Em amostragem real realizada em março, ferramenta da Redbelt Security analisou 2.500 alarmes de segurança e reduziu em 95% o volume de alertas que exigem atenção humana. O tempo de tratativa dos incidentes críticos ficou 140 vezes menor.
Uma inteligência artificial desenvolvida pela consultoria brasileira Redbelt Security está fazendo em 3 minutos o que equipes de analistas de cibersegurança levam, em média, 7 horas para concluir: receber um alarme de segurança, classificar o evento, investigar o risco real, decidir o que fazer e, quando necessário, conter a ameaça.
Chamada de IARis 3.0, é a terceira versão da IA integrada ao RIS, plataforma SaaS da Redbelt Security que concentra e correlaciona informações e logs de segurança em um dashboard unificado. Os números são de março com uma amostra de 2.500 alarmes reais de companhias de setores variados. O resultado: velocidade de resposta 140 vezes maior que a de equipes humanas em alarmes de alta criticidade, precisão acima de 99% na classificação dos eventos e redução de 95% nos falsos positivos e ruídos operacionais que chegam aos analistas.
Os números apontam para um problema que o setor de cibersegurança enfrenta globalmente: a escassez de profissionais qualificados e o crescimento exponencial do volume de alertas. Segundo o estudo ISC2 Cybersecurity Workforce 2024, o déficit global de profissionais de segurança da informação ultrapassa 4 milhões.
No Brasil, a lacuna é proporcionalmente ainda maior. Enquanto os ambientes corporativos geram centenas de alarmes por dia, sendo a maioria deles falsos positivos ou eventos sem risco real, as equipes disponíveis para analisá-los não crescem na mesma proporção.
Como funciona?
A IARis 3.0 atua em quatro estágios desde o momento em que o alarme chega à plataforma:
Classificação – a IARis recebe o alarme e faz a primeira triagem: analisa o evento, cruza com o histórico do ambiente e, com bases de inteligência própria, elimina os falsos positivos. É nesse estágio que 95% do ruído operacional é absorvido, sem intervenção humana e com justificativa técnica registrada e auditável.
Criticidade – os alarmes que passam pela classificação são investigados em profundidade. A IARis avalia o impacto real do evento para o negócio (considerando o tipo de ameaça, o ativo afetado e o contexto da operação), e calcula seu nível de confiança para agir, que cresce à medida que mais dados do ambiente do cliente são processados ao longo do tempo (machine learning).
Atuação – com base na análise de criticidade, a IARis decide: encerra o alarme com justificativa auditável ou aciona os próximos passos. Nesse momento, ela faz uma LIGAÇÃO automatizada solicitando a ação humana – sempre acompanhada de uma análise técnica completa e um playbook com plano de ação –; e/ou informando sobre o registro de ações iniciais já tomadas por ela e registradas no sistema para acompanhamento.
Contenção – diante de ameaças que exigem ação imediata, a IARis executa comandos de contenção, que podem ser isolamentos de máquinas ou usuários, suspensão de identidade, bloqueio de origem/destino (atacante ou vítima); e/ou bloqueios variados, incluindo identificação e remoção de artefatos maliciosos no ambiente (casos de phishing, por exemplo).
O impacto real para as empresas
A IARis 3.0 torna-se fundamental para a curadoria das regras de detecção registradas nas ferramentas de monitoramento. Cada alarme tratado pela IA produz insights de melhorias contínuas dessas regras, por exemplo: quais estão gerando ruído, quais precisam de ajuste e onde os falsos positivos se concentram. A operação ganha proatividade para refinar o ambiente de segurança a cada ciclo e a redução de 95% em falsos positivos é reflexo direto disso.
O efeito prático, segundo a Redbelt Security, não é substituir analistas, mas redirecioná-los. Com o ruído operacional absorvido pela IA desde a classificação, as equipes de segurança passam a dedicar tempo e profundidade aos incidentes que realmente exigem julgamento humano. E recebem esses casos já com a análise de criticidade feita, o plano de ação pronto e, quando aplicável, as primeiras medidas de contenção já executadas.
Para empresas que operam com equipes de segurança enxutas ou que terceirizam parte da operação, o modelo representa uma mudança na equação: a capacidade de tratativa escala com o volume de alertas sem exigir contratação proporcional.
“Temos inúmeros exemplos reais. No caso de alarmes críticos, a média de tempo total para tratativa, considerando o ciclo completo de um incidente (da detecção à contenção) caiu de 7 horas para menos de 3 minutos. Redução de 99,3%. Isso é relevante não só no dia a dia das operações, como também na redução de riscos.
Quando uma ameaça real é detectada e tratada tão rápido, a chance de sofre um ataque bem-sucedido também é infinitamente menor”, explica Eduardo Lopes, CEO da Redbelt Security. “A IARis não resolve a escassez de profissionais no setor, mas resolve o que essa escassez causa na operação do cliente. Da classificação à contenção, o que antes dependia de um analista disponível no momento certo, agora acontece em minutos e de forma muito assertiva”.
Sempre que necessário, a IARis notifica um humano por meio de uma ligação automática, que informa a necessidade de uma atuação imediata, podendo também receber comandos de instrução por voz, e/ou informa sobre as ações já executadas de forma automatizada.
“A IARis começa a responder antes de qualquer humano. Classifica, investiga a criticidade, decide e atua. Quando o analista entra no caso, entra com tudo preparado: a análise, os indicadores mapeados e o plano de ação. Tudo registrado e muito rápido”, detalha Marcela Gonçalves, Head de P&D da Redbelt Security. “Nos alarmes de baixo risco, ela não precisa da atuação do analista. E o que a versão 3.0 trouxe é a garantia de que, num incidente crítico, a resposta não fica esperando alguém ver uma notificação. A IARis atua e, se necessário, já inicia a contenção.”
Fonte: https://www.difundir.com.br/
