Por Irineu Costato*
A nova era dos ataques DDoS baseados em IA chegou ao Brasil. Esses ataques interrompem serviços online por sobrecarregá-los com uma inundação de tráfego malicioso, tornando-os inacessíveis a usuários legítimos. Uma ação DDoS usa múltiplas origens – frequentemente, dispositivos dominados por um Botnet. Ataques DDoS podem também usar técnicas como falsificação (spoofing) de IP para disfarçar a origem do tráfego.
A fusão de tecnologia de IA com o impacto devastador dos ataques DDoS amplia os poderes dos criminosos digitais. Fica ainda mais difícil localizar a origem desta ação. A taxa de erro é inexistente. Ataques DDoS movidos por IA permitem aos criminosos automatizar tarefas repetitivas e prever os resultados, incluindo a previsão da estratégia de defesa. Tais ataques podem adaptar sua estratégia automaticamente em resposta às ações de defesa da empresa usuária.
A IA ajuda os criminosos digitais em atuar “abaixo do radar” das soluções tradicionais de defesa e mitigação contra DDoS. Segundo uma análise da Cisco, prevê-se que a frequência de ataques DDoS aumente significantemente com a adoção da IA. Estatísticas de 2023 mostram que, em 2024, o número de ataques DDoS deverá chegar a 15,4 milhões. Em 2017, foram 7,9 milhões.
Em termos de verticais, um estudo global da StationX indica que os setores mais atacados são finanças (34%), operadoras de telecomunicações (26%) e varejo (17%). O mesmo estudo revela que os três países que mais disparam ataques DDoS são China, EUA e Coréia do Sul.
DDoS ofusca Cyber e mira Account Takeover (ATO)
Cresce cada vez mais, também, o ataque DDoS a APIs (Application Programming Interfaces). Isso resulta em uma indisponibilidade de dados para todas as aplicações das múltiplas organizações que consomem a API alvo do ataque.
Mais e mais ataques DDoS baseados em IA contam com recursos para executar comandos nas aplicações e APIs das empresas usuárias. A inteligência conquistada pelos criminosos digitais faz com que o ataque DDoS possa, em alguns casos, ser baseado em um volume mais limitado de acessos – por exemplo, 100 conexões ao invés de 1000 ou 10.000. A meta é ganhar precisão no ataque.
Neste contexto, o DDoS ofusca o time de Cyber Security enquanto Bots maliciosos e com comandos vasculham o ambiente da empresa em busca de vulnerabilidades que possam sofrer uma exploração. Uma das metas dessa estratégia é, por meio de um ataque DDoS com recursos de IA, realizar um Account Takeover (ATO), tomando posse das credenciais de um cliente ou usuário legítimo. Esse é um tesouro para as gangues digitais, que hoje, em muitos casos, enxergam no ataque DDoS uma forma de iniciar a jornada em busca do roubo da identidade.
Etapas do ataque
1. Análise inicial: O atacante coleta informações acerca de infraestrutura de rede, arquitetura de aplicações e medidas de segurança do alvo. Ferramentas de IA são utilizadas para analisar padrões normais do tráfego da rede e comportamento dos usuários.
2. Treinando modelos de aprendizado de máquina: O atacante usa algoritmos de aprendizado de máquina (Machine Learning) para criar modelos que compreendem os padrões normais de tráfego, distinguindo entre solicitações de usuários legítimos e comportamento anormal.
3. Abordagem furtiva: O atacante inicia um ataque DDoS de baixo nível, usando um subconjunto de dispositivos comprometidos, para evitar detecção imediata. Algoritmos de IA monitoram a eficácia do ataque e ajustam os parâmetros em tempo real para fugir dos mecanismos de defesa iniciais.
4. Reforço da adaptação do aprendizado: O atacante utiliza algoritmos de reforço do aprendizado para adaptar a estratégia de ataque com base nas reações dos sistemas de defesa do alvo. A IA refina continuamente o ataque, superando as contramedidas e aumentando a sua eficácia.
5. Escala e intensidade: À medida que o ataque avança, o adversário atinge o número de dispositivos comprometidos, aumentando a intensidade do ataque DDoS. Os algoritmos de IA otimizam os vetores de ataque com base nas condições da rede em alteração e as medidas defensivas em ação.
6. Desafios à mitigação: Os métodos tradicionais de mitigação de ataques DDoS têm dificuldade em acompanhar a natureza dinâmica e adaptativa do ataque movido por IA. Análise de comportamento se torna crucial para identificar as anomalias e distinguir entre o tráfego legítimo e o malicioso.
Os mecanismos de defesa tradicionais que dependem de intervenção humana e sistemas baseados em regras não estão à altura dos algoritmos de IA usados pelos atacantes. A CapGemini indica que a substituição de técnicas tradicionais de identificação de ameaças por soluções baseadas em IA pode aumentar as taxas de detecção em até 95%.
A Inteligência Artificial é, portanto, um divisor de águas na luta contra ataques DDoS, oferecendo uma abordagem proativa à detecção e mitigação de ameaças. Algoritmos de aprendizado de máquina são capazes de analisar enormes quantidades de dados de tráfego de rede em tempo real, identificando padrões indicativos de atividade maliciosa. Tirando proveito da IA, as organizações são capazes de detectar e responder a ataques DDoS com maior rapidez e eficácia do que as permitidas pelos métodos tradicionais.
IA na defesa contra DDoS
Predição: IA pode prever potenciais ataques DDoS por meio de análise de feeds de inteligência sobre ameaças, monitoramento de fóruns online e comunidades de hackers, e identificação de indicadores de ataques iminentes. Prevendo quando e como os ataques têm probabilidade de ocorrer, as organizações podem implementar medidas proativas para fortificar suas defesas e mitigar o risco de interrupção.
Detecção: Sistemas de detecção de anomalia movidos por IA são capazes de estabelecer padrões mínimos de comportamento normal na rede. Isso ajuda a identificar desvios que possam sinalizar um ataque DDoS. Esses sistemas aprendem a partir de dados históricos e se adaptam para ameaças em evolução, capacitando-os a distinguir com precisão entre o tráfego legítimo e a atividade maliciosa.
Mitigação: Uma vez detectado um ataque DDoS, técnicas de mitigação movidas por IA podem ser implementadas para minimizar seu impacto sobre a infraestrutura alvo. Mecanismos inteligentes de filtragem de tráfego são capazes de diferenciar entre solicitações legítimas e maliciosas, permitindo às organizações manter a disponibilidade dos serviços ao mesmo tempo em que bloqueia o tráfego prejudicial.
A solução para essa nova era de DDoS baseados em IA pode ser uma plataforma que roda em todas as nuvens, 24×7, e utiliza IA, ML e análise comportamental para, em todo o mundo, identificar novos ataques DDoS.
Uma abordagem como essa irá detectar, por exemplo, uma nova tentativa de DDoS em uma organização na África do Sul. A soma da inteligência e hiperautomatização dessa plataforma com a experiência de cientistas de dados especializados na luta contra ataques volumétricos permite a identificação em segundos ou minutos – sem falsos positivos – da ameaça. Por meio de uma rede global, clientes no Brasil serão imediatamente informados dessa ameaça.
A plataforma de cybersecurity baseada em IA é instantaneamente modificada pelo alerta e passa a defender o ambiente digital da empresa contra essa nova forma de ataque DDoS. A meta é colocar nas mãos do CISO a adaptabilidade e a hiperautomação capazes de enfrentar, e vencer, criminosos usuários de IA.
*Irineu Costato é Senior Solutions Engineer da F5 Brasil.