Diferentes modelos de machine learning vêm sendo utilizados em aplicações de comunicação wireless, biometria, entre tantas outras abarcadas pelo setor empresarial, especialmente entre as Big Techs; a adoção se dá principalmente, mas não exclusivamente, por sua ampla capacidade de classificação de dados. No entanto, estudos recentes mostram que esses modelos também possuem vulnerabilidades do ponto de vista da segurança digital.
Segundo um estudo conduzido pelo especialista em cibersegurança da Tempest, Paulo Freitas, a partir de uma técnica conhecida como Ataque Adversarial – usada para manipular de forma arbitrária a capacidade que uma rede neural possui de identificar e classificar um dado – é possível comprometer modelos de machine learning a partir da introdução de “ruídos imperceptíveis no dado”, gerando perturbações e induzindo o modelo a erros, como por exemplo classificar um malware ou um vírus como um arquivo legítimo (o estudo completo pode ser encontrado no SideChannel, blog da Tempest dedicado a temas técnicos da área de segurança).
O especialista traz algumas recomendações para empresas que estão inovando no uso de tecnologias minimizem os riscos inerentes. Confira:
1- Alargar as fronteiras que dividem as categorias de dados. Fronteira é o limite que determina se um dado está classificado da maneira certa ou errada. Adicionar dados que contenham ruídos e utilizar técnicas que gerem perturbação são formas de modificar o treinamento da rede, dificultando a adulteração por tornar os dados do sistema mais complexos.
2- Remover os ruídos. Criar uma caixa preta de algoritmos e redes neurais de forma que o ruído seja removido antes de fornecer a imagem para o alvo do ataque adversarial.
3- Detectar a presença de ruídos. Ao invés de remover o ruído, uma solução é simplesmente detectá-lo , pois quando isso é feito já há uma sinalização de um possível problema. Mesmo que não se apresente a solução de imediato, a técnica serve para colocar as equipes de segurança em prontidão.
4- Ampliar o número de classificadores. Classificadores são os possíveis alvos dos atacantes. Quando se amplia o número, o atacante terá de forçar a maioria dos classificadores a cometerem erro, o que torna menos provável o ataque ter sucesso.
