PERGUNTAS FREQUENTES SOBRE SEGURANÇA CIBERNÉTICA

Como a IA é usada na segurança cibernética OT?

Perguntas frequentes sobre CYBERSECURITY

Como a IA é usada na segurança cibernética OT?

A inteligência artificial e o aprendizado de máquina (IA/ML) estão moldando todos os aspectos de nossas vidas mais rapidamente do que podemos assimilar. A segurança cibernética não é exceção; na verdade, é um exemplo brilhante de como a IA/ML pode ser aproveitada tanto para o ataque quanto para a defesa, além de ser um alvo atraente.

Graças à redução das barreiras à entrada de possíveis criminosos cibernéticos, os ataques cibernéticos habilitados por IA/ML estão aumentando, incluindo phishing, deepfakes e negações de serviço distribuídas (DDoS). O malware polimórfico e as ameaças persistentes avançadas (APTs) usam a IA para gerar novas variantes de malware bem-sucedido e evitar regras e assinaturas.

Do lado dos defensores, a necessidade de analisar e correlacionar rapidamente grandes quantidades de dados de dezenas de fontes apresenta um caso de uso primordial para IA e ML. Esses recursos sobre-humanos estão acelerando quase todos os aspectos da defesa cibernética, incluindo inventário e inteligência de ativos, linha de base de comportamento, detecção de anomalias e ameaças, correlação de eventos, priorização de riscos e redução de ruído. Juntos, eles têm o potencial de eliminar completamente a necessidade de analistas de SOC de Nível 1 e outros cargos juniores.  

A segurança cibernética assistida por IA para ambientes industriais aproveita todos esses recursos, sem dúvida em um grau maior: há mais coisas para proteger e os riscos de um ataque geralmente são maiores. Você está lidando com sistemas de controle e processos físicos que têm milhares de variáveis de processo configuráveis, todas potencialmente exploráveis. E você tem componentes legados que são inseguros por design, com oportunidades limitadas de correção. Sem a IA, seria impossível avaliar o volume de comunicação de rede e os dados de variáveis de processo em uma rede industrial típica, e certamente não seria rápido o suficiente para evitar danos se uma ameaça grave fosse detectada.

Veja como a IA e o ML estão sendo aproveitados na plataforma Nozomi Networks para proteger ambientes industriais e infraestruturas críticas. 

Baseando o comportamento normal com IA e ML

Os ambientes industriais normalmente têm grandes volumes de comunicação de rede e processam dados variáveis que compõem sua superfície de ataque. Embora eficiente, a detecção baseada em assinatura só funciona para identificar ameaças conhecidas (como CVEs documentados) e somente se os indicadores forem facilmente observáveis e rapidamente identificáveis como uma possível correspondência. A única maneira de detectar ameaças desconhecidas, inclusive zero-day e anomalias operacionais que possam representar risco, é analisar rapidamente os dados coletados dos sensores em todo o ambiente para discernir os desvios da linha de base.

Quando implantados pela primeira vez em seu ambiente, os sensores de rede Nozomi operam no modo de aprendizagem para descobrir automaticamente sua rede industrial em tempo real, incluindo seus componentes, conexões e topologia. Ao monitorar as comunicações dos dispositivos até as variáveis de nível de processo, a plataforma cria uma representação interna precisa de cada processo físico na rede, identificando cada fase e a correlação entre os dispositivos de rede, as variáveis de processo e as fases. A partir dessas representações, ela cria perfis detalhados do comportamento esperado de cada dispositivo em cada estágio do processo. 

Até o momento, esse processo de aprendizagem é uma linha de base comportamental pura baseada em observações. A plataforma Nozomi Networks também emprega o Adaptive Learning, que acrescenta asset intelligence descrevendo o comportamento de ativos conhecidos (veja abaixo), para enriquecer os perfis e reduzir os falsos positivos. Essa combinação de detecção baseada em comportamento, informada pelo comportamento de ativos conhecidos, é essencial para a detecção de explorações de dia zero, em particular. 

A plataforma também usa o Dynamic Learning para realizar uma análise de controle de processo estatístico da rede e descartar o comportamento além de um desvio padrão, que não deve ser considerado normal. Os parâmetros de aprendizagem podem ser configurados manualmente para gerar apenas os alertas que você realmente precisa ver para proteger seu ambiente e evitar sobrecarga.

Depois que as linhas de base são estabelecidas, a plataforma passa para o modo ativo, usando heurística e análise comportamental para monitorar constantemente o ambiente. O resultado é a detecção rápida de anomalias, incluindo ataques cibernéticos, incidentes cibernéticos e irregularidades críticas em variáveis de processos. Essas informações podem ser usadas para evitar, conter ou atenuar ameaças cibernéticas e incidentes de processo antes que ocorram danos significativos. 

Os alertas apontam os analistas e operadores para eventos e atividades suspeitos que se desviam das linhas de base estabelecidas, ao mesmo tempo em que filtram atividades anômalas benignas abaixo dos limites estabelecidos. Por exemplo, se um dispositivo em um processo industrial começar a descartar 10 pacotes ao longo do tempo, isso não é nada demais; se o mesmo processo começar a descartar centenas de pacotes, isso deve ser investigado.   

Inventário de ativos enriquecido por IA com Asset Intelligence

As redes industriais e de infraestrutura crítica geralmente contêm milhares de dispositivos OT de centenas de fornecedores, bem como dispositivos IoT , que monitoram e controlam processos. Criar um inventário preciso e atualizado dos ativos de OT e IoT e mantê-los sob controle, juntamente com informações importantes de contexto, é fundamental para manter a resiliência cibernética e operacional, gerenciar vulnerabilidades e priorizar a atenuação. Isso não pode ser feito manualmente. Você precisa de uma solução automatizada de gerenciamento de ativos

A plataforma Nozomi Networks usa uma variedade de sensores de rede, endpoint, remotos e sem fio para descobrir automaticamente os ativos à medida que eles se conectam à rede, coletando e validando atributos de contexto detalhados. Em seguida, ela os monitora continuamente, observando alterações suspeitas que possam indicar um incidente cibernético ou uma anomalia de processo. Os perfis de dispositivos OT e IoT derivados de sensores são ainda mais enriquecidos com informações adicionais detalhadas sobre os ativos do nosso Asset Intelligence para fornecer um inventário de ativos quase 100% preciso e sempre atualizado.  

O banco de dados Nozomi Asset Intelligence aproveita os dados coletados de milhões de dispositivos de OT, IoT e TI para determinar quando gerar alertas sobre comportamentos anômalos, reduzindo a quantidade de alertas causados por comportamentos anômalos benignos ao saber quando "novo" ou "diferente" não é um risco. Ele usa atributos e comportamentos visíveis em sua rede, como endereços MAC e protocolos usados por seus ativos, e os compara com comportamentos de dispositivos e desempenho de dispositivos conhecidos no banco de dados. Quando uma correspondência é encontrada, os atributos e comportamentos do dispositivo conhecido são adicionados ao seu perfil de dispositivo. O resultado é uma classificação de ativos até 50 a 70% mais precisa, o que ajuda a simplificar o gerenciamento de vulnerabilidades e a reduzir os alertas de falsos positivos em seu ambiente.

 

Perfil de ativos enriquecido com Asset Intelligence assistida por IA, com pontuação de risco personalizável

 

Eficiências de SOC assistidas por IA

A taxa de esgotamento dos membros da equipe do centro de operações de segurança (SOC) é notoriamente alta, devido a cargas de trabalho pesadas, falta de pessoal, automação limitada e fadiga de alertas. A escassez crítica de profissionais qualificados em segurança cibernética, especialmente em especialidades como segurança de OT , seria terrível se a IA e o ML não fossem feitos sob medida para ajudar as equipes de segurança a fazer mais com menos. Eles automatizam as tarefas demoradas de analisar, correlacionar e priorizar dados de rede, ativos e alertas para fornecer percepções significativas sobre ameaças reais e como lidar com elas. As atividades que antes levavam uma semana para serem realizadas por uma equipe de pessoas agora podem ser realizadas por uma pessoa por dia, se não forem totalmente transferidas para a IA/ML.                

Vantage IQ no mecanismo de IA/ML baseado em nuvem da Nozomi Networks. Suas redes neurais profundas identificam padrões de atividade nos dados de rede e apresentam insights priorizados com base em alertas instantaneamente correlacionados, com o apoio de informações sobre a causa raiz para uma investigação simplificada e uma correção eficiente.

Riscos priorizados descobertos pelo Vantage IQ, com etapas de correção recomendadas.

O mecanismo Vantage IQ analisa continuamente o seu ambiente, correlacionando riscos e condições para revelar aspectos que provavelmente deveriam ser investigados, mas que talvez não tenham tempo para isso. Ele apresenta esses insights em uma lista constantemente atualizada, priorizada por importância, sem que ninguém precise escrever uma consulta. Quando esses insights são abordados regularmente, o resultado é menos ruído em seu ambiente proveniente de alterações de configuração e outros itens que são fáceis de ignorar, mas também fáceis de corrigir.

A inteligência artificial e o aprendizado de máquina (IA/ML) estão moldando todos os aspectos de nossas vidas mais rapidamente do que podemos assimilar. A segurança cibernética não é exceção; na verdade, é um exemplo brilhante de como a IA/ML pode ser aproveitada tanto para o ataque quanto para a defesa, além de ser um alvo atraente.

Graças à redução das barreiras à entrada de possíveis criminosos cibernéticos, os ataques cibernéticos habilitados por IA/ML estão aumentando, incluindo phishing, deepfakes e negações de serviço distribuídas (DDoS). O malware polimórfico e as ameaças persistentes avançadas (APTs) usam a IA para gerar novas variantes de malware bem-sucedido e evitar regras e assinaturas.

Do lado dos defensores, a necessidade de analisar e correlacionar rapidamente grandes quantidades de dados de dezenas de fontes apresenta um caso de uso primordial para IA e ML. Esses recursos sobre-humanos estão acelerando quase todos os aspectos da defesa cibernética, incluindo inventário e inteligência de ativos, linha de base de comportamento, detecção de anomalias e ameaças, correlação de eventos, priorização de riscos e redução de ruído. Juntos, eles têm o potencial de eliminar completamente a necessidade de analistas de SOC de Nível 1 e outros cargos juniores.  

A segurança cibernética assistida por IA para ambientes industriais aproveita todos esses recursos, sem dúvida em um grau maior: há mais coisas para proteger e os riscos de um ataque geralmente são maiores. Você está lidando com sistemas de controle e processos físicos que têm milhares de variáveis de processo configuráveis, todas potencialmente exploráveis. E você tem componentes legados que são inseguros por design, com oportunidades limitadas de correção. Sem a IA, seria impossível avaliar o volume de comunicação de rede e os dados de variáveis de processo em uma rede industrial típica, e certamente não seria rápido o suficiente para evitar danos se uma ameaça grave fosse detectada.

Veja como a IA e o ML estão sendo aproveitados na plataforma Nozomi Networks para proteger ambientes industriais e infraestruturas críticas. 

Baseando o comportamento normal com IA e ML

Os ambientes industriais normalmente têm grandes volumes de comunicação de rede e processam dados variáveis que compõem sua superfície de ataque. Embora eficiente, a detecção baseada em assinatura só funciona para identificar ameaças conhecidas (como CVEs documentados) e somente se os indicadores forem facilmente observáveis e rapidamente identificáveis como uma possível correspondência. A única maneira de detectar ameaças desconhecidas, inclusive zero-day e anomalias operacionais que possam representar risco, é analisar rapidamente os dados coletados dos sensores em todo o ambiente para discernir os desvios da linha de base.

Quando implantados pela primeira vez em seu ambiente, os sensores de rede Nozomi operam no modo de aprendizagem para descobrir automaticamente sua rede industrial em tempo real, incluindo seus componentes, conexões e topologia. Ao monitorar as comunicações dos dispositivos até as variáveis de nível de processo, a plataforma cria uma representação interna precisa de cada processo físico na rede, identificando cada fase e a correlação entre os dispositivos de rede, as variáveis de processo e as fases. A partir dessas representações, ela cria perfis detalhados do comportamento esperado de cada dispositivo em cada estágio do processo. 

Até o momento, esse processo de aprendizagem é uma linha de base comportamental pura baseada em observações. A plataforma Nozomi Networks também emprega o Adaptive Learning, que acrescenta asset intelligence descrevendo o comportamento de ativos conhecidos (veja abaixo), para enriquecer os perfis e reduzir os falsos positivos. Essa combinação de detecção baseada em comportamento, informada pelo comportamento de ativos conhecidos, é essencial para a detecção de explorações de dia zero, em particular. 

A plataforma também usa o Dynamic Learning para realizar uma análise de controle de processo estatístico da rede e descartar o comportamento além de um desvio padrão, que não deve ser considerado normal. Os parâmetros de aprendizagem podem ser configurados manualmente para gerar apenas os alertas que você realmente precisa ver para proteger seu ambiente e evitar sobrecarga.

Depois que as linhas de base são estabelecidas, a plataforma passa para o modo ativo, usando heurística e análise comportamental para monitorar constantemente o ambiente. O resultado é a detecção rápida de anomalias, incluindo ataques cibernéticos, incidentes cibernéticos e irregularidades críticas em variáveis de processos. Essas informações podem ser usadas para evitar, conter ou atenuar ameaças cibernéticas e incidentes de processo antes que ocorram danos significativos. 

Os alertas apontam os analistas e operadores para eventos e atividades suspeitos que se desviam das linhas de base estabelecidas, ao mesmo tempo em que filtram atividades anômalas benignas abaixo dos limites estabelecidos. Por exemplo, se um dispositivo em um processo industrial começar a descartar 10 pacotes ao longo do tempo, isso não é nada demais; se o mesmo processo começar a descartar centenas de pacotes, isso deve ser investigado.   

Inventário de ativos enriquecido por IA com Asset Intelligence

As redes industriais e de infraestrutura crítica geralmente contêm milhares de dispositivos OT de centenas de fornecedores, bem como dispositivos IoT , que monitoram e controlam processos. Criar um inventário preciso e atualizado dos ativos de OT e IoT e mantê-los sob controle, juntamente com informações importantes de contexto, é fundamental para manter a resiliência cibernética e operacional, gerenciar vulnerabilidades e priorizar a atenuação. Isso não pode ser feito manualmente. Você precisa de uma solução automatizada de gerenciamento de ativos

A plataforma Nozomi Networks usa uma variedade de sensores de rede, endpoint, remotos e sem fio para descobrir automaticamente os ativos à medida que eles se conectam à rede, coletando e validando atributos de contexto detalhados. Em seguida, ela os monitora continuamente, observando alterações suspeitas que possam indicar um incidente cibernético ou uma anomalia de processo. Os perfis de dispositivos OT e IoT derivados de sensores são ainda mais enriquecidos com informações adicionais detalhadas sobre os ativos do nosso Asset Intelligence para fornecer um inventário de ativos quase 100% preciso e sempre atualizado.  

O banco de dados Nozomi Asset Intelligence aproveita os dados coletados de milhões de dispositivos de OT, IoT e TI para determinar quando gerar alertas sobre comportamentos anômalos, reduzindo a quantidade de alertas causados por comportamentos anômalos benignos ao saber quando "novo" ou "diferente" não é um risco. Ele usa atributos e comportamentos visíveis em sua rede, como endereços MAC e protocolos usados por seus ativos, e os compara com comportamentos de dispositivos e desempenho de dispositivos conhecidos no banco de dados. Quando uma correspondência é encontrada, os atributos e comportamentos do dispositivo conhecido são adicionados ao seu perfil de dispositivo. O resultado é uma classificação de ativos até 50 a 70% mais precisa, o que ajuda a simplificar o gerenciamento de vulnerabilidades e a reduzir os alertas de falsos positivos em seu ambiente.

 

Perfil de ativos enriquecido com Asset Intelligence assistida por IA, com pontuação de risco personalizável

 

Eficiências de SOC assistidas por IA

A taxa de esgotamento dos membros da equipe do centro de operações de segurança (SOC) é notoriamente alta, devido a cargas de trabalho pesadas, falta de pessoal, automação limitada e fadiga de alertas. A escassez crítica de profissionais qualificados em segurança cibernética, especialmente em especialidades como segurança de OT , seria terrível se a IA e o ML não fossem feitos sob medida para ajudar as equipes de segurança a fazer mais com menos. Eles automatizam as tarefas demoradas de analisar, correlacionar e priorizar dados de rede, ativos e alertas para fornecer percepções significativas sobre ameaças reais e como lidar com elas. As atividades que antes levavam uma semana para serem realizadas por uma equipe de pessoas agora podem ser realizadas por uma pessoa por dia, se não forem totalmente transferidas para a IA/ML.                

Vantage IQ no mecanismo de IA/ML baseado em nuvem da Nozomi Networks. Suas redes neurais profundas identificam padrões de atividade nos dados de rede e apresentam insights priorizados com base em alertas instantaneamente correlacionados, com o apoio de informações sobre a causa raiz para uma investigação simplificada e uma correção eficiente.

Riscos priorizados descobertos pelo Vantage IQ, com etapas de correção recomendadas.

O mecanismo Vantage IQ analisa continuamente o seu ambiente, correlacionando riscos e condições para revelar aspectos que provavelmente deveriam ser investigados, mas que talvez não tenham tempo para isso. Ele apresenta esses insights em uma lista constantemente atualizada, priorizada por importância, sem que ninguém precise escrever uma consulta. Quando esses insights são abordados regularmente, o resultado é menos ruído em seu ambiente proveniente de alterações de configuração e outros itens que são fáceis de ignorar, mas também fáceis de corrigir.

Voltar às perguntas frequentes