Inteligência Artificial Agenética para Cibersegurança: Casos de Uso e Exemplos

A IA Agética refere-se a sistemas de IA que combinam modelos como os Grandes Modelos de Linguagem (LLMs) com fluxos de trabalho automatizados, integração de ferramentas e suporte à decisão. Esses sistemas auxiliam as equipes de segurança em SecOps e AppSec, analisando alertas, automatizando tarefas rotineiras e apoiando trabalhos de investigação.

As ferramentas de IA com agentes geralmente operam sob supervisão humana. Elas não tomam decisões de segurança totalmente autônomas em ambientes de produção.

Explore casos de uso estruturados e reais de IA agente em cibersegurança, bem como o que esses agentes fazem, como funcionam e suas limitações práticas:

Exemplos de agentes de IA em cibersegurança

• Agentes de nível 1
  • Auxiliar na detecção inicial e triagem de alertas.
  • Realizar classificação, desduplicação e enriquecimento de alertas.
  • Forneça contexto para que os analistas possam priorizar as ameaças.
• Agentes de nível 2
  • Executar ações predefinidas sob supervisão humana.
  • Exemplos de tarefas: isolar os sistemas afetados, iniciar o protocolo de contenção baseado em instruções pré-definidas.
• Agentes de nível 3
  • Apoiar análises avançadas de ameaças.
  • Exemplos de funcionalidades: correlação de telemetria entre sistemas, auxílio na busca de ameaças, varredura de vulnerabilidades .

Os agentes de nível 3 não substituem os analistas humanos, mas complementam seu fluxo de trabalho.

Inteligência artificial ativa para fluxos de trabalho de cibersegurança

Ao contrário da automação simples baseada em regras encontrada em sistemas de segurança tradicionais, a IA agente pode orquestrar múltiplas ferramentas, integrar informações contextuais de diversas fontes e apoiar a tomada de decisões processando dados não estruturados. No entanto, esses sistemas geralmente operam com supervisão humana ou políticas predefinidas, em vez de aprendizado e controle totalmente autônomos em ambientes de produção.

A IA agente aproveita sua capacidade de aprender dinamicamente com o ambiente. ¹ Aprimora as atividades de cibersegurança por meio de:

• Monitoramento contínuo e resposta a ameaças em tempo real.
• Automatizando tarefas repetitivas de SOC com intervenção humana mínima
• Oferecer suporte contextual à decisão

Arquitetura de agentes de IA integrados com inferência de IA, para sua interação com LLMs e dados corporativos para automação de SOC :

Adaptado de: Cloudera ²

Saiba mais: IA no SOAR .

Principais funcionalidades das ferramentas de cibersegurança com IA da Agentic

As principais funcionalidades das ferramentas de IA para cibersegurança incluem:

• IntelTriagem e enriquecimento de alertas inteligentes : Os sistemas de agentes podem classificar e priorizar alertas, reduzindo o ruído e ajudando os analistas do SOC a se concentrarem em ameaças significativas.
• Assistência automatizada à investigação : Esses sistemas podem coletar informações contextuais (por exemplo, inteligência sobre ameaças, correlações de registros) e resumir as descobertas para analistas humanos.
• Contenção e execução de planos de ação : A IA agente pode executar ações de contenção, como colocar um host em quarentena ou impor restrições de acesso definidas em planos de ação automatizados, sujeitos à governança e supervisão humana.
• Suporte à busca de ameaças : Eles auxiliam os analistas correlacionando indicadores de comprometimento (IOCs) em diferentes fontes de dados e sugerindo hipóteses investigativas, embora ainda seja necessária uma interpretação humana substancial.
• Análise e priorização de vulnerabilidades : os sistemas de IA ajudam a analisar e classificar vulnerabilidades em grande escala para auxiliar na priorização de recursos.

Exemplo de fluxo de trabalho: Agente de IA para detecção de vulnerabilidades (Nível 1)

Em provas de conceito de cibersegurança, agentes de IA foram implementados para dar suporte a fluxos de trabalho de varredura e triagem de vulnerabilidades, interagindo com APIs que fornecem dados sobre vulnerabilidades e orquestrando tarefas como criação de tickets ou geração de relatórios.

Além de sistemas corporativos como o Dropzone AI, também existem implementações desenvolvidas manualmente, onde agentes de Nível 1 lidam com a detecção inicial e a triagem de potenciais ameaças à segurança.

Aqui está uma demonstração de como criar um agente automatizado de detecção de vulnerabilidades no ambiente sandbox do DevNet:

Arquitetura agentiva utilizada na demonstração: O agente interage com uma interface de front-end (como a Streamlit UI) e um agente roteador (ACCS), enviando APIs REST e comandos em uma direção e recebendo respostas, seja em JSON ou texto bruto, na outra direção.

Fluxo de trabalho e interações entre agentes

1. Solicitação: O usuário insere uma solicitação, como "O R1 é vulnerável? Em caso afirmativo, abra um chamado no ServiceNow e envie um relatório para a equipe de segurança por e-mail para xyz@gmail.com."

2. Processamento inicial: O agente recebe a solicitação e a analisa. Ele identifica que a tarefa é verificar a vulnerabilidade do Roteador 1 (R1), abrir um chamado de problema no ServiceNow e enviar um relatório por e-mail para o endereço especificado.

3. Execução de consultas: O agente de front-end (interface do usuário Streamlit) e o agente de roteamento (ACCS) comunicam-se entre si. O agente de roteamento consulta o sistema para obter o status do Roteador 1, verificando a existência de vulnerabilidades. Ele determina dinamicamente os comandos necessários e os executa (por exemplo, usando o comando show version para recuperar detalhes da versão).

4. Coleta de dados: O agente do roteador coleta os dados necessários, como a versão do Roteador 1, e envia esses dados para a API do PSIRT para verificar se há alguma vulnerabilidade conhecida associada a essa versão.

5. Detecção de vulnerabilidades: O sistema consulta a API do PSIRT, recebe os resultados (em JSON ou texto bruto) e processa as informações. Ele identifica se existem vulnerabilidades de alto risco relacionadas ao Roteador 1.

6. Execução da ação: Se vulnerabilidades forem detectadas:

• Um chamado de suporte é aberto automaticamente no ServiceNow.
• O agente deve reportar a vulnerabilidade por e-mail à equipe de segurança.

Veja o relatório de vulnerabilidades gerado pelo agente de IA:

> Casos de uso reais: IA Agencial em SecOps

1. Triagem e investigação

• Os agentes agrupam alertas, removem duplicados e enriquecem os alertas com o contexto da ameaça.
• Exemplo de enriquecimento: verificações de indicadores de comprometimento (IOCs), informações de endpoints e contas.
• Os analistas humanos ainda revisam os resultados para evitar falsos positivos.

Exemplo da vida real: agentes de IA utilizando triagem e investigação.

Desafios : A configuração inicial de segurança de uma seguradora digital exigia gerenciamento manual de alertas, o que demandava muitos recursos.

• Alto volume de alertas de segurança
• Processos demorados
• Necessidade de monitoramento contínuo 24 horas por dia, 7 dias por semana.

Soluções: A empresa implantou agentes de IA de cibersegurança e integrou esses agentes com sistemas existentes como AWS, Workspace e Okta.

Consequências:

• A redução da carga de trabalho manual permitiu que os analistas do SOC priorizassem tarefas de maior valor agregado.
• Relatórios de investigação detalhados proporcionaram um nível granular de análise, aumentando a visibilidade do COI (indicador de comprometimento).
• A redução de falsos positivos melhorou a precisão na detecção de ameaças. ⁴

2. Suporte à busca de ameaças

A IA agente pode ser usada em sistemas de cibersegurança para detectar e responder a ameaças em tempo real.

Por exemplo, esses agentes podem identificar comportamentos incomuns na rede e isolar os dispositivos afetados de forma autônoma para evitar uma violação de segurança sem intervenção humana.

• Os agentes ajudam os analistas a detectar comportamentos incomuns na rede.
• Eles categorizam os alertas por indicadores atômicos, computacionais e comportamentais.
• Eles correlacionam indicadores em dados históricos e em tempo real.
• Os analistas interpretam as etapas de investigação sugeridas; a IA não substitui o julgamento de especialistas.

Estudo de caso real: Agentes de IA utilizando a detecção de ameaças

Desafios: O Sistema de Saúde da Universidade do Kansas teve dificuldades na coordenação da resposta a incidentes. Alguns dos principais desafios incluem:

• Falta de visibilidade
• Resposta limitada a incidentes
• Restrições de recursos humanos

Soluções: A universidade implementou uma plataforma de segurança com recursos de IA para melhorar a visibilidade e automatizar a busca por ameaças na resposta a incidentes.

Consequências:

• A visibilidade entre os sistemas aumentou em mais de 98%.
• A cobertura de detecção melhorou em 110% em seis meses.
• Os processos automatizados de resposta a incidentes filtraram e resolveram 74.826 dos 75.000 alertas, encaminhando apenas 174 para revisão manual.
• Entre os alertas que receberam atenção especial, o número de verdadeiros positivos foi de 38, reduzindo o ruído e permitindo respostas mais direcionadas. ⁵

3. Ações de resposta

Os agentes podem gerar modelos de infraestrutura como código (por exemplo, OpenTofu, Pulumi). Eles podem executar ações em endpoints ou atualizar controles de segurança sob supervisão humana.

Exemplo da vida real: agentes de IA que utilizam ações de resposta.

Desafios: A APi Group, uma organização de distribuição, enfrentou os seguintes desafios de cibersegurança:

• Diversas camadas de tecnologia
• Visibilidade em todo o ecossistema

Soluções : Para lidar com os desafios acima, o APi Group implementou a plataforma de IA agente da ReliaQuest para aprimorar a detecção de ameaças em seus ambientes Microsoft.

Consequências:

• Redução do tempo de resposta em 52% por meio de automação e manuais integrados.
• Obtivemos um aumento de 47% na visibilidade em todas as plataformas do Office 365, Cisco e Palo Alto.
• Ampliação da cobertura do MITRE ATT&CK em 275%. ⁶

Inteligência artificial ativa e operações de segurança (SecOps) explicadas

Operações de segurança (SecOps) é uma abordagem colaborativa entre as equipes de segurança de TI e de operações de TI, focada na identificação, detecção e resposta proativa a ameaças cibernéticas.

O problema:

Os profissionais de SecOps enfrentam um nível significativo de fadiga, já que as equipes lidam com um grande volume de dados provenientes de diversos sistemas e com ameaças em rápida evolução, ao mesmo tempo que precisam navegar por estruturas organizacionais complexas e requisitos de conformidade.

Como a IA agente ajuda:

A IA é especialmente eficaz em "tarefas de raciocínio", como analisar alertas, realizar pesquisas preditivas e sintetizar dados de ferramentas.

Assim, os agentes de IA em SecOps podem ajudar a automatizar tarefas que exigem análise e tomada de decisão em tempo real, como phishing, malware, violações de credenciais, movimentação lateral e resposta a incidentes.

Por exemplo, essas ferramentas podem ser treinadas com base no conhecimento do MITRE ATT&CK para simular a experiência de analistas humanos ou usar manuais de resposta a incidentes para:

• enriquecer alertas
• detectar sistemas afetados
• isolar/triar sistemas infectados
• criar relatórios de incidentes

Ferramentas de cibersegurança com IA ativa, como o Trase, podem automatizar grande parte do trabalho de conformidade com padrões como SOC 2 e HIPAA. ⁷

Fonte: SCALE ⁸

> Casos de uso na vida real: IA Agencial em Segurança de Aplicativos

4. Identificação de riscos

A IA Agenic atua como uma sentinela vigilante, analisando continuamente seu ambiente em busca de ameaças e vulnerabilidades potenciais em aplicativos e bases de código. Os agentes de IA podem executar descobertas externas e internas para identificar ameaças.

Descoberta externa:

• Armazenar e classificar dados sobre seus aplicativos e APIs.
• Analisando servidores web expostos.
• Descobrindo portas abertas em endereços IP voltados para a internet.

Descoberta interna:

• Avaliar configurações de tempo de execução, identificar problemas e priorizar.
• Visualização da acessibilidade e funcionalidade da API
• Visualização e utilização da API do aplicativo
• Monitoramento de carga de trabalho da API AWS e Azure sem agente
• Análise de volume e padrões de tráfego de aplicativos

5. Criação e adaptação de testes de aplicação

Os agentes de IA geram testes automaticamente com base nas interações do usuário com o aplicativo. À medida que os testadores ou desenvolvedores usam a ferramenta para capturar casos de teste, a IA monitora e cria scripts de teste.

Se a interface do usuário do aplicativo for alterada (por exemplo, se o ID de um elemento ou o layout mudar), o agente de IA poderá identificar essas alterações e personalizar os scripts de teste para evitar falhas.

6. Execução dinâmica de testes de aplicativos

A IA agética executa testes continuamente em contextos variados (por exemplo, em diversos navegadores e dispositivos) sem interação humana. Os agentes de IA podem agendar testes e analisar o comportamento do aplicativo de forma autônoma para garantir uma cobertura completa dos testes.

Eles também podem personalizar dinamicamente os parâmetros de teste, como copiar diferentes entradas de dados do usuário ou alterar as condições da rede, para permitir uma análise mais completa do aplicativo.

7. Relatórios autônomos e sugestões preditivas

Os agentes de IA podem examinar dados de testes de aplicativos de forma autônoma, encontrando padrões de falhas e determinando as causas principais.

Por exemplo, se vários testes falharem devido ao mesmo problema, o Agente de IA combinará as descobertas e destacará o problema subjacente para a equipe de desenvolvimento.

Com base em dados de testes anteriores, os agentes de IA podem prever possíveis falhas futuras e recomendar metodologias de teste de aplicativos para solucionar esses problemas.

8. Remediação autônoma

A IA agética automatiza o processo de remediação; por exemplo, se o agente de IA detectar que determinados testes são redundantes ou não abrangem adequadamente riscos específicos, ele pode otimizar o conjunto de testes, excluindo testes irrelevantes e priorizando aqueles que se concentram em áreas mais pertinentes.

O agente de IA também pode detectar quando um teste falha devido a pequenos erros (como uma pequena alteração na interface do usuário) e "corrigir" o script de teste para que esteja em conformidade com a aplicação revisada, eliminando falsos positivos e exigindo menos intervenção manual.

9. Testes de intrusão automatizados

A IA agética automatiza o processo de teste de penetração , incluindo a identificação de vulnerabilidades, a geração de planos de ataque e a execução. Algumas práticas-chave de agentes de IA em iniciativas de teste de penetração incluem:

Simulação de adversários em tempo real:

• Realização de simulações, como ataques de engenharia social, de rede e de aplicativos.
• Executar testes de penetração, como o DAST (teste dinâmico de segurança de aplicações).

Reconhecimento :

• Realizar varreduras na internet, incluindo a deep web, a dark web e a surface web, para detectar ativos de TI expostos (por exemplo, portas abertas, buckets de nuvem mal configurados).
• Integração de OSINT (inteligência de código aberto) e inteligência de ameaças para mapear superfícies de ataque.

Inteligência Artificial Agética e Segurança de Aplicações (AppSec) explicadas

A segurança de aplicativos envolve a proteção dos aplicativos durante todo o seu ciclo de vida, que abrange design, desenvolvimento, implantação e manutenção contínua.

O problema:

À medida que os aplicativos hospedados se tornaram cada vez mais importantes como principais impulsionadores de receita para empresas de grande porte, o mesmo aconteceu com a sua segurança. Isso gerou tendências recentes como:

• A ampla utilização de aplicativos em nuvem e SaaS fez com que a segurança fosse antecipada no ciclo de vida de desenvolvimento de software (SDLC) para minimizar os riscos antes que cheguem à produção.
• Com o aumento da programação nativa em nuvem, houve uma maior migração para plataformas de terceiros, como a AWS, o que torna a superfície de ataque dos aplicativos mais exposta a vulnerabilidades.

Como resultado do aumento da superfície de ataque e do potencial de vulnerabilidade, os atacantes desenvolveram métodos novos e criativos para comprometer aplicativos.

Como a IA agente ajuda:

A IA Agentic pode ajudar a aprimorar a segurança de aplicativos (AppSec) integrando e automatizando vários estágios do ciclo de vida do aplicativo para melhorar a segurança, incluindo o monitoramento de seus pipelines de CI/CD ou a automação de seus testes de penetração.

Desafios da IA agente na cibersegurança

1. Falta de transparência e interpretabilidade

• Tomada de decisões opaca: as operações e os sistemas de segurança orientados por IA podem ser difíceis de interpretar, especialmente quando modificam políticas ou decisões de segurança por conta própria. Engenheiros de teste e desenvolvedores podem ter dificuldades para compreender por que certas ações foram tomadas ou para confirmar as decisões da IA.

• Confiança e confiabilidade: Sem explicações explícitas, pode ser difícil para as equipes confiarem nas recomendações ou revisões da IA, o que pode levar à resistência na implementação de soluções de IA autônomas.

2. Preocupações com a qualidade dos dados

• Dependência de dados: os agentes de IA precisam de dados diversificados para aprender a executar ações com eficácia. Dados insuficientes ou tendenciosos podem resultar em ações falsas ou previsões incorretas.

• Casos extremos em configurações de sistema: Se a infraestrutura de TI de uma organização incluir configurações personalizadas ou combinações de software raras, um agente de IA pode interpretar erroneamente comportamentos normais como anomalias ou falhar na detecção de ameaças reais.

3. Manter a confiabilidade

• Falsos positivos e falsos negativos: a IA agética pode classificar incorretamente dados relacionados a SecOps ou AppSec, resultando em falsos positivos (relatando bugs inexistentes) ou falsos negativos (falhando na detecção de problemas reais). Esses erros podem comprometer a confiança no sistema e exigir intervenção manual para validar os resultados.

• Problemas de adaptabilidade: Embora a IA agente seja projetada para se adaptar a mudanças, certas alterações complexas ou inesperadas no aplicativo (por exemplo, grandes reformulações da interface do usuário ou mudanças na arquitetura de back-end) ainda podem causar falhas nas operações de segurança, exigindo intervenção humana para atualizar os modelos da IA.

4. Complexidade de implementação

• Dificuldade em garantir a integração de APIs: Agentes de IA frequentemente interagem com sistemas externos; portanto, proteger as APIs é fundamental. A tokenização e a validação de APIs são medidas que ajudam a garantir uma interação confiável.

• Treinamento e implantação: Para serem eficazes, os modelos de IA agentes devem ser treinados em grandes conjuntos de dados e cenários diversos, o que pode ser demorado e exigir muitos recursos.

5. Requisitos de supervisão humana

• Monitoramento contínuo: Embora a IA ativa vise reduzir a intervenção humana, ela ainda requer monitoramento e manutenção para garantir seu funcionamento adequado. As equipes de segurança precisam verificar os resultados da IA, ajustar os modelos conforme necessário e intervir quando a IA se depara com cenários complexos ou inesperados.

• Requisitos de pessoal altamente qualificado: Gerenciar IA ativa exige conhecimento especializado em IA, aprendizado de máquina ou segurança de aplicativos. As organizações podem ter dificuldade em encontrar ou treinar funcionários com as habilidades necessárias.

Considerações finais

A IA ativa tem o potencial de aprimorar as operações de cibersegurança, melhorando os tempos de resposta e aliviando a carga sobre as equipes de segurança.

No entanto, desafios Fatores como a falta de transparência, preocupações com a qualidade dos dados e falsos positivos/negativos podem aumentar a dificuldade geral de implantar soluções de IA assertivas de forma eficaz.

Implementação bem-sucedida A aplicação de IA agente em operações requer pessoal qualificado, monitoramento e atualizações contínuas, processos eficazes de validação de falsos positivos e atenção a outros desafios importantes.

Links de referência

1.

AI Model Security: A CISO’s Complete Guide

SentinelOne

2.

AI-Driven SOC Transformation with Cloudera: Enhancing Security Operations with Agentic AI | Blog | Cloudera

3.

Network Security AI Agent: Automated Vulnerability Reports! - YouTube

4.

5.

6.

APi Group Increases Visibility by 47% - ReliaQuest

7.

Trase | A Smarter Way to Work, Powered by AI

Trase

8.

AI SOC Analysts: LLMs find a home in the security org | Insights | Scale

Scale Venture Partners

Cem Dilmegani

Analista Principal

Siga-nos

Cem é o analista principal da AIMultiple desde 2017. A AIMultiple fornece informações para centenas de milhares de empresas (segundo o SimilarWeb), incluindo 55% das empresas da Fortune 500, todos os meses. O trabalho de Cem foi citado por importantes publicações globais, como Business Insider, Forbes e Washington Post, além de empresas globais como Deloitte e HPE, ONGs como o Fórum Econômico Mundial e organizações supranacionais como a Comissão Europeia. Você pode ver mais empresas e recursos renomados que mencionaram a AIMultiple. Ao longo de sua carreira, Cem atuou como consultor de tecnologia, comprador de tecnologia e empreendedor na área. Ele assessorou empresas em suas decisões tecnológicas na McKinsey & Company e na Altman Solon por mais de uma década. Também publicou um relatório da McKinsey sobre digitalização. Liderou a estratégia de tecnologia e a área de compras de uma empresa de telecomunicações, reportando-se diretamente ao CEO. Além disso, liderou o crescimento comercial da empresa de tecnologia avançada Hypatos, que atingiu uma receita recorrente anual de sete dígitos e uma avaliação de nove dígitos, partindo de zero, em apenas dois anos. O trabalho de Cem no Hypatos foi noticiado por importantes publicações de tecnologia, como TechCrunch e Business Insider. Cem participa regularmente como palestrante em conferências internacionais de tecnologia. Ele se formou em engenharia da computação pela Universidade Bogazici e possui um MBA pela Columbia Business School.

Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios.

Nome

Endereço de email

Comentário

0/450

Postar comentário