Como a IA agêntica permite um SOC autônomo com o mínimo de envolvimento humano
Os centros de operações de segurança (SOCs) enfrentam desafios contínuos na detecção e resposta de ameaças há anos. Esses desafios incluem o discernimento entre sinais de segurança genuínos de ruídos de fundo, contexto inadequado para investigação de alertas, falta de automação de ponta a ponta, gargalos de fluxo de trabalho e fadiga de alertas, só para citar alguns.
Há anos eu digo que as operações de segurança, ou o gerenciamento de ameaças cibernéticas de qualquer forma, precisam passar por uma grande mudança como a das companhias aéreas comerciais em meados do século 20: máquinas pilotam aviões comerciais e pilotos intervêm em situações limitadas. Da mesma forma, o novo SOC executaria operações autônomas com envolvimento humano mínimo.
Os analistas de SOC então se tornariam pilotos de SOC, escolhendo onde e quando se envolveriam, enquanto a máquina virtual lida com as operações padrão.
Boletim informativo do setor
As mais recentes notícias de tecnologia, corroboradas por insights de especialistas.
Mantenha-se atualizado sobre as tendências mais importantes e fascinantes do setor em IA, automação, dados e muito mais com o boletim informativo da Think. Consulte a declaração de privacidade da IBM.
Sua inscrição será entregue em inglês. Você pode encontrar um link para cancelar a inscrição em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa declaração de privacidade da IBM para obter mais informações.
A cibersegurança é a única a lidar com o enigmático fenômeno do “dia 0”: vulnerabilidades recém-descobertas em software ou hardware, anteriormente não detectadas pela comunidade de segurança. Esse conceito encapsula a imprevisibilidade em torno do surgimento da próxima ameaça, incluindo sua fonte, momento e metodologia.
Quando as incertezas se materializam, os pilotos de SOC (analistas humanos) assumem o comando, usando sua experiência para combater e neutralizar essas novas ameaças.
Então, por que ainda não temos SOCs que possam funcionar com o mínimo de intervenção humana? Durante anos, os fornecedores de software de segurança têm levado a automação aos seus produtos. As equipes de SOC ultrapassaram os limites da automação, às vezes desenvolvendo soluções sofisticadas desenvolvidas internamente para acelerar e aumentar a eficácia da detecção e resposta a ameaças. Mas os SOCs precisam de mais do que automação. Eles precisam de autonomia digital.
A inteligência artificial (IA) pode replicar processos de tomada de decisão humanos. Essa tecnologia pode facilitar uma mudança transformadora nas operações de cibersegurança, especialmente nas operações de segurança rotineiras.
A detecção de ameaças já utiliza recursos de IA, como aprendizado de máquina (ML). Várias tecnologias SOC usam ML para tarefas que vão desde a identificação de ameaças até a categorização de alertas, graças à integração pelos principais fornecedores de software. No entanto, a automatização das operações de segurança está sujeita a certas restrições.
A maioria das equipes de operações de segurança tem regras de engajamento, exigindo um grau de certeza antes da execução. Essa certeza explica por que a automação é comum em sistemas fechados, como sistemas de detecção e resposta de endpoint (EDR). Tanto o software do endpoint quanto o console estão familiarizados com todas as variáveis relevantes e podem automatizar as respostas de forma eficaz.
Um especialista em segurança de um grande hiperescalador fornece um exemplo prático. Sua empresa exige envolvimento mínimo de SOC devido ao profundo entendimento de cada tecnologia e ativo em seu stack. Sua configuração funciona essencialmente como um sistema fechado, permitindo uma ampla automação.
Para organizações que não possuem esses sistemas fechados, especialmente aquelas que lidam com sistemas de gerenciamento de eventos e informações de segurança (SIEM), o cenário é diferente. Aqui, um playbook de aplicações de orquestração, automação e resposta de segurança (SOAR) gerencia a automação.
Por exemplo, um playbook de resposta automática pode ser programado para colocar um host em quarentena se ele não for um servidor e estiver executando atividades maliciosas reconhecidas. No entanto, essa automação não pode ser ativada a menos que a identidade do ativo seja conhecida, por exemplo, se é um servidor crítico ou uma estação de trabalho.
O contexto é fundamental na automatização das funções de segurança e é aqui que os analistas SOC humanos entram em ação. Por meio da coleta manual de dados com "cadeira giratória", julgamento e análise, eles fornecem o contexto necessário para que a automação opere de forma eficaz em sistemas abertos. As operações de cadeira giratória precisam abrir caminho para o novo paradigma das operações autônomas multiagênticas.
Entre no framework autônomo e multiagêntico. Os serviços de cibersegurança da IBM usam IA para entender a necessidade de contexto, reunir contexto, decidir e permitir que a automação conclua ou manipule totalmente a automação, até mesmo ignorando o SOAR.
Nosso orquestrador de mão de obra digital, a máquina de operações autônoma de ameaças (ATOM), desenvolve uma lista de tarefas para a investigação de um alerta. Se o ATOM determinar que o contexto do ativo é inadequado, ele usará outros agentes de IA para reunir as informações que faltam.
Para promover nossa analogia da cadeira giratória, quando o ATOM detecta um contexto de ativo ausente, ele age. Ele interage proativamente com agentes associados ao gerenciamento de vulnerabilidades, gerenciamento de exposição, bancos de dados de gerenciamento de configuração (CMDBs) e EDR ou sistemas de detecção e resposta estendidas (XDR) para reunir esse contexto.
O ATOM então determina que um ativo específico, com base em seu nome de host e local de rede, se alinha aos padrões típicos de estações de trabalho e conclui que é de fato uma estação de trabalho. Esse raciocínio é o mesmo tipo de lógica que um analista humano aplicaria.
Depois que o ATOM toma a decisão contextual, ele formula uma resposta única a esse alerta específico. Por exemplo, ela pode determinar se uma chamada de interface de programação de aplicativos (API) para um console EDR é o melhor curso de ação ou se um fluxo de trabalho deve retornar ao sistema SOAR.
Ainda não se sabe se a IA permitirá que o pessoal do SOC migre para a cadeira do piloto do SOC. No entanto, os recursos de mão de obra digital multiagênticos orquestrados estão mais próximos do que é necessário para operações SOC autônomas do que qualquer tecnologia com a qual trabalhamos anteriormente na IBM. Embora a transição completa para SOCs totalmente autônomos ainda não tenha sido realizada, a jornada em direção a esse modelo SOC eficiente e com intervenção humana mínima foi significativamente avançada com o advento da IA agêntica.
Essa grande mudança promete revolucionar o gerenciamento de ameaças, permitindo que as equipes de segurança priorizem iniciativas estratégicas em vez de serem sobrecarregadas com tarefas repetitivas. Enquanto a IA continua evoluindo, olhamos para um futuro onde nossos SOCs serão não apenas automatizados, mas também autônomos, prontos para decolar e deixar o ambiente rotineiro para as máquinas.
Recursos
Permita que desenvolvedores criem, implementem e monitorem agentes de IA com o IBM watsonx.ai studio.
Atinja uma produtividade revolucionária com um dos conjuntos de recursos mais abrangentes do setor para ajudar as empresas a criar, personalizar e gerenciar agentes e assistentes de IA.
Tenha mais de 90% de economia de custos com os modelos menores e abertos do Granite, projetados para a eficiência do desenvolvedor. Esses modelos prontos para uso corporativo oferecem desempenho excepcional em relação aos benchmarks de segurança e em uma ampla variedade de tarefas corporativas, da cibersegurança a RAG.