A equipa da SophosAI avança as práticas e a linguagem que vão transformar o setor da cibersegurança com a transparência e abertura de que tanto se necessita
A Sophos (LSE:SOPH), líder global em segurança para a proteção de redes e endpoints, anuncia o lançamento de quatro novos desenvolvimentos de Inteligência Artificial (IA) em código aberto para ajudar a ampliar e aperfeiçoar as defesas do setor da cibersegurança frente a ciberataques, incluindo conjuntos de dados, ferramentas e metodologias concebidas para fazer avançar a colaboração na indústria e a inovação conjunta. Este movimento impulsiona um objetivo fundamental para a Sophos: democratizar as suas descobertas na ciência dos dados e tornar a utilização da IA na cibersegurança mais transparente, com vista a melhor proteger as organizações contra todas as formas de cibercrime.
Partilhar as metodologias e conclusões da IA noutras áreas da tecnologia é uma prática comum; no entanto a cibersegurança tem ficado para trás neste esforço, gerando informação confusa sobre como a IA realmente proporciona proteção contra ciberameaças. A Sophos e a sua equipa de cientistas de dados da SophosAI estão a catalisar esta mudança no sentido da abertura, para que os gestores de TI, analistas de segurança, CFOs, CEOs e outros responsáveis pela tomada de decisões de compra ou gestão da segurança possam discutir e avaliar os benefícios da IA de forma informada e em igualdade de condições.
“Com esta nova iniciativa da SophosAI de abrir as suas investigações, podemos ajudar a influenciar a forma como, de agora em diante, se posiciona e discute a IA na cibersegurança. As atuais acusações de opacidade ou cautela em relação às capacidades e eficiência da Inteligência Artificial nas soluções de cibersegurança tornam difícil, ou impossível, que os compradores compreendam ou validem o que acontece. Isto torna-os céticos, criando um ambiente contrário aos progressos futuros neste campo, precisamente num momento em que começamos a ver grandes avanços,” afirma Joe Levy, CTO da Sophos. “Corrigir esta situação através de mecanismos externos, como normas ou regulamentações, não acontecerá suficientemente rápido. Em vez disso, necessitamos de um esforço por parte da comunidade e de autocontrolo no setor para originar um conjunto de práticas e linguagem que farão avançar a indústria de forma disruptiva, aberta e transparente.”
A importância desta mudança não poderia ser maior, tendo em conta o imenso potencial da IA para beneficiar a cibersegurança. As investigações da Sophos demonstram como as barreiras de proteção enfrentam cada vez mais adversários humanos, que melhoram constantemente as suas táticas e lançam campanhas de falsificação de Business Email Compromise (BEC) muito contextualizadas, ou desenvolvem novos e contínuos ataques de ransomware. As defesas escaláveis e eficazes contra estes, e a maioria dos outros ciberataques, requerem a ajuda da IA. A abertura e revisão mútua entre os pares que aplicam a IA para abordar estas ameaças estimulam a inovação e novas descobertas, impulsionando o avanço de toda a indústria.
A Sophos proporciona conjuntos de dados, ferramentas e metodologias em quatro áreas importantes:
Conjunto de dados SOREL-20M para acelerar a investigação e deteção de malware.
SOREL-20M, um projeto conjunto da SophosAI e da ReversingLabs, é um conjunto de dados em grande escala que contém meta dados, tags e características de 20 milhões de arquivos Windows Portable Executable (PE). Inclui 10 milhões de amostras de malware desativado disponíveis para download, com vista a investigar a extração de características para acelerar as melhorias no setor da cibersegurança. Este é o primeiro conjunto de dados de investigação de malware em grande escala disponível para o público em geral, com um conjunto de amostras “limpas”, tags e meta dados relevantes para a segurança.
Método da proteção contra roubo de identidade impulsionado por IA.
A proteção da SophosAI contra o roubo de identidade foi concebida para a defesa contra ataques de email “spearphishing”, em que se rouba a identidade de pessoas influentes com o objetivo de enganar os destinatários e incitá-los a que tomem medidas prejudiciais para si, mas benéficas para o atacante. Esta nova proteção compara o nome de utilizador dos emails recebidos com os títulos dos executivos de alto nível (que têm maior probabilidade de ser atacados por “spearphishing”, como CEOs, CFOs ou presidentes) dentro de organizações específicas e marca estas mensagens quando parecem suspeitas. A Sophos treinou a Inteligência Artificial, trabalhando nos bastidores com uma amostra de milhões de emails de ataques conhecidos. A SophosAI facilitou este novo e inovador método de proteção de forma aberta – tendo sido também debatido publicamente no Defcon 28 e num paper da Arxiv.
Epidemiologia digital para determinar malware não detetado.
A SophosAI também criou um conjunto de modelos estatísticos inspirados na epidemiologia para estimar a prevalência total das infeções de malware – o que permite à Sophos calcular, e ter uma melhor oportunidade de encontrar, as “agulhas num palheiro” que são os ficheiros PE. A SophosAI foi pioneira e colocou à disposição do público este método que ajuda a determinar a “matéria obscura” maliciosa, o malware que pode passar despercebido ou ser incorretamente classificado e o “futuro malware” que os atacantes estão a desenvolver. O modelo foi concebido para ser extensível a outras classes de ficheiros e objetos do sistema de informação e foi analisado no Sophos Threat Report de 2021.
Ferramentas de geração automática de assinaturas YaraML.
Gerar assinaturas para a deteção de famílias de malware é um processo moroso e manual. Ao longo dos anos, os investigadores propuseram uma variedade de métodos de geração automática de assinaturas, mas a maioria não foi adotada por não funcionar tão bem como os métodos manuais. A SophosAI desenvolveu um novo método para a geração automática de assinaturas, o YaraML, que é significativamente diferente das opções anteriores pois adota uma abordagem ao problema com base na Inteligência Artificial. A SophosAI combina diretamente modelos de Machine Learning de potência industrial em linguagens de assinatura, como os utilizados em produtos de segurança comercial, assim permitindo à IA “escrever” as assinaturas. Este método é muito mais eficaz do que os anteriores e representa um grande avanço para a comunidade da segurança. A SophosAI mantém o YaraML em código aberto.
Estes são os quatro progressos mais recentes da SophosAI, que colabora de forma criativa como uma incubadora de start-ups, mas contando com os recursos intelectuais de uma empresa global avaliada em quase mil milhões de dólares, entre os quais se encontram a SophosLabs, Sophos Managed Threat Response e centenas de milhares de clientes. Outra das vantagens da SophosAI é que pode adicionar nova tecnologia diretamente nos produtos enviados – um modelo que permite à Sophos reagir rapidamente às necessidades do mercado, prever a direção do setor e promover a abertura para uma maior colaboração e inovação da indústria da cibersegurança. Tudo isto é essencial para desenvolver defesas contra os adversários, que se movem mais rapidamente do que nunca.