Líderes de segurança estão em uma posição difícil tentando discernir quanto as novas ferramentas de cibersegurança impulsionadas por inteligência artificial podem realmente beneficiar um centro de operações de segurança (SOC). O hype sobre a inteligência artificial generativa ainda está em todos os lugares, mas as equipes de segurança precisam viver na realidade. Elas enfrentam alertas constantemente provenientes de plataformas de segurança de endpoint, ferramentas SIEM e e-mails de phishing relatados por usuários internos. As equipes de segurança também enfrentam uma aguda escassez de talentos.
Neste guia, vamos apresentar passos práticos que organizações podem tomar para automatizar mais de seus processos e construir uma estratégia de SOC autônomo. Isso deve abordar a aguda escassez de talentos nas equipes de segurança, empregando inteligência artificial e aprendizado de máquina com uma variedade de técnicas, esses sistemas simulam os processos de tomada de decisão e investigação de analistas humanos.
Primeiramente, vamos definir os objetivos de uma estratégia de SOC autônomo e depois considerar os processos-chave que poderiam ser automatizados. Em seguida, vamos considerar diferentes produtos de IA e automação, e finalmente, analisar alguns exemplos de como essas ferramentas poderiam ser usadas como parte de uma estratégia de SOC autônomo.
O objetivo da estratégia de SOC autônomo é automatizar cada etapa de triagem de alerta do início ao fim, reduzindo o risco investigando, triando e resolvendo o máximo de alertas possível sem qualquer intervenção humana.
É importante definir expectativas aqui – o objetivo de uma estratégia de SOC autônomo não deve ser substituir todos os humanos em uma equipe de segurança por tecnologia de IA. Como em qualquer estratégia de cibersegurança equilibrada, a chave é proteger a organização incorporando “pessoas, processos e tecnologia”. Nenhum profissional de segurança razoável pensa que podemos remover as pessoas dessa equação.
Você pode pensar em um SOC autônomo funcionando como uma equipe extra de analistas de Nível 1 ou 2, expandindo a capacidade e habilidades da sua equipe. O sistema deve ser projetado para escalonar ameaças críticas para analistas humanos. Um SOC autônomo deve trabalhar para as pessoas, usando tecnologia que se encaixe nos seus processos, facilite o seu trabalho e amplie as suas capacidades.
Primeiramente, devemos reconhecer que cada SOC é diferente (falaremos sobre ferramentas de automação na próxima seção). Você precisa considerar as necessidades específicas do seu SOC, para que você possa priorizar a automatização dos fluxos de trabalho que criam gargalos ou sobrecarregam a sua equipe. Tarefas manuais que são repetitivas e consomem muito tempo são oportunidades-chave a serem consideradas para a automação.
Aqui vamos analisar 6 processos-chave do SOC – estes irão esboçar o que chamaremos de nosso SOC Autônomo:
1. Monitorar – O SOC Autônomo monitora continuamente e coleta alertas 24/7 de suas ferramentas de segurança integradas, garantindo que nenhuma ameaça em potencial passe despercebida.
2. Coletar Evidências – Ao receber um alerta, o SOC Autônomo coleta todos os dados relevantes associados ao alerta. Isso inclui arquivos, processos, linhas de comando, evidências de argumentos de processo, URLs, IPs, processos pai e filho, imagens de memória e muito mais.
3. Investigar – O SOC Autônomo analisa cada pedaço de evidência coletada usando IA e uma variedade de técnicas sofisticadas. Isso inclui sandboxing, análise de código genético, análise estática, inteligência de origem aberta (OSINT), análise de memória e engenharia reversa. Os resultados dessas análises individuais são então resumidos em uma avaliação coesa de incidentes usando modelos de IA generativa.
4. Triar – O SOC Autônomo categoriza o risco associado a cada alerta e decide se deve escalá-lo com base nos resultados da investigação. Além disso, o SOC Autônomo reduz o ruído remediando automaticamente falsos positivos nos sistemas de detecção, já que estes não exigem outra ação.
5. Responder – Ameaças sérias são imediatamente escaladas para os analistas. Para todas as ameaças confirmadas, o SOC Autônomo fornece avaliações, recomendações, criando tickets no sistema de gerenciamento de casos. Estes incluem conteúdo de detecção e regras de caça prontas para uso para orientar o processo de resposta.
6. Relatar – O SOC Autônomo gera relatórios para manter sua equipe informada e fornecer sugestões de ajuste, permitindo uma melhoria contínua em suas operações de segurança.
Essas etapas usam tecnologia para “autonomamente” filtrar alertas, escalando apenas aqueles que realmente requerem análise humana. Isso ajuda a gerenciar eficazmente um alto volume de alertas e reduz drasticamente o tempo gasto em falsos positivos.
Em um nível prático, você precisa das ferramentas certas para executar sua estratégia. Vamos analisar algumas das principais ferramentas que você pode integrar em seus sistemas para projetar um plano de implementação passo a passo.
Produtos SOAR: Esta é uma categoria de produto estabelecida, com muitas equipes de SOC automatizando tarefas usando ferramentas de Orquestração, Automação e Resposta de Segurança (SOAR). Tem desafios, uma vez que os SOAR geralmente envolvem engenharia pesada ou construção de playbooks complexos. Alguns SOARs recentemente integraram inteligência artificial, ou oferecem playbooks pré-construídos e ferramentas de no-code que simplificam a automação de alguns processos.
Produtos de SOC Autônomo: Esta é uma categoria de produto mais recente, que usa fluxos de trabalho automatizados nativos e IA para receber, investigar e triar alertas. As startups mais recentes desta categoria lançaram em 2023 ou 2024, usando tecnologia baseada em IA generativa. Produtos de SOC Autônomo mais maduros integraram IA generativa, usando-a para complementar tecnologias centrais como análise genética ou aprendizado de máquina.
Produtos de Co-Piloto de IA: Esta é a categoria mais nova aqui, que surgiu em 2023. Novas ferramentas “co-piloto” podem usar IA generativa para ajudar os analistas para que eles possam consultar facilmente sistemas para obter respostas durante uma investigação. Estes poderiam potencialmente integrar com outras ferramentas, acelerando a resposta a incidentes ou tomando ações autonomamente, mas não está claro o quão eficazes ou populares esses assistentes de IA se tornarão.
Ambientes diferentes requerem ferramentas diferentes, mas estamos em um ponto em que as ferramentas estão se tornando mais fáceis de implementar e é viável selecionar ferramentas que se integram bem entre si. Os produtos de segurança usados devem suportar a integração com ferramentas de automação de SOC para habilitar a automação de processos de investigação e triagem de alerta para qualquer tipo de alerta.
Uma estratégia de SOC autônomo deve ser adaptável, uma vez que cada equipe de segurança e organização tem necessidades diferentes. Aqui temos alguns exemplos de estratégias de SOC autônomo, mostrando como diferentes tipos de equipes de segurança ou organizações podem implementar uma estratégia de SOC autônomo.
Exemplo #1:
Vamos considerar este cenário: Uma equipe de SOC já tem um SOAR que fornece alguma automação, mas seus fluxos de trabalho para triagem de alertas não são totalmente automatizados. A triagem, investigações e resposta são tratadas por uma pequena equipe interna de analistas de SOC, com assistência de um provedor de serviços de segurança gerenciada terceirizado. Ainda estão realizando muitas tarefas manuais, muitos falsos positivos, e querem melhorar o seu tempo médio de resposta. Eles não querem automatizar mais processos construindo e mantendo playbooks de resposta a incidentes mais complexos. Eles decidiram usar uma plataforma de SOC autônomo que pode se integrar com suas ferramentas de detecção.
Na ilustração acima, podemos ver os processos automatizados pelo produto de SOC autônomo, que será uma parte fundamental da estratégia desta equipe.
Eles começam integrando-o com seu produto de segurança de endpoint para monitorar e triar esses alertas. Eles testam os resultados e constroem confiança em seu sistema de SOC autônomo para alertas de endpoint, usando seu SOAR para escalonar alertas e gestão de casos. Com esse sistema, o tempo de triagem para alertas de endpoint tem uma média inferior a 2 minutos. Uma vez que os analistas estejam satisfeitos que o processo de SOC autônomo está implementado efetivamente, a equipe integra o produto de SOC autônomo para também receber e triar e-mails de phishing relatados por usuários e alertas de SIEM.
Exemplo #2:
Em seguida, vamos analisar uma equipe de SOC em um provedor de Detecção e Resposta Gerenciada. Esta equipe MDR vê a adoção de uma estratégia impulsionada por IA como uma vantagem competitiva para aprimorar os serviços ao cliente e aumentar a receita. Eles precisam monitorar e triar alertas de muitos clientes, que usam muitas ferramentas diferentes para detecção e resposta.
Eles decidiram implementar uma estratégia de SOC autônomo, que inclui a utilização de um produto de SOC autônomo que pode se integrar com qualquer uma das ferramentas de seus clientes. Isso lhes permitirá monitorar, investigar e triar eficientemente todos os alertas de múltiplos ambientes de clientes, fornecendo tempos rápidos de triagem impulsionados por IA e automação. Ao expandir suas capacidades com IA e automação, a equipe MDR pode incorporar mais clientes e lidar com volumes de alertas mais altos, sem os desafios de recrutar e contratar analistas adicionais. Após a implementação do produto de SOC autônomo, eles também conseguem expandir as ofertas aos clientes, fornecendo novos serviços como cobertura para e-mails de phishing relatados por usuários.
Exemplo #3:
Agora, vamos imaginar uma equipe de SOC com uma estratégia de SOC autônomo estabelecida. O produto de SOC Autônomo investiga e tria alertas de sistemas de detecção integrados e o SOAR é usado para escalonar incidentes e gerenciamento de casos. Depois que essas ferramentas são totalmente implementadas, a equipe adiciona um co-piloto de IA para ajudar a equipe de segurança a obter mais informações.
Isso ajuda a mostrar como essas ferramentas poderiam se encaixar em diferentes partes de um SOC, mas é menos realista, uma vez que ferramentas como co-pilotos de IA são muito novas e poucas equipes estão usando-as de forma eficaz até o momento.
Os processos de monitoramento de alertas, investigações e triagem são oportunidades significativas para automação para muitas equipes de SOC. Uma vez que os processos de triagem de alerta incluem uma série de tarefas repetitivas e demoradas, simplificar essa carga de trabalho com um produto de SOC autônomo torna os analistas mais eficazes e eficientes.
Produtos de SOC autônomo oferecem uma opção convincente, especialmente porque são construídos para serem fáceis de implantar e se integrar com outras ferramentas de segurança. Eles podem ajudar as equipes a enfrentar desafios de alto volume de alertas, bem como escassez de talentos.
Esses produtos especializados oferecem três benefícios importantes:
1. Reduzir o risco garantindo que cada artefato e alerta proveniente de fontes de alerta integradas seja investigado de forma abrangente e triado eficientemente.
2. Permitir que os analistas se concentrem em ameaças reais e evitem a fadiga de alerta, triando alertas usando automação de IA para tomar decisões e resolver tipos específicos de alertas.
3. Escalar os alertas mais críticos por meio dos processos de SOC autônomo, fornecendo informações-chave e permitindo que os analistas priorizem a resposta para incidentes graves.
Em última análise, a inteligência artificial e a automação podem integrar fontes de dados para fornecer uma experiência de triagem unificada e automatizada, aprimorar investigações, apoiar os analistas e acelerar os tempos de resposta. Uma estratégia de SOC autônomo deve ser projetada para usar essas tecnologias avançadas para apoiar sua equipe de segurança e ampliar suas capacidades.
Intezer é um dos líderes no fornecimento de tecnologia alimentada por IA para operações de segurança autônomas. Com foco em inovação e qualidade, sua Plataforma de SOC Autônomo foi projetada para investigar incidentes, tomar decisões de triagem, e escalar descobertas sobre ameaças graves como um analista SOC Nível 1 especializado (mas sem burnout, lacunas de habilidades e fadiga de alertas).
Os clientes da Intezer incluem empresas Fortune 500, como Adobe e Equifax, empresas de médio porte, bem como MSSPs que usam a Plataforma de SOC Autônomo da Intezer para triar alertas e automatizar totalmente seus processos de SOC Nível 1.
Em 2016, a Intezer foi fundada com uma missão de pesquisar e desenvolver tecnologia para ajudar equipes de SOC que tinham muito trabalho, muitos alertas e não tinham pessoas suficientes. A Plataforma de SOC Autônomo foi lançada pela primeira vez em 2022. Suas tecnologias centrais usam um framework de Inteligência Artificial que incorpora aprendizado de máquina, IA generativa e análise genética proprietária.
Gostaria de saber mais? Agende uma demonstração com a Intezer para ver a Plataforma de SOC Autônomo em ação.
Achou este artigo interessante? Este artigo é uma contribuição de um dos nossos valiosos parceiros. Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.
