Vencer a guerra contra a IA adversária começa com SOCs nativos de IA

Enfrentando ataques mult domínios cada vez mais sofisticados que conseguem passar devido à fadiga de alertas, alta rotatividade e ferramentas desatualizadas, os líderes de segurança estão adotando centros de operações de segurança (SOCs) nativos de IA como o futuro da defesa.

Neste ano, os atacantes estão estabelecendo novos recordes de velocidade para intrusões, aproveitando as fraquezas de sistemas legados projetados apenas para defesas de perímetro e, pior ainda, de conexões confiáveis entre redes.

Os atacantes diminuíram em 17 minutos seu tempo médio de atividade de intrusão de eCrime ao longo do último ano e reduziram o tempo médio de fuga em intrusões de eCrime de 79 minutos para 62 minutos em apenas um ano. O tempo de fuga mais rápido observado foi de apenas dois minutos e sete segundos.

Os atacantes estão combinando IA generativa, engenharia social, campanhas interativas de intrusão e um ataque geral às vulnerabilidades e identidades da nuvem. Com esse manual, eles buscam capitalizar as fraquezas de organizações com arsenais de cibersegurança desatualizados ou inexistentes.

“A velocidade dos ataques cibernéticos de hoje exige que as equipes de segurança analisem rapidamente enormes quantidades de dados para detectar, investigar e responder a ameaças mais rapidamente. Essa é a promessa fracassada de SIEM [gestão de informações e eventos de segurança]. Os clientes estão famintos por uma tecnologia melhor que ofereça tempo de valor imediato e funcionalidade aumentada a um custo total de propriedade mais baixo”, disse George Kurtz, presidente, CEO e cofundador da empresa de cibersegurança CrowdStrike.

“Os líderes de SOC devem encontrar o equilíbrio em melhorar suas capacidades de detecção e bloqueio. Isso deve reduzir o número de incidentes e melhorar suas capacidades de resposta, reduzindo, em última análise, o tempo de permanência do atacante”, escreve a Gartner em seu relatório, Dicas para Selecionar as Ferramentas Certas para Seu Centro de Operações de Segurança.

SOCs nativos de IA: A cura certa para a integração “swivel-chair”

Visite qualquer SOC e está claro que a maioria dos analistas está sendo forçada a confiar na “integração swivel-chair” porque os sistemas legados não foram projetados para compartilhar dados em tempo real entre si.

Isso significa que os analistas muitas vezes estão se virando em suas cadeiras rodantes de um monitor para outro, conferindo alertas e limpando falsos positivos. A precisão e a velocidade se perdem na luta contra tentativas mult domínios em crescimento que não são intuitivamente óbvias e distintas entre o torrent de alertas em tempo real que está sendo recebido.

Aqui estão apenas alguns dos muitos desafios que os líderes de SOC estão buscando resolver com um SOC nativo de IA:

Níveis crônicos de fadiga de alertas: Os sistemas legados, incluindo SIEMs, estão produzindo um número cada vez mais esmagador de alertas para que os analistas de SOC rastreiem e analisem. Analistas de SOC que falaram em anonimato disseram que quatro em cada dez alertas que produzem são falsos positivos. Os analistas muitas vezes gastam mais tempo triando falsos positivos do que investigando ameaças reais, o que afeta severamente a produtividade e o tempo de resposta. Tornar um SOC nativo de IA faria uma diferença imediata nesse tempo, que cada analista e líder de SOC enfrenta diariamente.

Escassez de talento e rotatividade contínua: Analistas experientes de SOC que se destacam em suas funções e cujos líderes podem influenciar orçamentos para aumentos e bônus, na maioria das vezes, permanecem em seus cargos atuais. Parabéns às organizações que perceberam que investir na retenção de equipes talentosas de SOC é fundamental para seus negócios. Uma estatística frequentemente citada é que há uma lacuna global de 3,4 milhões de profissionais em cibersegurança. Há de fato uma escassez crônica de analistas de SOC na indústria, por isso as organizações devem fechar as lacunas salariais e se concentrar na formação para desenvolver suas equipes internamente. O burnout é prevalente em equipes subdimensionadas que são forçadas a depender da integração swivel-chair para realizar suas tarefas.

Ameaças mult domínios estão crescendo exponencialmente. Adversários, incluindo quadrilhas cibernéticas, estados-nação e organizações de ciberterrorismo bem financiadas, estão duplicando esforços para explorar lacunas na segurança dos endpoints e identidades. Ataques sem malware têm crescido ao longo do último ano, aumentando em sua variedade, volume e criatividade nas estratégias de ataque. As equipes de SOC que protegem empresas de software que desenvolvem plataformas baseadas em IA, sistemas e novas tecnologias estão sendo especialmente atingidas. Ataques sem malware muitas vezes são indetectáveis, aproveitando-se da confiança em ferramentas legítimas, raramente gerando uma assinatura única e dependendo da execução sem arquivos. Kurtz disse à VentureBeat que atacantes que visam vulnerabilidades de endpoints e identidades frequentemente se movem lateralmente dentro dos sistemas em menos de dois minutos. Suas técnicas avançadas, incluindo engenharia social, ransomware como serviço (RaaS) e ataques baseados em identidade, exigem respostas de SOC mais rápidas e adaptativas.

Configurações complexas de nuvem aumentam os riscos de um ataque. As intrusões na nuvem aumentaram 75% ano após ano, com adversários explorando vulnerabilidades nativas da nuvem, como APIs inseguras e configurações inadequadas de identidade. SOCs muitas vezes lutam com visibilidade limitada e ferramentas inadequadas para mitigar ameaças em ambientes complexos de multicloud.

Sobrecarga de dados e proliferação de ferramentas criam lacunas de defesa que as equipes de SOC são chamadas a preencher. Sistemas legados baseados em perímetro, incluindo muitos sistemas SIEM de décadas atrás, lutam para processar e analisar a imensa quantidade de dados gerados pela infraestrutura moderna, endpoints e fontes de dados de telemetria. Pedir que analistas de SOC acompanhem várias fontes de alertas e reconciliem dados por meio de ferramentas díspares desacelera sua eficácia, leva ao burnout e os impede de alcançar a precisão, velocidade e desempenho necessários.

Como a IA está melhorando a precisão, velocidade e desempenho dos SOCs

“A IA já está sendo usada por criminosos para superar algumas das medidas de cibersegurança do mundo”, avisa Johan Gerber, vice-presidente executivo de segurança e inovação cibernética da MasterCard. “Mas a IA deve fazer parte do nosso futuro, de como atacamos e abordamos a cibersegurança.”

“É extremamente difícil ir fazer algo se a IA é considerada um adicional; você deve pensar nela [como parte integrante]”, disse Jeetu Patel, EVP e GM de segurança e colaboração da Cisco, disse à VentureBeat, citando descobertas do Índice de Prontidão em Cibersegurança 2024 da Cisco. “A palavra operativa aqui é IA sendo usada nativamente em sua infraestrutura central.”

Dadas as muitas vantagens de precisão, velocidade e desempenho da transição para um SOC nativo de IA, é compreensível por que a Gartner apoia a ideia. A firma de pesquisa prevê que até 2028, a IA multiagente na detecção de ameaças e resposta a incidentes (incluindo dentro dos SOCs) aumentará de 5% para 70% das implementações de IA — principalmente aumentando, e não substituindo, o pessoal.

Chatbots fazendo impacto

O valor central que os SOCs impulsionados por IA trazem para as equipes de cibersegurança e TI são detecções e triagens de ameaças aceleradas com base em uma precisão preditiva melhorada usando dados de telemetria em tempo real.

As equipes de SOC relatam que as ferramentas baseadas em IA, incluindo chatbots, estão proporcionando respostas mais rápidas a uma ampla gama de consultas, desde análises simples até análises mais complexas de anomalias. A última geração de chatbots projetados para otimizar fluxos de trabalho de SOC e auxiliar analistas de segurança inclui Charlotte AI da CrowdStrike, Google’s Threat Intelligence Copilot, Microsoft Security Copilot, a série de AI Copilots da Palo Alto Networks e SentinelOne Purple AI.

Bancos de dados em grafo são fundamentais para o futuro dos SOCs

As tecnologias de bancos de dados em grafo estão ajudando os defensores a ver suas vulnerabilidades da perspectiva dos atacantes. Os atacantes pensam em termos de percorrer o grafo de sistemas de uma empresa, enquanto os defensores de SOC tradicionalmente confiaram em listas que usaram para passar por ações baseadas em desestimulo. A corrida armamentista dos bancos de dados em grafo visa colocar os analistas de SOC em paridade com os atacantes quando se trata de rastrear ameaças, intrusões e violações ao longo do grafo de suas identidades, sistemas e redes.

A IA já está se mostrando eficaz na redução de falsos positivos, automação de respostas a incidentes, aprimoramento da análise de ameaças e na descoberta contínua de novas formas de otimizar as operações do SOC.

A combinação de IA com bancos de dados em grafo também está ajudando os SOCs a rastrear e parar ataques mult domínios. Bancos de dados em grafo são fundamentais para o futuro dos SOCs porque se destacam na visualização e análise de dados interconectados em tempo real, permitindo uma detecção de ameaças, análise de trajetória de ataque e priorização de riscos mais rápidas e precisas.

John Lambert, vice-presidente corporativo da Microsoft Security Research, destacou a importância crítica do pensamento em grafo para a cibersegurança, explicando à VentureBeat: “Os defensores pensam em listas, os atacantes cibernéticos pensam em grafos. Enquanto isso for verdade, os atacantes vencerão.”

SOCs nativos de IA precisam de humanos no meio para alcançar seu potencial

SOCs que são deliberados em projetar fluxos de trabalho com humanos como parte central de suas estratégias de SOC nativo de IA estão melhor posicionados para o sucesso. O objetivo geral deve ser fortalecer o conhecimento dos analistas de SOC e fornecer-lhes os dados, insights e inteligência que precisam para se destacar e crescer em suas funções. Também é implícito em um design de fluxo de trabalho com humanos no meio a retenção.

Organizações que criaram uma cultura de aprendizado contínuo e veem a IA como uma ferramenta para acelerar o treinamento e os resultados no trabalho já estão à frente da concorrência. A VentureBeat continua a ver SOCs que priorizam em alto grau permitir que os analistas se concentrem em tarefas complexas e estratégicas, enquanto a IA gerencia operações rotineiras, retendo suas equipes. Há muitas histórias de pequenas vitórias, como impedir uma intrusão ou uma violação. A IA não deve ser vista como um substituto para analistas de SOC ou caçadores de ameaças humanos experientes. Em vez disso, aplicativos e plataformas de IA são ferramentas que os caçadores de ameaças precisam para proteger melhor as empresas.

SOCs impulsionados por IA podem reduzir significativamente os tempos de resposta a incidentes, com algumas organizações relatando uma diminuição de até 50%. Essa aceleração permite que as equipes de segurança abordem ameaças de maneira mais rápida, minimizando danos potenciais.

O papel da IA nos SOCs deve se expandir, incorporando simulações proativas de adversários, monitoramento contínuo da saúde dos ecossistemas de SOC e segurança avançada de endpoints e identidades por meio da integração de zero-trust. Esses avanços fortalecerão ainda mais as defesas das organizações contra ameaças cibernéticas em evolução.