Defesa Cibernética Activa: Abordagens Teóricas

Abordagens à defesa cibernética activa

Como é o caso dos campos de estudo, existem abordagens puramente teóricas e abordagens puramente práticas que, em muitos casos, apresentam divergências significativas, especialmente quando o seu grau de maturidade não é suficientemente elevado. O caso da defesa cibernética activa, estando entre as mais modernas áreas do conhecimento em cibersegurança, não tem referências de facto ou fontes autorizadas, para além das suas analogias com a esfera militar. Abaixo veremos os quadros teóricos mais actuais.

Abordagens teóricas

Do ponto de vista defensivo, um sistema que se assume seguro é seguro desde que o modelo adversário e os pressupostos de confiança sejam cumpridos na prática. Se o defensor conseguir seleccionar uma estratégia específica, tentando prever as acções do atacante e interromper ou bloquear o processo, enquanto maximiza os seus próprios benefícios, então entra-se no reino da defesa activa. Pode também dizer-se que a ciberdefesa activa (DAC) se caracteriza por quatro características: o âmbito dos efeitos (internos/externos), o grau de cooperação (conhecimento e consentimento), o tipo de efeito (partilha, recolha, bloqueio, prevenção) e o grau de automatização (automática ou manual)[1].

Na disputa entre ataque e defesa, a eficácia desta última não só depende da sua própria acção, mas também é influenciada e limitada pela acção da contraparte. A principal dificuldade é seleccionar a melhor estratégia de defesa num ambiente de confronto com informação limitada. As características de objectivos conflituosos, dependência estratégica e relações não cooperantes no ataque e na defesa estão em linha com a teoria do jogo, ou seja, a procura da decisão óptima num ambiente de conflito.

Nos últimos anos têm sido utilizadas abordagens teóricas de jogo para captar as interacções entre adversários e defensores, a fim de modelar a tomada de decisões estratégicas para maximizar os benefícios, tendo em conta os espaços de movimento da contraparte. Isto levou à proposta de modelos teóricos do jogo não cooperativos, que reconhecem a possibilidade de influenciar o comportamento um do outro. A optimização dos sistemas multi-jogadores converge, no melhor dos casos, para o estado de equilíbrio de Nash, o que denota as melhores estratégias para ambos. As decisões tomadas por este mecanismo ajudam o defensor a atribuir recursos, a equilibrar os riscos percebidos e a ter em conta os métodos de incentivo subjacentes[2].

Contudo, de um ponto de vista puramente teórico, a defesa activa não é, para todos os casos , uma melhor abordagem do que a defesa passiva, uma vez que tal só pode ocorrer na situação de perfeito conhecimento do adversário, e a situação torna-se ainda mais complexa se forem introduzidos elementos de engano, como no caso do CDA. Embora não se pretenda entrar na eficácia dos diferentes modelos existentes, as principais características e aplicações serão detalhadas abaixo, a fim de se obter uma compreensão do estado do conhecimento sobre o assunto.

Modelos baseados na teoria dos jogos

O primeiro modelo matemático estocástico a estudar a eficácia do CDA foi proposto em 2015[3] e foi alargado no mesmo ano pela ideia de que a dinâmica pode exibir fenómenos de caos e bifurcação. O caos refere-se à impossibilidade de prever o estado global de uma situação, dada a elevada sensibilidade à precisão da estimativa do estado inicial. Bifurcação refere-se ao ponto crítico em que a estabilidade de um sistema muda e surge uma solução periódica, que neste caso ocorre como um fenómeno quando o poder de ataque ou de defesa varia em certos regimes. Tanto o caos como as bifurcações implicam a impossibilidade de medir e prever com precisão certas circunstâncias, e sugerem que o defensor deve manipular a dinâmica para evitar tais condições incontroláveis em operações reais[4].

Se existe um certo ponto de equilíbrio sob uma certa defesa, a sua eficácia pode ser quantificada pelo conceito de eficácia porque a dinâmica converge para esse ponto. Além disso, a estabilidade de um equilíbrio reflecte o efeito de perturbações que podem ser causadas por manipulações ao estado inicial global. Assim, uma pequena mudança no estado inicial dos parâmetros ou estrutura do modelo pode levar a uma mudança substancial na dinâmica. De uma perspectiva mais ampla, a dinâmica CDA pode ser vista como a generalização não linear do chamado modelo eleitoral[5] para redes complexas, que considera dinâmicas caóticas em redes discretas (modelo de contágio por imitação limitada no tempo em redes aleatórias). Neste sentido, o problema torna-se mais difícil ao ter de resolver a caracterização de equilíbrios não homogéneos, e de encontrar um quadro para modelar e quantificar o CDA numa perspectiva holística, em vez de modificar e analisar a segurança dos componentes ou blocos constituintes.

Vale a pena notar que os modelos teóricos tomam como estrutura as interacções entre redes, ou dentro de um sistema (interacção entre malware e outro software). Os inconvenientes fundamentais geralmente encontrados na teoria dos jogos aplicada ao CDA é que funciona bem para um certo número de variáveis, mas à medida que a ordem de grandeza aumenta, os modelos já não são suficientemente precisos.

Os modelos mais modernos desenvolvidos desde 2019 propõem jogos de sinalização bidireccional nos quais, com base na solução de um equilíbrio Bayesiano perfeito (uma extensão do equilíbrio Nash para jogos com informação incompleta), é apresentado um algoritmo de selecção de estratégia de defesa. Estes são jogos finitos que consistem em vários jogos básicos de sinalização, onde atacante e defensor actuam alternadamente como remetentes e receptores de sinais e a solução de equilíbrio de um só rolete já não é aplicável. Sendo a solução Bayesiana de equilíbrio perfeito a estratégia óptima para o jogador, o defensor deve determinar a sua estratégia CDA com base no seu papel e no equilíbrio do jogo.

No processo de confronto contínuo em várias fases, o defensor pode modificar gradualmente a motivação e a preferência comportamental do agressor utilizando o mecanismo de aprendizagem de estímulo-resposta, reduzir o impacto do sinal de engano do agressor, e aplicar uma estratégia específica para maximizar o desempenho esperado. Segue-se que os sinais de engano podem melhorar o desempenho tanto do ataque como da defesa, pelo que a selecção da estratégia é a chave para a eficácia da defesa. Em condições de confronto com informação limitada, a estratégia óptima do defensor é difícil de determinar; contudo, um modelo de jogo de sinalização permite a resolução deste problema[6].

A teoria tradicional do jogo assume que ambas as partes se encontram numa situação de informação completa (os jogadores conhecem a informação de todo o ambiente) e de racionalidade completa (os jogadores podem escolher a sua melhor estratégia depois de obterem a estratégia um do outro e os seus resultados). A teoria evolutiva do jogo parte da condição de informação opaca, toma o mecanismo de aprendizagem como núcleo e influencia o comportamento de selecção através de vários factores (experiência anterior, aprendizagem e imitação de comportamento), o que melhor expressa o processo. Contudo, a sua aplicação ainda apresenta desafios, tais como a necessidade de cálculo manual dos parâmetros de entrada e a sua quantificação por peritos (não existem métodos de cálculo automático). Este modelo não pode efectivamente transmitir informações sobre falhas para a fase seguinte do jogo, levando a deficiências do algoritmo de selecção da melhor estratégia de defesa em termos de tempo, precisão e eficiência.

A fim de alargar este horizonte, foram propostos desde 2020 vários modelos Bayesianos dinâmicos evolutivos multi-estágios para enfrentar a dificuldade de seleccionar a melhor estratégia de defesa. Depois, foi introduzido um factor de intensidade de selecção para melhorar a equação de replicação dinâmica de cada etapa, e aumentar a aleatoriedade do processo de evolução. Mais recentemente, para melhorar a previsibilidade do jogo de ataque e defesa, foi proposto um modelo baseado na chamada dinâmica de resposta quântica (QRD) que introduziu parâmetros no jogo evolutivo para descrever a racionalidade dos lados de ataque e defesa. A equação de replicação dinâmica é uma equação diferencial que descreve a probabilidade de uma determinada estratégia ser utilizada num grupo de pessoas e o grau de probabilidade de o corpo principal do jogo escolher uma estratégia durante o jogo. O seu princípio básico é que os jogadores adoptem gradualmente mais estratégias com um resultado melhor que a média, e pode também garantir que a estratégia evolutiva estável é o equilíbrio de Nash, obtendo assim a estratégia mais benéfica[7].

Quando ocorre uma situação de falha da estratégia de defesa, a precisão de muitos métodos é reduzida. Para resolver isto, foi proposto um mecanismo de aprendizagem de valores de recompensa, que actualiza automaticamente (incentiva ou pune) os valores de recompensa de ataque e defesa para a fase seguinte com base na fase anterior, reduzindo a probabilidade de fracasso da estratégia de defesa. Este elemento foi introduzido sob informação incompleta, e foi construído um modelo de jogo evolutivo em várias fases com um mecanismo de aprendizagem. Com base nisto, foi proposto um algoritmo óptimo de selecção da estratégia de defesa, que melhora a precisão em relação aos modelos anteriores, superando o problema de quantificar os incentivos e punições face à racionalidade limitada dos atacantes e defensores, reduzindo ao mesmo tempo o envolvimento manual. Isto levou a um modelo evolucionário com um mecanismo de aprendizagem em várias fases, combinando o mecanismo de aprendizagem com um modelo de jogo em várias fases, e o algoritmo de selecção da estratégia óptima do modelo de jogo foi concebido[8].

Conclusões

Enquanto a teoria dos jogos permitia tradicionalmente a modelação das relações de ataque e defesa, a característica adaptativa e a possibilidade de engano do adversário proposta pela defesa cibernética activa exigia a concepção de modelos matemáticos mais complexos, que só nos últimos três anos conseguiram um sentido realista da prática moderna da defesa cibernética.

A investigação futura neste campo está orientada para a forma de acrescentar dinamicamente novas estratégias de defesa viáveis e alargar razoavelmente o modelo quando se falha. Além disso, está-se a trabalhar na aplicação de métodos como a aprendizagem profunda e a aprendizagem mecânica ao cálculo automático do factor incorporado. Com estes avanços, é possível que tenhamos modelos melhores e mais completos para implementar na prática.