Nos últimos dois anos, houve um carrossel de patches para vulnerabilidades que afetam servidores de e-mail (ProxyLogon), infraestrutura de trabalho remota (Atlassian Confluence), ferramentas de terceiros (Kaseya) e software de cadeia de suprimentos (Log4j).
Nos dias seguintes à divulgação pública de tais vulnerabilidades, qualquer exploração associada é referida como um “N-day“. A liberação de um patch marca o primeiro dia, mas nos dias seguintes quaisquer sistemas não corrigidos correm o risco de atacar de explorações que visam a vulnerabilidade. Isso contrasta com ataques de zero-day, que exploram vulnerabilidades para as quais nenhum patch está disponível, muitas vezes porque o conhecimento da vulnerabilidade ainda não está no domínio público.
Os N-days ocupam um espaço único na análise de risco cibernético. Os ataques de zero-day têm o potencial de ser de alto impacto, mas na realidade tais ataques são raros e têm uma baixa probabilidade. Mas nas horas e dias seguintes à publicação de uma nova vulnerabilidade, há uma alta probabilidade de um ataque de alto impacto contra uma organização que faz uso de uma nova exploração.
Depois que uma vulnerabilidade crítica é publicada, as equipes de segurança lutam contra o tempo e restrições de recursos para aplica patches apropriados, o tempo todo tentando proteger os ativos sem um manual de como um ataque pode parecer. A Darktrace descobriu que 85% das vulnerabilidades de alto risco não são corrigidas por uma semana e 70% permanecem sem correção após um mês. Enquanto isso, grupos de ameaças se tornaram armados com um novo método de ataque: a exploração do N-Day.
Em uma outra pesquisa, a equipe do Darktrace Inside the SOC detalha como as técnicas usadas pela autoaprendizagem e inteligência artificial para detectar ataques de zero-day também podem ser aproveitadas pelas organizações para detectar e responder a ataques do N-Day.
Pensando nisso, a Inteligência Artificial da Darktrace surge como uma alternativa para que as equipes de TI saiam um passo à frente dos atacantes, permitindo que as defesas sejam fortalecidas antes mesmo do próximo vetor de ataque ser publicado.
A família de produtos do fabricante capacita os defensores a modelarem caminhos de ataque prováveis, priorizar inteligentemente servidores críticos ou pessoas altamente expostas na organização e testar caminhos vulneráveis imitando ataques do mundo real. O autoaprendizado da IA também garante que as soluções conversem entre si para fortalecer as defesas em torno de caminhos ou ativos críticos de ataque e melhorar ainda mais a resiliência cibernética. Por exemplo, se for detectado que um banco de dados crítico é mais vulnerável a ataques, a própria ferramenta aumentará o nível de proteção em torno desse ativo, mesmo sem nenhuma ação humana.
Além de proteger os ativos vulneráveis e bloquear os caminhos de ataque, a Inteligência Artificial e autoaprendizado também apresentam recomendações priorizadas para mitigação de riscos de longo prazo, com o objetivo de orientar as decisões das equipes de TI sobre onde concentrar tempo e recursos para uma ação mais efetiva contra criminosos.
Como resultado, quando a vulnerabilidade do próximo N-Day chega, os defensores têm a confiança de que qualquer impacto prospectivo já foi minimizado e o potencial risco cibernético é baixo.
Ficou interessado em saber mais sobre o universo da Inteligência Artificial e autoaprendizagem? Entre em contato conosco e marque uma demonstração com os times da Integratto e Darktrace.
Leia mais sobre IA:
Inteligência Artificial – Como prevenir o ransomware em 9 etapas
Qual solução da Darktrace é a mais adequada para o seu negócio?