Por José Dias (*)

Os Security Operations Centers (SOCs) são o coração da defesa cibernética moderna. No entanto, com o aumento da complexidade dos ataques, a escassez de talento e a pressão por eficiência, os modelos tradicionais estão a perder relevância e as organizações estão cada vez mais à procura de alternativas tecnológicas para responder a esses desafios. A integração de Agentes de Inteligência Artificial (IA) surge como uma resposta promissora, capaz de transformar o SOC num centro proativo, inteligente e resiliente. Ainda assim, esta integração pode levantar mais problemas ou trazer pouco valor se não for implementada de maneira estruturada. Por isso, a DXC sugere um conjunto de 5 estratégias de forma a minimizar dificuldades de integração e potenciar uma maior eficácia na adoção de Agentes de AI no contexto SOC.

Os Agentes AI são Sistemas de IA autónomos que podem definir os seus próprios objetivos, tomar decisões e agir com intervenção humana mínima para atingir um objetivo específico. As suas principais características incluem autonomia, planeamento orientado para objetivos, raciocínio em várias etapas e adaptabilidade com base em dados em tempo real e contexto ambiental. Estes sistemas são projetados para lidar com tarefas complexas, aprender com interações e melhorar o seu desempenho ao longo do tempo, agindo mais como um agente independente do que como uma simples ferramenta.

Sendo os Agentes de AI uma ferramenta nova e muito sofisticada, podem ser usados tanto para o bem como para o mal. Hoje, 40% dos ciberataques são já realizados com recurso a tecnologia de IA (artigo whatsthebigdata.com/ai-cyber-attacks-statistics/) e a resposta aos incidentes exige uma nova velocidade. A tecnologia IA potencia os atacantes a preparar e executar ataques mais adaptativos e rápidos, com novos modelos de ameaça complexos e escaláveis - incluindo malware generativo nunca visto e campanhas de phishing automatizadas. Estas ameaças emergentes forçam a que os SOCs adotem também tecnologia de Agentes de AI capaz de analisar e responder em segundos, acompanhando a velocidade com que as ameaças se propagam na organização. Durante todo este processo, os Agentes de IA documentam de forma consistente toda a análise e ações tomadas, independentemente de existirem 10 ou 100 alertas por dia.

Ainda assim, os Agentes de IA não substituem os humanos - libertam-nos para fazer trabalho de maior impacto, como investigações complexas, decisões estratégicas e desenvolvimento de sistemas especializados. Por exemplo, caso os Agentes de IA identifiquem que a situação detetada é mais complexa do que as anteriores ou que, com a informação disponível, não existem indicadores claros de a atividade ser legítima ou maliciosa, o alerta/incidente é escalado para um analista humano que dará continuidade à análise e à execução das ações de remediação. Esta sinergia entre humanos e IA melhora a eficiência, aumenta a satisfação das equipas e permite lidar com volumes de dados muito superiores.

O Agente de IA executará melhor a sua missão quanto mais informação de contexto lhe for alimentada pelo SOC. Atualmente, os SOCs - sejam internos ou prestados por terceiros - precisam de estar continuamente alinhados com as políticas de segurança da organização (quando estas existem) e com os processos definidos para resposta a incidentes. Esse alinhamento é essencial para garantir que as ameaças sejam tratadas de forma eficaz, minimizando impactos financeiros e reputacionais.

Se todas estas políticas de segurança e processos de análise e resposta a incidentes não tiverem documentadas, alinhadas com a organização e ensinadas aos Agentes de IA, então o SOC corre o risco de estar a “confiar” numa ferramenta que autonomamente analisa e toma ações de resposta para mitigar ameaças, seguindo as boas práticas da indústria, mas não adaptadas ao contexto da organização, tornando a resposta à ameaça mais prejudicial à organização do que a própria ameaça detetada.

Por isso é que, antes e durante a adoção dos Agentes de IA, é importante que o SOC tenha um conjunto de estratégias claras de maneira a garantir que a atuação dos Agentes de IA seja previsível e adequada ao contexto da organização e às ameaças detetadas.

Tendo em conta a sua experiência, na DXC sugerimos 5 estratégias para ter uma adoção de sucesso:

  1. Mapear o ambiente e ganhar consciência situacional

Antes de implementar agentes de IA, é essencial ter um inventário atualizado de ativos, fluxos de dados e interdependências. Apesar de ser uma medida fundamental para o dia-a-dia do SOC, muitas vezes este processo de documentação é executado apenas uma vez. É necessário existir um trabalho continuo por parte das equipas para garantir que está atualizado, pois é esta informação que os agentes de IA vão usar como base para tomar decisões informadas e priorizar ameaças.

  1. Definição clara de casos de uso

Os agentes de IA atuam sobre problemas específicos. É importante que o SOC dedique tempo a desenhar casos de uso que detetem ameaças concretas no contexto da organização e definam as ações de resposta adequadas a tomar. Isto servirá para treinar os agentes a terem objetivos concretos.

  1. Integração com o ITSM e ferramentas existentes

Para que os agentes operem de forma eficaz devem estar integrados com as plataformas de gestão de serviços (ITSM), SIEM, SOAR e outras ferramentas operacionais. Essa integração permite que os agentes executem ações, documentem as análises e interajam com analistas humanos.

  1. Formação e adaptação da equipa

A introdução de agentes de IA requer uma mudança cultural. As equipas devem ser formadas para colaborar com agentes, compreender os seus limites e validar as suas ações. A confiança na IA é construída com transparência e resultados consistentes.

  1. Adotar operações orientadas por inteligência

Devem ser combinados os dados técnicos com o conhecimento específico do negócio, setor e região da organização. Os agentes de IA têm de ser alimentados com inteligência contextual para enriquecer alertas, automatizar triagem e acelerar investigações. A partilha de inteligência com parceiros também fortalece a defesa coletiva.

Em conclusão, a evolução dos SOCs com agentes de IA representa uma oportunidade estratégica para as organizações reforçarem a sua postura de segurança, reduzirem riscos operacionais e aumentarem a eficiência na resposta a ameaças. No entanto, o sucesso desta transformação depende de uma abordagem estruturada e alinhada com os objetivos do negócio. As cinco estratégias apresentadas oferecem um caminho claro para garantir que a adoção dos agentes de IA seja segura, eficaz e adaptada ao contexto específico de cada organização. Ao investir na preparação adequada, as organizações não só aceleram a maturidade dos seus SOCs, como também se posicionam na vanguarda da ciberdefesa inteligente.

(*) Head of Cybersecurity da DXC Technology em Portugal