas, mas genuinamente mais inteligentes para sua tecnologia e seu pessoal. Você não vai vencer os zumbis inteligentes fazendo suas cercas mais altas. Mas você pode aumentar os bloqueios tradicionais com novas ferramentas alimentadas por IA e pode repensar seus métodos habituais de proteção e segurança. No novo e assustador mundo do HackGPT, você deve começar agora para manter sua empresa segura e protegida.”

Karen Renaud, Merrill Warkentin, e George Westerman
Karen Renaud é cientista da computação da University of Strathclyde, em Glasgow, trabalhando em todos os aspectos da segurança e privacidade centrados no ser humano. Merrill Warkentin é professor de sistemas da informação no College of Business da Mississipi State University. George Westerman é palestrante sênior da MIT Sloan School of Management e fundador da Global Opportunity Initiative na MIT’s Office of Open Learning.

Deixe um comentário

Você atualizou a sua lista de conteúdos favoritos. Ver conteúdos
aqui