A integração de modelos de IA diretamente em plataformas estendidas de detecção e resposta (XDR) está proporcionando melhorias revolucionárias na velocidade e precisão da investigação SOC.
Em entrevista exclusiva ao VentureBeat, eSentire revelou que a implantação Claude da Antrópico em toda a sua Plataforma Atlas XDR comprime investigações abrangentes de ameaças de cinco horas para sete minutos, proporcionando uma melhoria de velocidade de 43x, ao mesmo tempo que combina a tomada de decisões de analistas SOC seniores com 95% de precisão.
O SOC corporativo típico lida com aproximadamente 10.000 alertas diários, de acordo com pesquisa da Dropzone AI. Os analistas do SOC dizem à VentureBeat que, em média, eles podem investigar apenas 22% a 25% de todos os alertas. Dependendo de como o SOC foi configurado e se há muita dependência de sistemas legados e não integrados, os falsos positivos podem chegar a 80%. O resultado: ameaças críticas não são investigadas enquanto os analistas passam turnos inteiros em fluxos de trabalho manuais de coleta de evidências.
“Não pretendemos eliminar o trabalho, mas sim proporcionar melhores resultados,” Dustin Hillard, diretor de produtos e tecnologia da eSentiredisse ao VentureBeat. “Isso realmente significa compreender melhor uma ameaça para nossos clientes. Quando dizemos cinco horas de trabalho em poucos minutos, são 30 etapas diferentes de coleta de evidências geradas dinamicamente no contexto daquela investigação de segurança específica.”
A inovação vem da integração da IA no nível da plataforma. A abordagem da ESentire permite Claude da Antrópico para orquestrar fluxos de trabalho com várias ferramentas que correlacionam padrões de ameaças em milhares de pontos de dados simultaneamente, replicando essencialmente a forma como os analistas seniores pensam, mas na velocidade da máquina.
A integração da plataforma representa a próxima evolução do XDR à medida que a adoção da IA acelera
Os copilotos de segurança inicialmente miraram nas dificuldades operacionais que impediam os analistas do SOC de se destacarem em seu trabalho. Eles são extremamente úteis para acelerar a triagem, eliminação de duplicação de alertas, supressão de ruído, ajuste de firewall e muitas outras tarefas. VentureBeat Guia do copiloto de segurançauma matriz comparativa de 16 fornecedores, revela como os copilotos são projetados para serem adaptados aos pontos fortes específicos de uma determinada equipe de analistas do SOC.
A próxima evolução vai além dos copilotos autônomos, à medida que os principais fornecedores de XDR integram modelos de IA de terceiros diretamente em suas plataformas. A abordagem da ESentire com Claude da Antrópico demonstra como a IA profundamente integrada pode transformar os fluxos de trabalho de investigação. As equipes de DevOps e de engenharia da empresa descobriram que a IA integrada à plataforma pode fornecer investigações abrangentes de ameaças, combinando a tomada de decisões dos analistas SOC seniores com 95% de precisão, ao mesmo tempo que reduz o tempo de investigação de cinco horas para menos de sete minutos, proporcionando uma melhoria de velocidade de 43x.
“A abordagem ideal normalmente é usar a IA como um multiplicador de força para analistas humanos, em vez de um substituto,” Vineet Arora, CTO da WinWiredisse ao VentureBeat. “Por exemplo, a IA pode lidar com a triagem inicial de alertas e respostas de rotina a problemas de segurança, permitindo que os analistas concentrem os seus conhecimentos em ameaças sofisticadas e em trabalho estratégico.”
Hillard da eSentire observou: “No início deste ano, por volta de Claude 3.7, começamos a ver a seleção de ferramentas e o raciocínio das conclusões através de múltiplas etapas de coleta de evidências chegarem ao ponto em que correspondiam aos nossos especialistas. Isso é o que realmente nos deixou entusiasmados. Estávamos descobrindo algo que nos permitiria oferecer melhor qualidade de investigação aos nossos clientes, e não apenas eficiência.”
A empresa comparou as investigações autônomas de Claude com seus analistas SOC Tier 3 mais experientes em 1.000 cenários diversos, abrangendo ransomware, movimentação lateral, comprometimento de credenciais e ameaças persistentes avançadas, descobrindo que alcançou 95% de alinhamento com o julgamento de especialistas e 99,3% de supressão de ameaças no primeiro contato.
A orquestração de múltiplas ferramentas replica o raciocínio do analista sênior na velocidade da máquina
eAs equipes de DevOps e P&D da Sentire integraram IA na linha de base de seus Plataforma Atlas XDR para fornecer maior precisão, velocidade e escala nas operações SOC. Claude da Antrópico lida com a orquestração de fluxos de trabalho com várias ferramentas que correlacionam padrões de ameaças em milhares de pontos de dados. O sistema sintetiza evidências de telemetria de endpoint, tráfego de rede, dados de log, ambientes de nuvem, sistemas de identidade e feeds de vulnerabilidade simultaneamente, o que anteriormente forçava os analistas a uma série de etapas de investigação em série que consumiam turnos inteiros.
Hillard explicou que a implantação é executada em Base Amazônicacom LangGraph fornecendo a estrutura de orquestração de agentes que permite a Claude da Anthropic selecionar ferramentas e raciocinar de forma dinâmica por meio de investigações em várias etapas. Cada fluxo de trabalho herda tokens de acesso específicos do cliente que são transmitidos pela plataforma Atlas Actions. Ao adotar essa abordagem, Hillard afirma que todas as chamadas de ferramentas, consultas de dados e integração de fornecedores permanecem seguras no isolamento do locatário.
“Usar o Bedrock foi bastante simples para nós porque estamos na AWS basicamente desde o início da plataforma,” Hillard explicou. “A forma como os modelos Antrópicos são implantados na Bedrock deixa tudo bem trancado de uma forma que nós e nossos clientes nos sentimos confortáveis. Muitos de nossos clientes são empresas de infraestrutura crítica com extrema sensibilidade em relação aos seus dados.”
Quando um incidente é desencadeado, um sistema típico de detecção e resposta tem 15 minutos para contê-lo antes que o movimento lateral ameace a infra-estrutura mais ampla. Essa janela de tempo anteriormente forçava uma triagem rápida que impedia uma investigação profunda. Hillard explica que Claude da Anthropic está ajudando a transformar essa pressão de tempo em uma vantagem, executando uma coleta abrangente de evidências em todas as fontes de telemetria – consultando árvores de processos, conduzindo pesquisas de log em telemetria armazenada, correlacionando incidentes relacionados a partir de dados históricos de tickets e fazendo referência cruzada de inteligência de ameaças ativas.
O Plataforma Atlas XDR O processo de investigação gera dinamicamente aproximadamente 30 etapas de coleta de evidências adaptadas para cada cenário de ameaça específico em três dimensões: análise mais profunda da telemetria de segurança, contexto de incidentes passados relacionados no cliente e inteligência do cenário de ameaças sobre o que os atores ativos de ameaças estão fazendo em toda a base de clientes da eSentire.
Os efeitos de rede amplificam a inteligência sobre ameaças nas implantações dos clientes
Unidade de resposta a ameaças da ESentire usa Claude da Anthropic para pesquisar dados de log, endpoint, rede, nuvem e identidade. Quando a equipe identifica comportamentos emergentes de atores de ameaças — por meio de inteligência de código aberto ou protegendo clientes de infraestrutura crítica que veem os ataques primeiro — eles refletem esses padrões em seus mais de 2.000 clientes para identificar técnicas repetidas antes que ocorram danos.
Um ataque contra um cliente fortalece as defesas de todos os clientes, pois Claude permite que a plataforma Atlas XDR aprenda continuamente com novas ameaças. Hillard disse ao VentureBeat que a caça às ameaças da plataforma fica à frente dos feeds comerciais 35% do tempo e identifica ameaças nunca vistas em feeds comerciais 12% das vezes.
“O que nossos especialistas costumavam levar uma semana para realizar, agora eles podem fazer em uma hora,” Hillard diz. “Quando eles têm uma ideia criativa para testar um novo padrão de análise de dados, trabalho que uma equipe de engenharia poderia levar um mês para construir, agora eles podem fazê-lo diretamente em linguagem natural.”
A mudança de velocidade permite que os analistas testem hipóteses em horas, em vez de semanas, ampliando a experiência humana em vez de substituí-la. Hillard diz que a abordagem está funcionando em escala nas implantações de infraestrutura crítica dos clientes.
Fluxos de trabalho simplificados evitam o esgotamento do analista antes que aconteça
As melhorias de desempenho abordam um desafio crescente da força de trabalho antes que se torne uma crise. Analistas de SOC dizem à VentureBeat que a indústria está a décadas de distância de um SOC completamente autônomo, com muitos analistas contando com integração de cadeira giratória (passando de um sistema para outro para resolver alertas). Esta abordagem fragmentada desperdiça tempo, introduz erros e contribui para o esgotamento do analista.
Mais do que 70% dos analistas do SOC dizem que estão esgotadoscom 66% relatam que metade do seu trabalho é repetitivo o suficiente para ser automatizado. Em conversas anônimas que a VentureBeat conduz regularmente via Signal, os analistas do SOC confidenciam que um mandato de seis meses a um ano se tornou comum. Um analista relatou uma taxa de falsos positivos de 96% em seu ambiente – condições que tornam quase impossível a detecção eficaz de ameaças.
O Bureau of Labor Statistics dos EUA projeta que as posições de analistas de segurança da informação crescerão 33% de 2023 a 2033ultrapassando largamente a média de 4% em todas as profissões. O uso de plataformas baseadas em IA para agilizar os fluxos de trabalho SOC representa uma estratégia crucial para as empresas evitarem o esgotamento antes que isso force seus melhores talentos em segurança a partirem para funções menos exigentes.
A mudança estratégica para IA integrada à plataforma
À medida que as empresas enfrentam um crescimento projetado de 33% em cargos de analistas de segurança até 2033, a IA integrada à plataforma oferece um caminho para dimensionar as operações SOC sem aumentar proporcionalmente o número de funcionários. A mudança de investigações de cinco horas para fluxos de trabalho automatizados de sete minutos não elimina a necessidade de analistas seniores; amplia seus conhecimentos, permitindo que se concentrem na caça sofisticada de ameaças e no trabalho estratégico, em vez de tarefas repetitivas de coleta de evidências.
PA IA integrada à plataforma representa uma mudança fundamental na economia do SOC. A melhoria de velocidade de 43x alcançada pela eSentire demonstra que a IA pode replicar a tomada de decisões de analistas de elite com 95% de precisão quando integrada adequadamente no nível da plataforma – não substituindo a experiência humana, mas automatizando os fluxos de trabalho que anteriormente consumiam turnos inteiros e deixavam ameaças críticas sem investigação.
A questão para os líderes de segurança empresarial é com que rapidez as organizações podem integrar a IA no nível da plataforma para melhorar o desempenho do SOC antes que a combinação de sobrecarga de alertas e fluxos de trabalho manuais leve os analistas a sair. Para proteção de infraestrutura crítica, a capacidade de investigar ameaças 43 vezes mais rápido, mantendo 95% de precisão e alinhado com analistas seniores, representa a diferença entre ficar à frente dos adversários e ficar para trás.
