Por que a automação, a inteligência artificial e o aprendizado de máquina estão se tornando cada vez mais importantes para as operações SOC. Comparados aos humanos, os algoritmos são simplesmente muito mais rápidos na definição de um estado normal dos processos de TI ou na identificação de padrões comportamentais.
Os provedores de tecnologia estão constantemente trabalhando para melhorar a segurança de TI nas empresas. Mas, embora os Centros de Operações de Segurança (SOC) estejam melhorando na proteção contra ameaças, ainda há muito o que fazer. IA, aprendizado de máquina (ML) e automação oferecem suporte eficaz aos especialistas sem torná-los supérfluos.
Inteligência artificial e aprendizado de máquina (ML) no SOC
Uma base importante para melhorar o trabalho no SOC foi a percepção de que uma defesa baseada apenas em tecnologia não é suficiente. No jogo de gato e rato entre a defesa cibernética e o ataque, os atacantes geralmente estão um passo crucial à frente. O uso de novas tecnologias, como automação, inteligência artificial e aprendizado de máquina (ML), portanto, desempenha um papel importante no alívio das pessoas. Comparados aos humanos, os algoritmos são simplesmente muito mais rápidos em definir um estado normal dos processos de TI - a chamada linha de base -, identificar padrões de comportamento e reconhecer desvios dos processos normais.
Mas não funciona sem o pensamento humano. A defesa cibernética eficiente precisa de ambos: tecnologias de automação direcionadas e eficazes, bem como IA e aprendizado de máquina (ML), por um lado, que complementam o conhecimento especializado e a experiência de um defensor humano, por outro. Ambos podem fazer parte de um Centro de Operações de Segurança (SOC) interno ou de um serviço terceirizado, como Detecção e Resposta Gerenciadas (MDR).
A necessidade de julgamento humano é e permanece indiscutível
É um equívoco comum pensar que mais tecnologia significa menos necessidade de pessoas. A automação, a inteligência artificial e o aprendizado de máquina provavelmente nunca substituirão completamente a necessidade de tomada de decisão humana em segurança de TI. O analista humano permanece insubstituível enquanto enfrenta um agressor de carne e osso.
Isso ocorre porque a mente do hacker é muito inteligente e pode usar o pensamento abstrato para contornar as defesas e se infiltrar na rede-alvo de uma forma que as ferramentas de tecnologia simplesmente não veem. Então, por exemplo, até mesmo a solução EDR (Endpoint Detection and Response) mais avançada tem poucas chances contra um funcionário que é levado a fornecer uma senha administrativa usando engenharia social.
Tecnologia e pessoas devem trabalhar juntas
Os analistas de segurança humana que pensam e agem como o invasor oferecem a melhor chance de neutralizar o comportamento individual, nunca completamente previsível, de um cibercriminoso. IA, ML e automação dão suporte aos especialistas com informações para melhorar e acelerar avaliações e decisões bem fundamentadas para se defender contra ataques complexos. Um enriquecimento automatizado que fornece ao analista todas as informações relevantes deve recorrer a várias bases de conhecimento e recursos de pesquisa para que os analistas possam entender o campo de batalha em que operam e tomar decisões informadas. Com base nisso, os analistas que entendem o que o invasor está tentando alcançar podem iniciar as medidas de resposta apropriadas.
Onde automação, inteligência artificial e aprendizado de máquina já são bem-sucedidos
As iniciativas de automação, ML e IA já são bem-sucedidas em várias áreas da segurança de TI. Onde os invasores automatizam seus ataques, por exemplo, a defesa automatizada é suficiente em troca. AI e ML também ajudam contra ataques com preenchimento de credenciais. Aqui, a inteligência de ameaças serve como um guia para desenvolver ferramentas que podem detectar agentes mal-intencionados. Os analistas de segurança recebem orientação sobre a melhor forma de definir Indicadores de Compromisso (IOCs).
A automação e o ML também podem prever como o malware evoluirá. Isso permite que você crie uma assinatura exclusiva contra novos malwares, o que ajuda a detectar outros ataques. Outra área importante de aplicação é coletar e processar grandes quantidades de dados de segurança. Esses dados são necessários para descobrir e verificar atividades anormais como um risco e, assim, encontrar a proverbial agulha em uma pilha de agulhas.
Portanto, o SOC do futuro usará IA, ML e automação
Informações sobre um SOC do Bitdefender (Imagem: Bitdefender).
Em geral, IA, ML e automação melhorarão a eficiência dos SOCs e fornecerão aos analistas mais contexto em tempo real. Além disso, a IA pode imitar os invasores. Ele verifica grandes ambientes e os compara com vulnerabilidades conhecidas para prever como um agente mal-intencionado exploraria essas superfícies de ataque. Essas informações são extremamente valiosas para os analistas prevenirem ataques de forma proativa.
Os ajudantes inteligentes desempenharão um papel importante quando se trata de dimensionamento. Atualmente, os analistas podem coletar apenas uma quantidade limitada de dados manualmente. No entanto, quanto mais informações disponíveis, mais padrões, relacionamentos e insights podem ser obtidos. No entanto, os modelos de licenciamento de muitas ferramentas até agora restringiram severamente o volume de dados usados. No futuro, essa limitação dificilmente existirá e grandes conjuntos de dados poderão ser examinados de forma mais estratégica e análises preditivas poderão ser realizadas.
Conclusão: os ajudantes espertos vieram para ficar
A segurança de TI continuará sendo um jogo moderno de gato e rato. AI, ML e automação já estão ganhando espaço nas operações SOC e estão ajudando os analistas a melhorar a segurança de TI na empresa. Os ajudantes inteligentes já oferecem muitas vantagens, especialmente quando se trata de identificar riscos potenciais com rapidez e precisão. No futuro, os algoritmos serão usados para inúmeras outras aplicações em segurança de TI, aumentando assim a segurança. Recomenda-se que as empresas já usem tecnologias estabelecidas com base em automação, IA e ML em seu SOC e fiquem de olho nas novas tecnologias. Independentemente disso, os seres humanos permanecem indispensáveis. Mas para o sucesso ele precisa de tecnologias modernas.
Mais em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de