Como dominar a inteligência de múltiplas fontes com agentes de IA

Como dominar a inteligência de múltiplas fontes com agentes de IA

Se você passou algum tempo em um Centro de operações de segurança (SOC), Você já vivenciou este cenário: um alerta é disparado e o primeiro instinto do analista é começar a enriquecer os dados. Ele acessa o VirusTotal para verificar o hash. Em seguida, consulta o Recorded Future para obter o contexto da campanha. Verifica o histórico de DNS no Cisco Umbrella. Talvez ele também tenha um feed interno de TI ou uma associação ao ISAC integrados. Cada fonte retorna sua própria pontuação, seu próprio formato, seu próprio veredicto e, na metade das vezes, eles se contradizem.

Então, o analista faz o que analistas sempre fazem. Abre seis abas, pondera mentalmente os resultados com base na experiência e na intuição, e toma uma decisão. Esse processo leva de 15 a 30 minutos por indicador, e a “metodologia” para chegar a uma conclusão reside inteiramente na cabeça desse analista. Quando ele vai para casa à noite ou deixa a empresa, esse raciocínio vai embora com ele.

Este é o inteligência de ameaças (TI) problema de correlação, e existe desde que entrei na área de segurança. O desafio nunca foi obter acesso à inteligência de ameaças, mas sim interpretá-la com rapidez e em grande escala. É isso que torna o Agente de Inteligência de Ameaças de IA Herói um dos agentes especialistas mais úteis na prática na frota de agentes de IA da Swimlane dentro do Plataforma de turbina. Não se limita a consultar suas fontes de TI. Ele as correlaciona e sintetiza, produzindo uma análise unificada diretamente no caso, para que o analista obtenha uma avaliação única e explicável em vez de seis abas e muita tentativa e erro.

O Problema do Raciocínio com a Inteligência de Ameaças de Múltiplas Fontes

Eis o que torna a correlação de dados de múltiplas fontes tão difícil para os humanos: não se trata apenas de um problema de dados, mas sim de raciocínio. Quando o VirusTotal mostra um arquivo com uma taxa de detecção de 3/72 e o Recorded Future sinaliza o IP associado como vinculado a uma campanha APT conhecida, enquanto o Umbrella mostra que o domínio foi registrado há dois dias, o que você faz com isso? Cada ponto de dados é um fragmento. O valor está em como você os pondera e conecta.

Seus analistas seniores fazem isso muito bem. Ao longo dos anos, eles desenvolveram uma intuição sobre quais fontes são mais confiáveis para cada tipo de indicador, como interpretar as discrepâncias entre pontuações conflitantes e quando uma baixa contagem de detecções é, na verdade, mais preocupante do que uma alta. Esse raciocínio é incrivelmente valioso e quase nunca é documentado.

O Poder da Correlação Autônoma

Este é exatamente o padrão que os agentes de IA especializados conseguem lidar bem. Não porque o agente seja mais inteligente do que o seu melhor analista, mas porque ele consegue aplicar um raciocínio consistente a todos os indicadores, sempre, na velocidade de uma máquina. Ele não se cansa às 2 da manhã. Não pula etapas de enriquecimento porque a fila tem 200 alertas. E, crucialmente, ele mostra o seu trabalho, para que, quando um analista revise o resultado, possa ver exatamente como o agente ponderou cada fonte e chegou à sua conclusão.

O IA Heroica O Threat Intelligence Agent agrega dados de todas as suas fontes de inteligência configuradas, VirusTotal, Cisco Umbrella, Recorded Future e quaisquer outras que você tenha integrado, e produz uma análise unificada entre as fontes diretamente no arquivo do caso. Sem precisar alternar entre abas. Sem malabarismos mentais. Uma visão consolidada com o raciocínio apresentado.

O CISO da Swimlane, Michael Lyborg, chamou esse agente de "um divisor de águas para a inteligência de ameaças" ao descrever como seu SOC interno o utiliza. Acredito que o motivo pelo qual ele ressoa tão fortemente entre os profissionais da área é que resolve um problema que todos reconhecem, mas para o qual ninguém tinha uma solução definitiva. Já tivemos plataformas de inteligência de ameaças, feeds de inteligência de ameaças, agregadores de inteligência de ameaças, mas a etapa de correlação e síntese sempre ficou a cargo do analista. Este agente integra essa etapa ao próprio fluxo de trabalho.

Dê uma olhada no sistema de IA SOC da Swimlane.

Apresentando o Agente de Inteligência de Ameaças Hero AI

O Agente de Inteligência de Ameaças Hero é o segundo agente que quero analisar em detalhes (já abordei o Agente MITRE ATT&CK & D3FEND (como mencionado na primeira publicação desta série). Enquanto o agente MITRE padroniza a forma como você descreve ataques e defesas, o agente TI padroniza a forma como você sintetiza informações. Juntos, eles começam a formar a camada de contexto da qual todas as outras decisões dependem.

Saiba mais sobre a Hero AI

Como funciona o agente de IA de inteligência de ameaças

Veja como funciona na prática. Quando um caso é criado ou um indicador precisa de enriquecimento, o Agente de Inteligência de Ameaças (TI Agent) consulta automaticamente todas as fontes de inteligência de ameaças às quais seu ambiente está conectado. Ele coleta dados de reputação, associações de campanhas, registros históricos, detalhes de registro de domínio, análise comportamental, enfim, tudo o que cada fonte fornece. Em seguida, em vez de despejar seis resultados brutos no caso para o analista analisar, ele os sintetiza em uma única análise unificada.

Essa síntese é o que importa. O agente não se limita a calcular a média das pontuações ou escolher a mais alta. Ele analisa diversas fontes, ponderando taxas de detecção, confiabilidade da fonte, tipo de indicador, contexto temporal e associações com campanhas, para produzir uma avaliação que reflita a conclusão a que um analista bem informado chegaria se tivesse tempo para revisar minuciosamente cada fonte. A principal diferença: o agente faz isso em segundos, sempre, para cada indicador.

Isso alimenta diretamente os outros Agentes de IA Heróis. Agente de veredicto Utiliza a saída do Agente de TI, juntamente com o contexto histórico do caso e artigos da base de conhecimento (BC), para gerar uma decisão. Agente de Investigação usa-o para construir seu plano de investigação de ponta a ponta. Agente MITRE mapeia as técnicas de ataque. Cada agente executa sua função, envia sua saída adiante e o resultado é um dossiê mais completo e consistente do que o produzido manualmente pela maioria dos SOCs, não porque a IA seja mágica, mas porque ela não pula etapas.

Veja uma demonstração de um minuto do Agente de IA de Inteligência de Ameaças.

Certeza Quantitativa: O Índice de Confiança da Hero AI

Uma das coisas que sempre enfatizo quando falo sobre IA no SOC é explicabilidade. Não basta um agente dizer: "Isto é malicioso". É preciso saber por que Chegou-se a essa conclusão, quais fontes contribuíram, como foram ponderadas e onde houve discordância. Sem isso, você está apenas trocando uma caixa preta (a intuição do analista) por outra (o resultado do modelo).

A pontuação de confiança do agente Hero AI aborda isso diretamente. Em vez de retornar um veredicto binário bom/ruim ou um único número de risco opaco, o Agente TI produz uma avaliação ponderada pela confiança que reflete o grau de concordância entre as fontes, a qualidade e a atualidade dos dados e a cadeia de raciocínio específica que levou à conclusão.

Isso é importante operacionalmente por alguns motivos. Primeiro, oferece aos analistas uma maneira rápida de priorizar quanta atenção um indicador precisa.

• Alto nível de confiança, claramente malicioso? O Agente de Veredicto provavelmente pode encerrar isso de forma autônoma. 
• Confiança moderada com fontes conflitantes? Um analista deve examinar a situação, pois saberá exatamente onde concentrar seus esforços, já que o raciocínio é transparente. 
• Baixa confiança? O agente sinaliza que são necessários mais dados, em vez de considerar que se trata de uma decisão errada.

Em segundo lugar, e esta é a parte que acredito que os líderes de segurança subestimam, a pontuação de confiança cria uma base mensurável para a eficácia do seu programa de Inteligência de Transparência (TI). Ao longo do tempo, você pode acompanhar com que frequência as avaliações de alta confiança do agente se alinham com os resultados reais. Você pode identificar quais fontes de TI contribuem consistentemente com sinal e quais com ruído. Você pode tomar decisões baseadas em dados sobre quais feeds valem a pena renovar e quais estão apenas adicionando volume sem valor. Isso é gerenciamento de programa de TI respaldado por evidências, não por apresentações de slides de fornecedores.

O paradoxo da inteligência de ameaças e por que os agentes inteligentes mudam a equação.

Deixe-me dar um passo atrás por um segundo, porque o Agente TI ilustra um ponto mais amplo sobre como Agentes de IA conquistar seu lugar na SOC.

A abordagem tradicional para inteligência de ameaças é aditiva: comprar mais feeds, integrar mais fontes e contratar mais analistas para revisar os resultados. O problema é que cada nova fonte adiciona tanto sinal quanto ruído, e o ônus da correlação recai inteiramente sobre os humanos. Em algum momento, o valor marginal de um feed adicional se torna negativo porque sua equipe não consegue processar o que já possui.

Um agente de IA inverte essa equação. Em vez de mais entradas gerarem mais trabalho, mais entradas geram uma síntese melhor. Cada fonte de TI adicional que você conecta ao agente aprimora a correlação e torna a pontuação de confiança mais precisa. O agente melhora à medida que seu programa de inteligência cresce, o que é exatamente o oposto do que acontece quando humanos realizam a correlação manualmente.

O poder de uma rede de agentes de IA para a confiança progressiva.

É isso que quero dizer quando falo em construir uma sinfonia de agentes, cada um conquistando, com o tempo, o direito de ter mais peso. O Agente de TI começa mostrando sua análise unificada juntamente com as conclusões que seus analistas teriam obtido. Você compara, avalia e constrói confiança. À medida que os resultados se mostram consistentes, você começa a confiar neles para enriquecer os casos sem que um analista precise revisar cada indicador. Eventualmente, os resultados de alta confiabilidade alimentam diretamente a decisão automatizada por meio do Agente de Veredicto, e sua equipe dedica seu tempo aos casos ambíguos que realmente exigem julgamento humano.

Isso é confiança progressiva aplicada à inteligência de ameaças. E quando você combina isso com o agente MITRE, que padroniza a linguagem de ataque, e o mapeamento D3FEND, que mostra o que suas ferramentas já abrangem, você começa a ter um SOC que não apenas responde mais rápido, mas também com um nível de consistência e documentação que a maioria das equipes não consegue alcançar manualmente.

Na próxima publicação, vou analisar em detalhes o Agente de Veredicto e como a disposição da IA explicável funciona na prática. É aí que o modelo de confiança progressiva é realmente testado, porque encerrar um caso de forma autônoma é uma aposta muito maior do que enriquecer um indicador. Fiquem ligados.