Cibersegurança em velocidade da IA: AI Agente Potencializando Equipes de SOC

Os centros de operações de segurança (SOCs) estão sob ataque de uma nova onda de ataques adversariais automatizados. Esses ataques ocorrem em uma velocidade sem precedentes e estão sendo difíceis de detectar, decifrar e defender.

Com os adversários conseguindo tempos de ruptura de apenas dois minutos e sete segundos, não se trata mais de saber se um SOC será atacado, mas sim de quando. E 77% das empresas já foram vítimas de ataques de IA adversarial.

Para que um SOC se proteja e proteja sua infraestrutura empresarial, a velocidade é crucial.

Apresentando a IA agente

A IA agente ajuda os SOCs a automatizar a tomada de decisões, se adaptar a ameaças em evolução e otimizar fluxos de trabalho, incluindo triagem de alertas e resposta a incidentes. Ela se mostrou eficaz em melhorar a eficiência e fortalecer a segurança ao identificar riscos enquanto reduz o esforço manual necessário para rastreá-los.

Principais fornecedores de cibersegurança que oferecem soluções de IA agente para SOCs incluem Arcanna.ai, Cato Networks, Cisco Security Cloud, CrowdStrike (plataforma Falcon com Charlotte AI), Dropzone AI, Google Cloud Security AI Workbench, Microsoft Security Copilot, Palo Alto Networks e Zscaler.

“A velocidade dos ataques cibernéticos atuais exige que as equipes de segurança analisem rapidamente grandes quantidades de dados para detectar, investigar e responder mais rápido. Os adversários estão estabelecendo recordes, com tempos de ruptura de pouco mais de dois minutos, deixando margem zero para atrasos,” disse George Kurtz, presidente, CEO e cofundador da CrowdStrike, em uma entrevista recente ao VentureBeat.

Planeje para que as equipes do SOC e a IA agente se fortaleçam mutuamente

Para qualquer implementação de IA agente ou IA mais ampla no SOC ser bem-sucedida, fluxos de trabalho com humanos no meio são essenciais. O recente relatório da Gartner, “Prever 2025: Nunca Haverá um SOC Autônomo,” reforça a observação do VentureBeat sobre como os SOCs estão testando e adotando IA agente e aplicativos e plataformas de IA mais amplos. “Líderes de segurança e equipe operacional sênior precisam identificar onde funções do SOC lideradas por humanos persistem e como transitar analistas do SOC para funções que exigem mais tomada de decisão com humanos no loop,” aconselha a Gartner.

O relatório prevê que, até 2026, a IA aumentará a eficiência do SOC em 40% em comparação com a eficiência de 2024, iniciando uma mudança na expertise do SOC em direção ao desenvolvimento, manutenção e proteção da IA.

Para integrar a IA agente efetivamente, os SOCs precisam de um quadro claro que equilibre tecnologia com expertise humana. O modelo de SOC expandido da Gartner abaixo ilustra como papéis, capacidades e objetivos se alinham para melhorar a eficiência e a adaptabilidade.

Os desafios do SOC são um caso de uso perfeito para a IA agente

Os SOCs precisam de IA agente que corresponda à velocidade e ao insight dos atacantes se quiserem ter alguma chance de frustrar uma tentativa de intrusão ou violação.

Muitos SOCs estão subdimensionados. Muitos também acham desafiador entender os dados de sistemas legados de gerenciamento de informações de segurança e eventos (SIEM) que não possuem técnicas de visualização ou a capacidade de usar bancos de dados gráficos para mapear ameaças.

A necessidade de passar a pensar além das listas e pensar mais em gráficos, como fazem os atacantes ao planejar uma violação, é um dos vários fatores que impulsionam uma forte corrida por bancos de dados gráficos em todo o setor.

Com dificuldade para acompanhar o torrent de alertas, falsos positivos e trabalho de manutenção contínua, as equipes dos SOC enfrentam esses desafios diariamente:

Sistemas legados deixam os SOCs expostos a crescentes ameaças de IA. Os SOCs permanecem sobrecarregados por sistemas SIEM desatualizados, detecção e resposta de endpoint (EDR) legada, firewalls e sistemas de detecção de intrusão (IDS/IPS) que não estão equipados para lidar com a velocidade e a complexidade das ameaças impulsionadas por IA. Shlomo Kramer, CEO da Cato Networks, disse ao VentureBeat em uma entrevista recente, “A maior ameaça às organizações é a complexidade de sua infraestrutura de segurança. Produtos pontuais criam lacunas em sua postura de segurança, deixando-as como alvos primários para os atores de ameaças.” Kramer acrescentou, “Nos próximos cinco anos, vejo as ameaças cibernéticas evoluindo em três dimensões: taticamente, com batalhas de IA contra IA; operacionalmente, através da complexidade da infraestrutura; e estrategicamente, moldadas por conflitos geopolíticos. Organizações que dependem de ferramentas legadas fragmentadas terão dificuldades para se defender contra essas ameaças em escalada.”

A fadiga crônica de alertas leva a tentativas de intrusão perdidas e alta rotatividade de funcionários. Os analistas do SOC lutam para acompanhar os milhares de alertas, alarmes falsos e relatórios incompatíveis de múltiplos sistemas legados de SIEM e SOAR em seus centros. Os CISOs relatam ver até 10.000 eventos por dia vindo da ampla base de sistemas de seus centros de operações. Eles questionam se é o melhor uso do tempo de seus analistas encontrar os três ou quatro que são ameaças reais quando a IA já provou ser capaz de detectar eventos anômalos.

As organizações enfrentam escassez de pessoal para funções-chave do SOC. É quase impossível para muitos empreendedores escalar suas equipes do SOC somente com talento interno. Embora a contratação externa seja sempre uma opção, as equipes do SOC precisam investir no contínuo treinamento e desenvolvimento de carreira de sua equipe para reter expertise empresarial enquanto fortalecem a expertise cibernética.

Uma crescente onda de dados de segurança ameaça sobrecarregar as equipes do SOC. Kurtz ecoou a gravidade do desafio em uma entrevista recente, “Um dos principais problemas em segurança é um problema de dados, e é uma das razões pelas quais eu fundei a CrowdStrike. É por isso que eu criei a arquitetura que temos, e é incrivelmente difícil para as equipes do SOC classificarem essa imensa quantidade de dados e volumes para encontrar ameaças.”

Onde a IA agente está fazendo impacto

O maior retorno da IA agente virá da ampliação dos analistas e equipes do SOC com a automação de tarefas de rotina, enquanto lhes fornecem ferramentas de inteligência de ponta para aprender.

O VentureBeat está vendo a IA agente impactar as seguintes áreas:

Conseguindo ganhos de eficiência em escala para as tarefas mais rotineiras e repetitivas. Sistemas de piloto e produção de IA agente estão proporcionando melhorias de eficiência ao automatizar tarefas de rotina em larga escala. Vasu Jakkal, vice-presidente corporativa da Microsoft, compartilhou com o VentureBeat em uma entrevista recente os resultados de uma pesquisa que sua empresa concluiu sobre os ganhos de produtividade do Security Copilot. “O estudo mostrou que profissionais em início de carreira usando o Security Copilot eram 26% mais rápidos e 35% mais precisos. Profissionais experientes que usaram a ferramenta foram 22% mais rápidos e 7% mais precisos, com 90% expressando o desejo de usá-la novamente,” disse Jakkal.

Detecção de ameaças, análises e inteligência em tempo real, enquanto também encontra anomalias em grandes conjuntos de dados. Aplicativos de IA agente e as plataformas que os sustentam são eficazes na identificação de potenciais ameaças e anomalias que humanos podem perder. E o design com humanos no loop ajuda a manter os modelos de IA agente em constante aprendizado e aprimoramento de sua capacidade de identificar ameaças.

Ajudando os SOCs a acelerar a resposta a incidentes. Central ao design de cada aplicativo, sistema e plataforma de IA agente está a capacidade de identificar e isolar tarefas-chave de resposta a incidentes em tempo real para remediar ameaças mais rapidamente. Recentemente, o VentureBeat conversou com Leonid Belkind, CTO da Torq, sobre o sistema multi-agente de sua empresa, que ele descreveu como “transformando operações do SOC ao dividir fluxos de trabalho complexos em tarefas especializadas e interconectadas tratadas por agentes dedicados. Essa abordagem garante que cada alerta seja triado, investigado e resolvido com precisão, reduzindo erros humanos e permitindo que as equipes do SOC escalem operações de forma eficiente.”

Aprendizado Contínuo. A IA agente fortalece a engenharia de detecção nos SOCs, onde sistemas analisam grandes conjuntos de dados de inteligência de ameaças em larga escala. Modelos de linguagem de grande porte (LLMs) estão sendo treinados para ajudar as equipes de segurança a diferenciar ameaças reais de falsos positivos, fornecendo insights contextuais em tempo real que economizam tempo valioso para os analistas do SOC. O VentureBeat soube que essas capacidades estão impulsionando melhorias mensuráveis na resposta a ameaças.

O sucesso da IA agente depende inteiramente da colaboração humana

“Não se trata de substituir os seres humanos; trata-se de aumentar os seres humanos,” disse Elia Zaitsev, CTO da CrowdStrike, ao VentureBeat em uma entrevista anterior. “É sobre o humano assistido por IA, que eu acho que é um conceito chave… Acho que muitas pessoas na tecnologia — e eu direi isso como CTO, deveria estar totalmente focado na tecnologia — às vezes o foco vai longe demais em querer substituir os humanos. Acho isso muito equivocado, especialmente na cibersegurança.”