A análise de ameaças cibernéticas requer supercomputadores de alta velocidade, como Theta no Centro de Computação de Liderança da Argonne, um DOE Office of Science User Facility. Crédito:Laboratório Nacional de Argonne
É indiscutível que a tecnologia é agora uma parte fundamental e inextricável de nossa existência cotidiana - para a maioria das pessoas, nosso emprego, transporte, cuidados de saúde, Educação, e outras medidas de qualidade de vida dependem totalmente da tecnologia. Nossa dependência criou uma necessidade urgente de segurança cibernética dinâmica que protege o governo dos EUA, ativos de pesquisa e indústria em face dos avanços da tecnologia e adversários cada vez mais sofisticados.
O Laboratório Nacional de Argonne do Departamento de Energia dos EUA (DOE) está ajudando a liderar a pesquisa e o desenvolvimento de segurança cibernética proativa, incluindo medidas que potencializam o aprendizado de máquina, para ajudar a proteger os dados e a infraestrutura crítica de ataques cibernéticos.
O aprendizado de máquina é uma categoria de inteligência artificial que envolve o treinamento de máquinas para aprender continuamente e identificar padrões em conjuntos de dados.
"Aplicar abordagens de aprendizado de máquina aos esforços de segurança cibernética faz sentido devido à grande quantidade de dados envolvidos, "disse Nate Evans, líder do programa de pesquisa de segurança cibernética na Divisão Strategic Security Sciences (SSS). "Não é eficiente para humanos minerar dados para esses padrões usando algoritmos tradicionais."
Os cientistas da computação da Argonne desenvolvem algoritmos de aprendizado de máquina usando grandes conjuntos de dados - compreendendo dados de registro de diferentes dispositivos, informações de tráfego de rede, e instâncias de comportamento malicioso - que permitem que os algoritmos reconheçam padrões específicos de eventos que levam a ataques. Quando esses padrões são identificados, uma equipe de resposta investiga as instâncias que correspondem a esses padrões.
Após um ataque, a equipe de resposta corrige a vulnerabilidade nos sistemas de proteção contra intrusão do laboratório. A análise forense pode então levar a mudanças que evitam ataques futuros semelhantes.
"Estamos procurando maneiras de impedir os ataques antes que aconteçam, "disse Evans." Não estamos apenas preocupados em proteger nosso próprio laboratório, também estamos desenvolvendo métodos para proteger outros laboratórios nacionais, e o país como um todo, de ataques cibernéticos em potencial. "
A abordagem de aprendizado de máquina permite que um computador atue como o caçador de ameaças cibernéticas, minerando grandes volumes de dados enquanto os humanos são liberados para se concentrar nas ameaças de maior risco.
Com enormes quantidades de dados gerados não apenas em Argonne, mas também por outros laboratórios nacionais e em outros locais do DOE, a análise requer supercomputadores de alta velocidade, como Theta no Centro de Computação de Liderança da Argonne, um DOE Office of Science User Facility.
"Estamos falando de bilhões e bilhões de registros por dia, "Evans disse, "e o computador está identificando onde pode haver tráfego incomum ou malicioso."
Os pesquisadores estão trabalhando para testar seus métodos de aprendizado de máquina em dados do setor privado também, Evans disse. Esses estudos futuros podem produzir conhecimento transferível para o setor bancário e outras infraestruturas críticas dos EUA, ele disse.
Ensinando nossa língua aos computadores
Os cientistas da Argonne estão usando inteligência artificial para combater as ameaças à segurança cibernética em muitas frentes. O cientista da computação Sandeep Madireddy, da Divisão de Matemática e Ciência da Computação (MCS) da Argonne, realiza pesquisas para facilitar o uso seguro de aplicativos de computador - processadores de texto, planilhas, Navegadores da web, e similar. As técnicas de aprendizado de máquina podem ser uma ferramenta poderosa no combate a ataques cibernéticos que exploram vulnerabilidades de segurança nesses programas onipresentes.
O aprendizado de máquina lida com dados estruturados e não estruturados. Os dados estruturados são organizados em padrões formais, como tabelas que podem ser facilmente inseridas em um modelo. Dados não estruturados geralmente assumem a forma de texto, um formulário de dados muito mais matizado e complexo.
"Para dados não estruturados, "disse Madireddy, "nossos pesquisadores criam algoritmos que extraem informações de registros de dados em formato de texto usando abordagens como processamento de linguagem natural, inspirado por métodos usados no mundo comercial para a compreensão de texto. "
Com processamento de linguagem natural, sequências de letras servem como entrada para o modelo de aprendizado de máquina. Os algoritmos então contam com modelos de linguagem estatísticos cada vez melhores para desenvolver associações entre os termos e fazer previsões sobre a legitimidade de certas comunicações.
"Estamos tentando minerar semelhanças entre esses textos, identificar padrões de repetição significativos, e classificá-los como bons ou ruins em termos de cibersegurança, "disse Madireddy." Queremos extrair as anomalias.
Por exemplo, o processamento de linguagem natural pode ajudar a distinguir as comunicações legítimas das de phishing, a fim de evitar uma violação de segurança por meio de aplicativos de e-mail.
Adicionalmente, Os pesquisadores da Argonne estão desenvolvendo métodos para extrair dados de séries temporais - dados coletados em sucessivas, intervalos de tempo conhecidos - para fornecer outro meio de detecção de ataques cibernéticos. Quando um sistema é atacado, frequentemente ocorre uma mudança repentina de comportamento nos dados da série temporal recebidos pelo sistema. Os chamados algoritmos de detecção de ponto de mudança podem usar dados históricos e atuais para localizar a hora exata em que essa mudança drástica ocorreu.
"Isso nos notifica sobre algum tipo de comportamento anômalo para que possamos dar uma olhada mais de perto, "disse Madireddy.
Manter a segurança e funcionalidade
Além de seus programas de pesquisa de segurança cibernética, Argonne é o lar de um Cybersecurity Program Office (CSPO) que utiliza aprendizado de máquina para proteger as informações digitais do laboratório. Por exemplo, os cientistas da computação em CSPO estão desenvolvendo algoritmos de aprendizado de máquina para criar um protocolo de proteção de senha mais flexível.
"Queremos evitar falsos positivos em relação à detecção de ameaças, então, quando alguém faz login, estamos nos afastando do protocolo rígido de permitir três tentativas antes de serem bloqueadas, "disse o vice-chefe de segurança da informação Matt Kwiatkowski." Em vez disso, podemos treinar computadores para aprender padrões de como as pessoas fazem login em nossas redes, como a localização e a hora em que estão fazendo login, para tornar o protocolo mais flexível para os funcionários, ao mesmo tempo que mantém a rede segura. "
O Cybersecurity Program Office também está desenvolvendo algoritmos de aprendizado de máquina como uma medida de economia de custos. Por exemplo, as instituições geralmente pagam serviços de terceiros para categorizar diferentes sites como informativos, governamental, ou mídia social. A equipe está tentando usar o aprendizado de máquina para reconhecer padrões em recursos do site a fim de categorizá-los por conta própria.
A pesquisa de segurança cibernética de Argonne, junto com a forte cultura de segurança da informação da organização, manter o laboratório atualizado, Kwiatkowski disse.
"Nossos funcionários reconhecem a necessidade de segurança, e eles levam isso a sério, "disse ele." Se uma medida de segurança atrapalhar o trabalho deles, tentamos encontrar maneiras criativas de manter a segurança e a funcionalidade. Trata-se de ser responsivo ao nosso pessoal, sendo adaptável e sempre explorando novas maneiras de fazer as coisas à medida que o mundo da segurança cibernética continua a evoluir rapidamente. "
Cada laboratório nacional do DOE tem um braço operacional de segurança cibernética que se concentra em se proteger contra ataques cibernéticos. Alguns dos outros laboratórios se concentram na análise das ameaças atuais e de onde elas vêm, enquanto outros se concentram em proteger a infraestrutura de energia do país. Argonne é um dos laboratórios nacionais que também possui um braço robusto de pesquisa em segurança cibernética.