A crescente presença da Inteligência Artificial (IA) abrange diversos setores da sociedade, especialmente aqueles que demandam processos de segurança de dados mais complexos, como petróleo e gás, finanças, saúde, varejo e governo, entre outros.
Contudo, enquanto as estruturas de segurança utilizam essa tecnologia para mitigar ataques, ela também é explorada por atores mal-intencionados em suas estratégias de ataque. Isso é mais um aspecto da contínua competição tecnológica entre invasores e defensores, uma corrida que se intensifica e se sofistica progressivamente.
Deep fakes e engenharia social
Recentemente, observamos o aumento do poder dos ataques que fazem uso de deep fakes, processos que simulam ou alteram características biométricas utilizadas para verificação de acesso, aumentando a vulnerabilidade, mesmo em sistemas com autenticação de múltiplos fatores. Isso tem levado a novas orientações sobre o que compartilhar em redes sociais e com quem compartilhar.
Uma das táticas de ataque com IA mais comuns atualmente é a engenharia social, na qual o invasor se vale da colaboração, voluntária ou involuntária, de agentes internos da organização para obter informações confidenciais, permitindo-lhe invadir o perímetro de segurança e ampliar gradualmente o controle sobre os dados e processos. Geralmente, quando a organização atacada percebe a intrusão, pouco pode ser feito, uma vez que o ataque foi silenciosamente planejado por algum tempo.
Zero Trust
Entre as recentes evoluções e tendências em proteção contra acessos não autorizados, destaca-se a filosofia do Zero Trust, que envolve adotar uma abordagem de desconfiança total, tratando todas as solicitações de acesso de forma igual, sem privilégios, e submetendo-as a verificações rigorosas.
Embora isso possa resultar em sobrecarga nos processos de autenticação e em procedimentos mais trabalhosos para os usuários legítimos, é um preço a ser pago em troca de uma segurança mais robusta. A crescente sofisticação dos invasores e das medidas defensivas de segurança tem levado a um aumento significativo nos orçamentos de segurança, que atualmente constituem a parte de maior crescimento nos orçamentos de TI das organizações.
No entanto, as empresas não podem depender exclusivamente da IA para garantir isso, e a educação e conscientização desempenham papéis fundamentais. Ao receber uma mensagem ou e-mail do seu banco, é crucial verificar o endereço e o domínio. Embora isso pareça básico, muitas pessoas ainda caem em golpes evidentes.
Além disso, é importante estar ciente de que bancos e instituições financeiras não solicitam senhas ou informações pessoais por e-mail. A vigilância constante possibilita identificar tentativas de ataque e descartar mensagens suspeitas, enquanto a distração pode levar a clicar em links e comprometer a segurança.
Texto: Yasmin Henrique F. Lima
