Detecção de ameaças com MITRE ATT&CK e agente de IA D3FEND

Detecção de ameaças com MITRE ATT&CK e agente de IA D3FEND

Eis uma pergunta que não ouço muitos líderes de segurança fazerem: Será que sabemos realmente quais das nossas ferramentas atuais já oferecem proteção contra as ameaças que vemos todos os dias?

A maioria das equipes de segurança adotou MITRE ATT&CK De alguma forma. Tornou-se a linguagem comum de como os adversários operam, e isso é ótimo. Mas o ATT&CK conta apenas metade da história; ele descreve o que o atacante fez. O que ele não mostra é o que você já tem implementado para impedi-lo. É aí que entra o ATT&CK. MITRE D3FEND É aí que entra o fator-chave, e é nesse ponto que eu acho que a maioria das organizações está deixando escapar um valor considerável.

O problema é que mapear manualmente os alertas para as técnicas do ATT&CK, sem falar na comparação com as contramedidas do D3FEND, não é escalável. É tedioso, inconsistente e, sejamos honestos, a maioria dos analistas ignora essa etapa quando a fila de alertas está grande. O resultado são mapeamentos incompletos, falta de contexto defensivo e um CISO que não consegue articular o que sua infraestrutura de segurança realmente abrange.

Este é o tipo de problema que um equipamento construído especificamente para esse fim pode resolver. Agente de IA resolve bem. Não se trata de um modelo gigantesco tentando abraçar o mundo inteiro, mas sim de um agente focado que realiza uma tarefa específica com nível de análise ou superior. Nesse caso, a habilidade especializada do agente consiste em mapear seus alertas para estruturas padronizadas e apresentar os recursos de defesa que você já possui. É exatamente isso que ele faz. Herói de Swimlane AI MITRE ATT&CK e agente D3FEND faz dentro Turbina Swimlane, E é um dos primeiros agentes no que está se tornando uma frota crescente.

O SOC de IA precisa de uma frota, não de um único cérebro.

Venho dizendo isso há algum tempo, e o setor está finalmente percebendo: o caminho para um SOC com IA não passa por um único mega-agente que tenta substituir um analista inteiro. Trata-se de uma frota de pequenos agentes especializados, cada um responsável por uma etapa específica do fluxo de trabalho do analista: enriquecimento, desduplicação, coleta de contexto, formulação de hipóteses, recomendação e descarte. Cada agente conquista a confiança de forma independente, demonstrando que consegue igualar ou superar o trabalho que seus analistas fariam.

Apresentando os primeiros Agentes Especialistas em IA Hero

Swimlane's IA Heroica adota essa abordagem com quatro agentes fundamentais: o Agente de veredicto para a resolução do caso, o Agente de Inteligência de Ameaças Para correlação TI entre fontes cruzadas, o Agente de Investigação para planos de investigação de ponta a ponta e o MITRE ATT&CK & D3FEND Agent para mapeamento de estrutura. Eles são os primeiros de uma frota que está se expandindo por Mercado Swimlane e um construtor de agentes que permite às equipes criar os seus próprios.

A razão pela qual essa arquitetura é importante não é apenas técnica, mas também operacional. Quando cada agente tem um escopo restrito, você pode avaliá-lo, medi-lo e construir confiança gradualmente. Você não precisa confiar cegamente na "IA". Você precisa confiar que este agente específico mapeia alertas de phishing para técnicas do ATT&CK, assim como para seu analista de segundo nível. Esse é um problema muito mais fácil de resolver.

Análise detalhada: como funciona o agente MITRE

O agente faz algo enganosamente simples, mas operacionalmente poderoso: ele ingere alertas de segurança de suas fontes de log, endpoints e eventos de rede, e os mapeia em tempo real para técnicas do ATT&CK e contramedidas defensivas do D3FEND. Deixe-me explicar como isso funciona na prática.

Imagine que seu Centro de Operações de Segurança (SOC) receba um alerta de que um funcionário clicou em um URL suspeito em um e-mail.

• Mapeamento ATT&CK: O agente mapeia o alerta para T1566.002 (Link de Spearphishing). Se um payload for executado posteriormente, ele estende a cadeia para T1059.001 (PowerShell).
• Consulta de contramedidas D3FEND: Para essa técnica de phishing, o agente utiliza técnicas defensivas em diversas categorias. Na detecção: Análise de Mensagens para inspeção de e-mails, Análise de Reputação de URLs com base em informações sobre ameaças, Análise de Reputação de Remetentes e Detecção de Homônimos para domínios semelhantes. No isolamento: Filtragem de E-mails e Bloqueio de DNS. Para reforço da segurança: Autenticação de Mensagens (SPF, DKIM, DMARC) e Autenticação Multifator.
• Avaliação da cobertura da ferramenta — e esta é a parte que, na minha opinião, é negligenciada. O agente mapeia essas técnicas do D3FEND em relação às ferramentas que você realmente implantou. O Proofpoint cobre a Análise de Reputação de URLs. O Mimecast lida com a Análise de Mensagens e Filtragem de E-mails. O Cisco Umbrella lida com a Lista de Bloqueio de DNS. O CrowdStrike Falcon cobre a Análise de Execução de Scripts para qualquer atividade T1059.

O ATT&CK informa o que o atacante fez. O D3FEND informa o que você já tem para impedi-lo e onde estão as brechas.

Essa segunda parte é ouro para líderes de segurança. Em vez de entrar em uma reunião de diretoria com narrativas abstratas sobre ameaças, você pode mostrar uma cobertura defensiva concreta mapeada para padrões de ataque reais. O D3FEND transforma seus gastos com segurança de "confie em mim, precisamos disso" para "aqui está exatamente contra o que este investimento defende e aqui está a lacuna que ele preenche". É assim que você comprova o ROI dos investimentos que já fez, e não apenas justifica o próximo.

Assista a uma demonstração de 1 minuto do Agente MITRE da Hero AI.

Por que o raciocínio é importante para a IA no SOC

Vou manter esta seção breve, pois pretendo aprofundar este tópico quando discutirmos o Agente de Veredicto mais adiante nesta série de posts. Mas, resumidamente: a IA no SOC não precisa ser perfeita para ser útil. Ela precisa ser suficientemente explicável para que um analista consiga entender o motivo de sua decisão e validá-la rapidamente.

O agente MITRE não se limita a fornecer um ID de técnica. Ele apresenta seu raciocínio, os dados do alerta, a razão pela qual ele se relaciona a essa técnica, as contramedidas e a cobertura. Um analista pode validar essa cadeia em segundos, em vez de gastar meia hora fazendo isso manualmente. Esse é o objetivo: não a perfeição, mas a rapidez para se obter confiança.

Com o tempo, à medida que o agente consistentemente corresponde ao que seus analistas teriam produzido, você começa a deixá-lo funcionar sem que um humano verifique cada mapeamento. Isso é confiança progressiva, e é assim que cada agente da frota deve conquistar sua autonomia.

Impacto no mundo real: Reduzindo o MTTR pela metade

A Swimlane administra seu próprio sistema. Centro de operações de segurança (SOC) sobre a Turbine, o que eu aprecio, pois não há nada pior do que um fornecedor que não reconhece os próprios méritos. O tempo médio de resolução (MTTR) deles caiu de 6 horas para 30 minutos por meio da automação progressiva e, em seguida, caiu mais 51% após a implementação dos agentes de IA Hero, chegando a menos de 9 minutos. Isso representa aproximadamente 60 horas de tempo de analista economizadas por semana e cerca de 350 casos resolvidos de forma autônoma a cada semana.

Leia o estudo de caso da Swimlane AI SOC

A análise independente da TAG Cyber constatou que as empresas que utilizam o Turbine alcançam 240% Retorno sobre o investimento no primeiro ano, A pesquisa da empresa sobre automação SecOps orientada por IA destaca especificamente a arquitetura LLM privada, a ausência de dados saindo do ambiente e a inexistência de dependências de modelos de terceiros como principais diferenciais para equipes com preocupações de governança.

Leia o relatório da TAG Cyber sobre o uso de IA para SecOps.

Dicas para equipes de SOC que estão começando a usar IA

O processo inicial é mais simples do que a maioria das pessoas imagina: você precisa de tickets antigos e das anotações dos analistas que explicam por que os casos foram fechados, escalados ou classificados como benignos. Se você tiver artigos e manuais de procedimentos na base de conhecimento (KB), ótimo. Caso contrário, você pode usar inteligência artificial para gerar esses documentos a partir de casos antigos e considerá-los como sua base de conhecimento inicial. Em seguida, você itera, compara os resultados com os de referência, mede os resultados e aprimora o processo.

O futuro: uma frota crescente de agentes de IA

O agente MITRE ATT&CK & D3FEND é um dos quatro primeiros agentes da frota da Swimlane. Tela da Turbina Permite que as equipes criem seus próprios agentes de IA especializados, arrastando e soltando agentes diretamente em manuais de jogo. Isso é apenas o começo; a frota de Agentes de IA no Swimlane Marketplace está se expandindo rapidamente, tanto por parte da Swimlane quanto de equipes que desenvolvem agentes para seus próprios casos de uso.

Este é o caminho certo. Não um modelo único para governar todos, mas uma frota coordenada onde cada agente faz uma coisa bem feita, alimenta os outros e, coletivamente, lida com o trabalho que esgota os analistas. O agente MITRE padroniza a linguagem. O agente de Inteligência de Ameaças enriquece o contexto. O agente de Veredicto toma a decisão. O agente de Investigação elabora o plano.

Em publicações futuras, vou me aprofundar em cada um desses agentes, principalmente em como o Agente de Veredicto lida com a resolução explicável e como o Agente de Investigação reduz a troca de contexto. Por ora, se você puder reter apenas uma mensagem daqui, é esta: o SOC de IA não se trata de substituir sua equipe. Trata-se de fornecer a ela um conjunto de ferramentas que, com o tempo, conquiste o direito de assumir mais responsabilidades. E o agente MITRE é um ótimo ponto de partida, porque saber o que suas ferramentas já abrangem é uma das capacidades mais subestimadas em operações de segurança.