Uma solução para as promessas não cumpridas do SOAR

O Safety Orchestration, Automation, and Response (SOAR) foi introduzido com a promessa de revolucionar os Safety Operations Facilities (SOCs) por meio da automação, reduzindo cargas de trabalho manuais e aumentando a eficiência. No entanto, apesar de três gerações de tecnologia e 10 anos de avanços, o SOAR não atingiu totalmente seu potencial, deixando os SOCs ainda lutando com muitos dos mesmos desafios. Entra o Agentic AI — uma nova abordagem que pode finalmente cumprir a tão esperada visão do SOC, fornecendo uma solução mais dinâmica e adaptável para automatizar as operações do SOC de forma eficaz.

Três gerações de SOAR – ainda aquém do esperado

O SOAR surgiu em meados da década de 2010 com empresas como PhantomCyber, Demisto e Swimlane, prometendo automatizar tarefas do SOC, melhorar a produtividade e encurtar os tempos de resposta. Apesar dessas ambições, o SOAR encontrou seu maior sucesso na automação de tarefas generalizadas, como propagação de inteligência de ameaças, em vez de cargas de trabalho de detecção, investigação e resposta a ameaças (TDIR).

A evolução do SOAR pode ser dividida em três gerações:

• Geração 1 (meados da década de 2010): As primeiras plataformas SOAR apresentavam playbooks estáticos, implementações complexas (frequentemente envolvendo codificação) e altas demandas de manutenção. Poucas organizações as adotaram além de casos de uso simples, como triagem de phishing.
• Geração 2 (2018–2020): Essa fase introduziu editores sem código, de arrastar e soltar, e extensas bibliotecas de playbooks, reduzindo a necessidade de recursos de engenharia e melhorando a adoção.
• Geração 3 (2022–presente): A última geração utiliza IA generativa (LLMs) para automatizar a criação de playbooks, reduzindo ainda mais a carga técnica.

Apesar desses avanços, a promessa central da SOAR de automação do SOC continua não cumprida por razões que discutiremos em breve. Em vez disso, cada geração melhorou principalmente a facilidade operacional e reduziu a carga de engenharia do SOAR e não abordou os desafios fundamentais da automação do SOC.

Por que o SOAR não teve sucesso?

Ao buscar responder à pergunta “por que o SOAR não abordou a automação do SOC”, pode ser útil lembrar que o trabalho do SOC é composto de uma infinidade de atividades e tarefas que são diferentes em cada SOC. Geralmente, porém, as tarefas de automação do SOC envolvidas no tratamento de alertas se enquadram em duas categorias:

• Tarefas de pensamento – por exemplo, descobrir se algo é actual, determinar o que aconteceu, entender o escopo e o impacto, criar um plano de resposta, and so forth.
• Fazendo tarefas – por exemplo, tomar medidas de resposta, notificar as partes interessadas, atualizar os sistemas de registros, and so forth.

O SOAR efetivamente realiza tarefas de “fazer”, mas tem dificuldades com as tarefas de “pensar”. Eis o porquê:

• Complexidade: As tarefas de pensamento exigem compreensão mais profunda, síntese de dados, padrões de aprendizado, familiaridade com ferramentas, experience em segurança e tomada de decisão. Playbooks estáticos são difíceis, se não impossíveis de criar, que possam replicar essas características.
• Entradas imprevisíveis: O SOAR depende de entradas previsíveis para saídas consistentes. Em segurança, onde exceções são a norma, os playbooks se tornam cada vez mais complexos para lidar com casos extremos. Isso leva a uma alta sobrecarga de implementação e manutenção.
• Personalização: Os playbooks prontos para uso raramente funcionam como pretendido. Eles sempre precisam de personalização devido ao ponto anterior. Isso mantém os encargos de manutenção altos.

É por meio da automatização de “tarefas de pensamento” que uma parte maior do fluxo de trabalho geral do SOC pode ser automatizada.

Investigação: O elo mais fraco do SOC

As fases de triagem e investigação das operações de segurança são preenchidas com tarefas de pensamento que ocorrem antes mesmo que os esforços de resposta possam começar. Essas tarefas de pensamento resistem à automação, forçando a dependência de processos manuais, lentos e não escaláveis. Esse gargalo handbook depende de analistas humanos e impede a automação do SOC de:

• Redução significativa dos tempos de resposta: a tomada de decisões lenta atrasa tudo.
• Proporcionando ganhos significativos de produtividade.

Para atingir a promessa authentic de automação do SOC do SOAR — melhorando a velocidade, a escala e a produtividade do SOC — precisamos nos concentrar em automatizar as tarefas de pensamento nas fases de triagem e investigação. A automatização bem-sucedida da investigação também simplificaria a engenharia de segurança, pois os playbooks poderiam se concentrar em ações corretivas em vez de lidar com a triagem. Também fornece a possibilidade de um pipeline de tratamento de alertas totalmente autônomo, o que reduziria drasticamente o tempo médio de resposta (MTTR).

A questão principal é: como automatizar efetivamente a triagem e a investigação?

IA Agentic: O elo perdido na automação do SOC

Nos últimos anos, modelos de linguagem grande (LLMs) e IA generativa transformaram vários campos, incluindo a segurança cibernética. A IA se destaca na execução de “tarefas de pensamento” no SOC, como interpretar alertas, conduzir pesquisas, sintetizar dados de várias fontes e tirar conclusões. Ela também pode ser treinada em bases de conhecimento de segurança como MITRE ATT&CK, técnicas de investigação e padrões de comportamento da empresa, replicando a experience de analistas humanos.

O que é Agentic AI?

Recentemente, tem havido uma tremenda confusão em torno da IA ​​no SOC, em grande parte devido às primeiras alegações de advertising da década de 2010, bem antes de técnicas modernas de IA como LLMs existirem. Isso foi ainda mais agravado pela corrida louca da indústria em 2023 para instalar um chatbot baseado em LLM em produtos de segurança existentes.

Para esclarecer, há pelo menos 3 tipos de soluções sendo comercializadas como “IA para o SOC”. Aqui está uma comparação de diferentes implementações de IA:

• Modelos de análise/ML: Esses modelos de machine studying existem desde o início da década de 2010 e são usados ​​em áreas como UEBA e detecção de anomalias. Embora os profissionais de advertising tenham se referido a eles como IA há muito tempo, eles não se alinham com as definições de IA mais avançadas de hoje. Esta é uma tecnologia de detecção.
• Soluções analíticas podem melhorar as taxas de detecção de ameaças, mas frequentemente geram vários alertas, muitos dos quais são falsos positivos. Isso cria um fardo adicional para as equipes do SOC, pois os analistas devem peneirar esses alertas, levando a maiores cargas de trabalho e impactando negativamente a produtividade. O efeito líquido é mais alertas para triagem, mas não necessariamente mais eficiência no SOC.

• Co-pilotos (Chatbots): Ferramentas de copiloto como ChatGPT e chatbots complementares podem auxiliar humanos fornecendo informações relevantes, mas deixam a tomada de decisão e a execução para o usuário. O humano deve fazer perguntas, interpretar os resultados e implementar um plano. Essa tecnologia é normalmente usada no SOC para trabalho pós-detecção.
• Enquanto os copilotos melhoram a produtividade ao facilitar a interação com os dados, eles ainda dependem de humanos para conduzir todo o processo. O analista SOC deve iniciar consultas, interpretar resultados, sintetizá-los em planos acionáveis ​​e, então, executar as ações de resposta necessárias. Enquanto os copilotos tornam esse processo mais rápido e eficiente, o humano permanece no centro do modelo hub-and-spoke, gerenciando o fluxo de informações e a tomada de decisões.

• Agente de IA: Isso vai além da assistência, atuando como um analista autônomo de IA SOC, concluindo fluxos de trabalho inteiros. A Agentic AI emula processos humanos, da interpretação de alertas à tomada de decisões, entregando unidades de trabalho totalmente executadas. Essa tecnologia é normalmente usada no SOC para trabalho pós-detecção. Ao entregar triagens de alertas ou investigações de incidentes totalmente concluídas, a Agentic AI permite que as equipes do SOC se concentrem na tomada de decisões de nível superior, levando a ganhos exponenciais de produtividade e operações muito mais eficientes.

Agora que temos definições claras de várias implementações comuns de IA no SOC, pode ser importante saber que uma determinada solução pode incluir várias, ou até mesmo todas essas categorias de tecnologia. Por exemplo, as soluções de IA da Agentic geralmente incluem um chatbot para fins de caça a ameaças e exploração de dados, bem como modelos analíticos para uso em análise e tomada de decisão.

Como a IA Agentic funciona na automação SOC

A Agentic AI revoluciona a automação do SOC ao lidar com os processos de triagem e investigação antes mesmo que os alertas cheguem aos analistas humanos. Quando um alerta de segurança é gerado por um produto de detecção, ele é enviado primeiro para a IA em vez de diretamente para o SOC. A IA então emula as técnicas investigativas, fluxos de trabalho e processos de tomada de decisão de um analista humano do SOC para automatizar totalmente a triagem e a investigação. Uma vez concluído, a IA entrega os resultados aos analistas humanos para revisão, permitindo que eles se concentrem em decisões estratégicas em vez de tarefas operacionais.

O processo começa com a IA interpretando o significado do alerta usando um Giant Language Mannequin (LLM). Ele converte o alerta em uma série de hipóteses de segurança, delineando o que poderia estar acontecendo. Para enriquecer sua análise, a IA extrai dados de fontes externas, como feeds de inteligência de ameaças e contexto comportamental de modelos analíticos, adicionando contexto valioso ao alerta. Com base nessas informações, a IA seleciona dinamicamente testes específicos para validar ou invalidar cada hipótese. Uma vez que esses testes são concluídos, a IA avalia os resultados para chegar a um veredito sobre a maldade do alerta ou repetir o processo com dados recém-coletados até que uma conclusão clara seja alcançada.

Após concluir a investigação, a IA sintetiza as descobertas em um relatório detalhado e legível por humanos. Este relatório inclui um veredito sobre a maldade do alerta, um resumo do incidente, seu escopo, uma análise da causa raiz e um plano de ação com orientação prescritiva para contenção e remediação. Este relatório abrangente fornece aos analistas humanos tudo o que eles precisam para entender e revisar rapidamente o incidente, reduzindo significativamente o tempo e o esforço necessários para investigação handbook.

A Agentic AI também oferece recursos avançados de automação por meio de integrações de API com ferramentas de segurança, permitindo que ela execute ações de resposta automaticamente. Depois que um analista humano analisa o relatório de incidente, a automação pode ser retomada em um modo semiautomatizado — onde o analista clica em um botão para iniciar fluxos de trabalho de resposta — ou em um modo totalmente automatizado, onde nenhuma intervenção humana é necessária. Essa flexibilidade permite que as organizações equilibrem a supervisão humana com a automação, maximizando a eficiência e a segurança.

Podemos realmente confiar na IA para automação do SOC?

Uma pergunta comum no setor de segurança é: “A IA está pronta?” ou “Como podemos confiar em sua precisão?” Aqui estão os principais motivos pelos quais a abordagem de IA agêntica é confiável:

1. Rigor do trabalho: Embora analistas humanos possam conduzir investigações profundas, restrições de tempo e grandes cargas de trabalho frequentemente impedem que esses esforços sejam exaustivos e realizados com frequência. A Agentic AI, por outro lado, pode aplicar uma ampla gama de técnicas investigativas a cada alerta que processa, garantindo uma investigação mais completa. Isso aumenta a probabilidade de identificar as evidências necessárias para confirmar ou descartar a maldade de um alerta.
2. Precisão: A IA moderna é alimentada por uma coleção de LLMs de miniagentes especializados, cada um com foco em um domínio estreito — seja segurança, infraestrutura de TI ou redação técnica. Essa abordagem focada permite que os agentes passem o trabalho entre si, semelhante às arquiteturas de microsserviços, evitando problemas como alucinações. Com taxas de precisão na casa dos 90%, esses agentes de IA geralmente superam os humanos em tarefas repetitivas.
3. Investigação Comportamental: A IA se destaca no uso de modelagem comportamental durante triagem e investigação. Ao contrário de analistas humanos, que podem não ter tempo ou experiência para conduzir análises comportamentais complexas, a IA aprende constantemente padrões normais e compara atividades suspeitas com linhas de base para usuários, entidades, grupos de pares ou organizações inteiras. Isso aumenta a precisão de suas descobertas e leva a conclusões mais confiáveis.
4. Transparência: Os analistas do AI SOC mantêm um registro detalhado de cada ação — cada pergunta feita, teste realizado e resultado obtido. Essas informações são facilmente acessíveis por meio de interfaces de usuário, geralmente suportadas por chatbots, simplificando a revisão das descobertas por analistas humanos. Cada conclusão e ação recomendada é apoiada por dados, frequentemente referenciados de forma cruzada com estruturas de segurança do setor, como MITRE ATT&CK. Esse nível de transparência e auditabilidade raramente é atingível com analistas humanos devido ao tempo que levaria para documentar seu trabalho em tal escala.

Resumindo, a IA agentic oferece uma abordagem mais completa, precisa e transparente à automação do SOC, proporcionando às equipes de segurança um alto nível de confiança em suas capacidades.

4 principais benefícios de uma abordagem de IA Agentic para automação de SOC

Ao adotar uma abordagem de IA agêntica, os SOCs podem obter benefícios significativos que aumentam tanto a eficiência operacional quanto o ethical da equipe. Aqui estão quatro vantagens principais dessa tecnologia:

1. Encontrando mais ataques com sinais de detecção existentes: A Agentic AI analisa cada alerta, correlaciona dados entre fontes e conduz investigações completas. Isso permite que os SOCs identifiquem os sinais de detecção que representam ataques reais, descobrindo ameaças que poderiam ter passado despercebidas.
2. Reduzindo o MTTR: Ao eliminar o gargalo handbook de triagem e investigação, a Agentic AI permite que a remediação aconteça mais rápido. O que antes levava dias ou semanas agora pode ser resolvido em minutos ou horas, reduzindo drasticamente o tempo médio de resposta (MTTR).
3. Aumentando a produtividade: O Agentic AI torna possível revisar cada alerta de segurança, algo que seria impossível para analistas humanos em escala. Isso libera os analistas de tarefas repetitivas, permitindo que eles se concentrem em projetos de segurança mais complexos e trabalho estratégico.
4. Melhorando o ethical e a retenção dos analistas: Ao lidar com o trabalho repetitivo de triagem e investigação, a Agentic AI transforma a função dos analistas do SOC. Em vez de fazer tarefas tediosas e monótonas, os analistas podem se concentrar na revisão de relatórios e no trabalho em iniciativas de alto valor. Essa mudança aumenta a satisfação no trabalho, ajudando a reter analistas qualificados e a melhorar o ethical geral.

Esses benefícios não apenas otimizam as operações do SOC, mas também ajudam as equipes a trabalhar de forma mais eficaz, melhorando tanto a detecção de ameaças quanto a satisfação geral no trabalho dos analistas de segurança.

Sobre a Radiant Safety

A Radiant Safety é a primeira e principal fornecedora de analistas de SOC de IA, alavancando IA generativa para emular a experience e os processos de tomada de decisão de profissionais de segurança de primeira linha. Com a Radiant, os alertas são analisados ​​pela IA antes de chegar ao SOC. Cada alerta passa por vários testes dinâmicos para determinar a malícia, entregando resultados prontos para decisão em apenas três minutos. Esses resultados incluem um resumo detalhado do incidente, análise da causa raiz e um plano de resposta. Os analistas podem responder manualmente, com instruções passo a passo geradas pela IA, usar respostas de clique único por meio de integrações de API ou escolher respostas totalmente automatizadas.

Quer saber mais?

Agende uma demonstração com a Radiant para saber mais sobre como um analista de SOC de IA pode turbinar seu SOC.