Por Raul Colcher, membro Life Senior do Instituto dos Engenheiros Elétricos e Eletrônicos (IEEE)
A Inteligência Artificial está cada vez mais presente nos diversos setores da sociedade, e, em particular, naqueles que necessitam mais direta e fortemente de processos de segurança de dados, como petróleo e gás, finanças, saúde, varejo e governo, dentre outros. Entretanto, ao mesmo tempo em que as arquiteturas de segurança têm utilizado essa tecnologia como uma forma de conter ataques, ela também é usada por atores maliciosos, em suas estratégias de ataque. É mais uma faceta da eterna competição tecnológica entre agressores e defensores, uma corrida que se torna cada vez mais intensa e sofisticada.
Recentemente, tem aumentado o poderio dos ataques instrumentados com processos de deep fake, que simulam ou alteram características biométricas usadas na verificação de acesso, aumentando sua vulnerabilidade, mesmo em sistemas que implementam a verificação através de múltiplos fatores. Isso está levando, entre outras coisas a novas recomendações sobre o que se pode divulgar em redes sociais e para quem.
Uma das formas de ataque com IA mais comuns hoje é a baseada em engenharia social, em que o agressor se utiliza de cooperação, voluntária ou involuntária, de agentes internos da organização, para apropriar-se de informações sigilosas que lhe permitam invadir o perímetro de segurança e aumentar progressivamente seu controle sobre dados e processos. Frequentemente, quando o ataque se torna claro para a organização atingida, pouco se tem a fazer, já que ele foi preparado silenciosamente por algum tempo.
Entre as evoluções e tendências recentes mais relevantes na proteção contra acessos indevidos, cabe mencionar a filosofia que os especialistas, chamam de Zero Trust, que consiste em assumir uma política de confiança zero, desconfiando a priori de quaisquer solicitações de acesso, tratando-as todas igualmente, sem privilégios e submetendo-as a verificações completas. Frequentemente, isso acarreta uma sobrecarga nos processos de verificação de acesso e um procedimento mais trabalhoso por parte dos usuários legítimos ao se submeterem às rotinas de identificação e validação. É o preço a pagar por um nível mais robusto de segurança.
A sofisticação crescente de agressores e processos defensivos de segurança tem sido responsável por um incremento grande dos orçamentos de segurança, que constituem, atualmente, a parte que mais cresce nos orçamentos de TI das organizações. Entretanto, as empresas não podem depender apenas da IA para isso, e a questão da educação e da conscientização são fundamentais.
Se você recebe uma mensagem ou e-mail do seu banco, a primeira coisa que deve fazer é olhar o endereço e qual é o domínio. Isto parece básico, mas muitas vezes as pessoas caem em golpes grosseiros. Além disso, saiba que bancos e organizações financeiras não solicitam senhas ou outros dados pessoais por e-mail. Quem está atento tem maiores chances de perceber tentativas de ataque, e simplesmente descarta a mensagem, mas quem estiver distraído, pode clicar em um link e gerar uma brecha de segurança.
