Ex-Chefe da CISA acredita que a IA pode consertar códigos tão rápido que equipes de segurança serão desnecessárias

A Inteligência Artificial (IA) pode significar o fim do setor de segurança cibernética, de acordo com Jen Easterly, ex-chefe da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Easterly argumenta que a IA é capaz de rastrear e corrigir softwares desleixados e as vulnerabilidades das quais os criminosos dependem mais rápido do que nunca.

Durante sua participação na conferência de usuários do AuditBoard em San Diego, Easterly destacou a evolução incessante do cenário de ameaças. Segundo ela, a proliferação de dados, plataformas e dispositivos resultou em uma "expansão da superfície de ataque para invasores cibernéticos como China, Rússia, Irã, Coreia do Norte e grupos hackers". A ex-diretora chegou a afirmar que, se o cibercrime fosse uma nação, seria a terceira maior do mundo em termos de impacto, atrás apenas dos EUA e da China.

No entanto, Easterly enfatizou que a raiz de todos esses problemas é, fundamentalmente, um software ruim repleto de falhas. "Não temos um problema de segurança cibernética. Temos um problema de qualidade de software", disse ela. A principal razão para essa deficiência reside na priorização da velocidade de lançamento no mercado e na redução de custos pelas empresas fornecedoras de software, em detrimento da segurança.

O Papel Duplo da IA no Combate ao Cibercrime

A IA tem se mostrado uma faca de dois gumes no contexto da cibersegurança. Por um lado, está tornando os hackers mais capazes, auxiliando-os na criação de malware mais furtivo e "phishing hiperpersonalizado", além de identificar e explorar vulnerabilidades e falhas mais rapidamente.

Por outro lado, a CISA respondeu com seu próprio plano de ação de IA, no qual Easterly deposita grande esperança. "Acredito que, se fizermos isso corretamente, seremos capazes de realmente inclinar a balança para os defensores e protetores", afirmou. Isso inclui a capacidade da IA de detetar, criar contramedidas e aprender com ataques, mas, crucialmente, também de identificar vulnerabilidades e garantir que o software seja seguro por design.

Easterly é categórica ao projetar o futuro: "Se formos capazes de construir, implantar e governar essas tecnologias incrivelmente poderosas de forma segura, acredito que isso levará ao fim da segurança cibernética." Nessa visão, uma violação de segurança deixaria de ser um custo inerente à atividade empresarial para se tornar uma mera anomalia.

Desmistificando o Invasor

A ex-chefe da CISA defendeu a necessidade de desmistificar os hackers, argumentando contra a atribuição de nomes pretensiosos ou glamorosos, como Urso Chique ou Aranha Dispersa. Títulos mais apropriados, segundo ela, seriam termos como "incômodo magricela" ou "doninha fraca".

Essa desmistificação é essencial, pois a atenção tem sido desviada da real extensão das capacidades técnicas dos invasores. Expressões como "ameaça persistente avançada" obscurecem o fato de que os hackers estão explorando de forma avassaladora as mesmas categorias de vulnerabilidades que assolam o setor há anos. Easterly citou o Exército de Libertação Popular Chinês como exemplo, que não está se baseando em armas cibernéticas exóticas, mas sim em falhas em roteadores e outros dispositivos de rede para preparar o terreno para um ataque em larga escala em caso de guerra contra Taiwan.

Além disso, a ênfase é frequentemente equivocada nos erros cometidos pelas vítimas, desviando o foco do problema estrutural. O foco real, para Easterly, deveria estar no fato de que fatores comuns de vulnerabilidade descobertos pelo MITRE há quase 20 anos — script entre sites, codificação insegura de memória, injeção de SQL, travessia de diretórios — continuam sendo parte integrante do software lançado. "Não é uma inovação de cair o olho... Eram os clássicos."

A Solução Está na Exigência de Segurança por Design

O cerne do problema, segundo a ex-diretora, é que as empresas de software insistiram em transferir todo o risco para os clientes, convencendo o governo e os reguladores de que essa prática era aceitável.

A IA surge como uma solução para reverter esse quadro, pois tem uma capacidade superior de rastrear e identificar falhas em códigos, podendo lidar com a "montanha de dívida técnica" deixada por uma "confusão instável de infraestrutura com falhas e excesso de patches".

Easterly, que deixou seu cargo na CISA com a transição presidencial e que apoia a abordagem atual do governo dos EUA à regulamentação da IA, elogiou a defesa contínua da ideia de segurança por design para software.

Ela destacou que o Plano de Ação de IA da Casa Branca recentemente lançado fala especificamente sobre a necessidade de sistemas de IA que sejam criados, projetados, desenvolvidos, testados e entregues com a segurança como prioridade máxima.

Richard Marcus, CISO do AuditBoard, que conduziu uma sessão de perguntas e respostas com Easterly, concordou com os princípios de segurança por design, afirmando que a empresa aplica-os tanto na análise de fornecedores quanto nas suas equipes internas. Questionada por Marcus sobre a principal prioridade para o próximo ano, Easterly reiterou que a chave é exigir mais dos fornecedores, pois é neles que o risco é introduzido e onde há o poder de reduzi-lo de forma mais significativa.

Via - TR