A paisagem da cibersegurança está a evoluir rapidamente, com a inteligência artificial (IA) a desempenhar um papel cada vez mais significativo. Os modelos de IA generativa são agora capazes de criar código de ‘exploit’ a velocidades notáveis, reduzindo drasticamente a janela de oportunidade para os defensores responderem às vulnerabilidades. Esta mudança, impulsionada pela capacidade da IA de analisar e compreender código complexo, coloca novos desafios para as organizações que se esforçam para proteger os seus sistemas.
A Velocidade da Exploração: Uma Questão de Horas
O cronograma tradicional desde a divulgação da vulnerabilidade até a criação de uma prova de conceito (‘PoC’) ‘exploit’ foi significativamente comprimido graças às capacidades da IA generativa. O que antes levava dias ou semanas pode agora ser realizado em questão de horas.
Matthew Keely, um especialista em segurança da ProDefense, demonstrou esta velocidade usando IA para desenvolver um ‘exploit’ para uma vulnerabilidade crítica na biblioteca SSH do Erlang numa tarde. O modelo de IA, aproveitando o código de um ‘patch’ publicado, identificou as falhas de segurança e elaborou um ‘exploit’. Este exemplo destaca como a IA pode acelerar o processo de exploração, apresentando um desafio formidável para os profissionais de cibersegurança.
A experiência de Keely foi inspirada por uma publicação da Horizon3.ai, que discutiu a facilidade de desenvolver código ‘exploit’ para o ‘bug’ da biblioteca SSH. Ele decidiu testar se os modelos de IA, especificamente o GPT-4 da OpenAI e o Claude Sonnet 3.7 da Anthropic, poderiam automatizar o processo de criação de ‘exploit’.
As suas descobertas foram surpreendentes. De acordo com Keely, o GPT-4 não só compreendeu a descrição das Vulnerabilidades e Exposições Comuns (‘CVE’), mas também identificou o ‘commit’ que introduziu a correção, comparou-o com o código mais antigo, localizou a vulnerabilidade e até escreveu um ‘PoC’. Quando o código inicial falhou, o modelo de IA depurou e corrigiu-o, mostrando a sua capacidade de aprender e adaptar-se.
O Papel Crescente da IA na Pesquisa de Vulnerabilidades
A IA provou o seu valor tanto na identificação de vulnerabilidades quanto no desenvolvimento de ‘exploits’. O projeto OSS-Fuzz da Google usa grandes modelos de linguagem (‘LLMs’) para descobrir falhas de segurança, enquanto pesquisadores da Universidade de Illinois Urbana-Champaign demonstraram a capacidade do GPT-4 de explorar vulnerabilidades analisando ‘CVEs’.
A velocidade com que a IA pode agora criar ‘exploits’ sublinha a necessidade urgente de os defensores se adaptarem a esta nova realidade. A automação do ‘pipeline’ de produção de ataques deixa os defensores com tempo mínimo para reagir e implementar as medidas de segurança necessárias.
Desconstruindo o Processo de Criação de Exploit com IA
A experiência de Keely envolveu instruir o GPT-4 a gerar um ‘script’ Python que comparasse os segmentos de código vulneráveis e corrigidos no servidor Erlang/OPT SSH. Este processo, conhecido como “diffing”, permitiu que a IA identificasse as mudanças específicas feitas para lidar com a vulnerabilidade.
Keely enfatizou que as diferenças de código foram cruciais para o GPT-4 criar um ‘PoC’ funcional. Sem elas, o modelo de IA lutou para desenvolver um ‘exploit’ eficaz. Inicialmente, o GPT-4 tentou escrever um ‘fuzzer’ para sondar o servidor SSH, demonstrando a sua capacidade de explorar diferentes vetores de ataque.
Embora o ‘fuzzing’ possa não ter descoberto a vulnerabilidade específica, o GPT-4 forneceu com sucesso os blocos de construção necessários para criar um ambiente de laboratório, incluindo ‘Dockerfiles’, configuração do servidor Erlang SSH na versão vulnerável e comandos de ‘fuzzing’. Esta capacidade reduz significativamente a curva de aprendizado para os atacantes, permitindo-lhes entender e explorar rapidamente as vulnerabilidades.
Armado com as diferenças de código, o modelo de IA produziu uma lista de mudanças, levando Keely a perguntar sobre a causa da vulnerabilidade.
O modelo de IA explicou com precisão a lógica por trás da vulnerabilidade, detalhando a mudança na lógica que introduziu proteção contra mensagens não autenticadas. Este nível de compreensão destaca a capacidade da IA de não só identificar vulnerabilidades, mas também compreender as suas causas subjacentes.
Após esta explicação, o modelo de IA ofereceu-se para gerar um cliente ‘PoC’ completo, uma demonstração no estilo Metasploit ou um servidor SSH corrigido para rastreamento, mostrando a sua versatilidade e potenciais aplicações na pesquisa de vulnerabilidades.
Superando Desafios: Depuração e Refinamento
Apesar das suas impressionantes capacidades, o código ‘PoC’ inicial do GPT-4 não funcionou corretamente, uma ocorrência comum com código gerado por IA que se estende para além de ‘snippets’ simples.
Para resolver este problema, Keely recorreu a outra ferramenta de IA, Cursor com Claude Sonnet 3.7 da Anthropic, e encarregou-a de corrigir o ‘PoC’ que não funcionava. Para sua surpresa, o modelo de IA corrigiu com sucesso o código, demonstrando o potencial da IA para refinar e melhorar as suas próprias saídas.
Keely refletiu sobre a sua experiência, observando que transformou a sua curiosidade inicial numa exploração profunda de como a IA está a revolucionar a pesquisa de vulnerabilidades. Ele enfatizou que o que antes exigia conhecimento especializado de Erlang e extensa depuração manual pode agora ser realizado numa tarde com as ‘prompts’ certas.
As Implicações para a Propagação de Ameaças
Keely destacou um aumento significativo na velocidade com que as ameaças são propagadas, impulsionado pela capacidade da IA de acelerar o processo de exploração.
As vulnerabilidades não só estão a ser publicadas com mais frequência, mas também estão a ser exploradas muito mais rapidamente, por vezes horas depois de se tornarem públicas. Este cronograma de exploração acelerado deixa os defensores com menos tempo para reagir e implementar as medidas de segurança necessárias.
Esta mudança também é caracterizada por uma maior coordenação entre os agentes de ameaças, com as mesmas vulnerabilidades a serem usadas em diferentes plataformas, regiões e setores num período de tempo muito curto.
De acordo com Keely, o nível de sincronização entre os agentes de ameaças costumava levar semanas, mas agora pode ocorrer num único dia. Os dados indicam um aumento substancial nos ‘CVEs’ publicados, refletindo a crescente complexidade e velocidade do cenário de ameaças. Para os defensores, isto traduz-se em janelas de resposta mais curtas e numa maior necessidade de automação, resiliência e prontidão constante.
Defendendo-se Contra Ameaças Aceleradas por IA
Quando questionado sobre as implicações para as empresas que procuram defender a sua infraestrutura, Keely enfatizou que o princípio central permanece o mesmo: as vulnerabilidades críticas devem ser corrigidas de forma rápida e segura. Isto requer uma abordagem ‘DevOps’ moderna que priorize a segurança.
A principal mudança introduzida pela IA é a velocidade com que os atacantes podem transitar da divulgação da vulnerabilidade para um ‘exploit’ funcional. O cronograma de resposta está a diminuir, exigindo que as empresas tratem cada lançamento de ‘CVE’ como uma potencial ameaça imediata. As organizações já não podem dar-se ao luxo de esperar dias ou semanas para reagir; devem estar preparadas para responder no momento em que os detalhes se tornam públicos.
Adaptando-se ao Novo Cenário de Cibersegurança
Para se defenderem eficazmente contra ameaças aceleradas por IA, as organizações devem adotar uma postura de segurança proativa e adaptativa. Isto inclui:
- Priorizar a Gestão de Vulnerabilidades: Implementar um programa robusto de gestão de vulnerabilidades que inclua varredura regular, priorização e aplicação de ‘patches’ de vulnerabilidades.
- Automatizar Processos de Segurança: Aproveitar a automação para agilizar os processos de segurança, como varredura de vulnerabilidades, resposta a incidentes e análise de informações sobre ameaças.
- Investir em Inteligência de Ameaças: Manter-se informado sobre as últimas ameaças e vulnerabilidades investindo em ‘feeds’ de inteligência de ameaças e participando em comunidades de partilha de informações.
- Melhorar a Formação de Sensibilização para a Segurança: Educar os funcionários sobre os riscos de ‘phishing’, ‘malware’ e outras ameaças cibernéticas.
- Implementar uma Arquitetura de Confiança Zero: Adotar um modelo de segurança de confiança zero que assume que nenhum usuário ou dispositivo é confiável por padrão.
- Aproveitar a IA para Defesa: Explorar o uso de ferramentas de segurança alimentadas por IA para detetar e responder a ameaças em tempo real.
- Monitorização e Melhoria Contínuas: Monitorizar continuamente os controlos e processos de segurança e fazer ajustes conforme necessário para se manter à frente das ameaças em evolução.
- Planeamento de Resposta a Incidentes: Desenvolver e testar regularmente planos de resposta a incidentes para garantir uma resposta rápida e eficaz a incidentes de segurança.
- Colaboração e Partilha de Informações: Promover a colaboração e a partilha de informações com outras organizações e grupos do setor para melhorar a segurança coletiva.
- Caça Proativa a Ameaças: Realizar a caça proativa a ameaças para identificar e mitigar potenciais ameaças antes que possam causar danos.
- Adotar DevSecOps: Integrar a segurança no ciclo de vida de desenvolvimento de ‘software’ para identificar e abordar vulnerabilidades precocemente.
- Auditorias de Segurança Regulares e Testes de Penetração: Realizar auditorias de segurança regulares e testes de penetração para identificar fraquezas em sistemas e aplicações.
O Futuro da Cibersegurança na Era da IA
A ascensão da IA na cibersegurança apresenta tanto oportunidades quanto desafios. Embora a IA possa ser usada para acelerar ataques, também pode ser usada para melhorar as defesas. As organizações que abraçam a IA e adaptam as suas estratégias de segurança estarão melhor posicionadas para se protegerem contra o cenário de ameaças em evolução.
À medida que a IA continua a evoluir, é crucial que os profissionais de cibersegurança se mantenham informados sobre os últimos desenvolvimentos e adaptem as suas habilidades e estratégias em conformidade. O futuro da cibersegurança será definido pela batalha contínua entre atacantes alimentados por IA e defensores alimentados por IA.