Integração de ferramentas gerenciada por agentes de IA fecha cerco ao phishing

A capacidade de discernir o que é apenas hype (ou moda) daquilo que efetivamente produz impacto real no dia a dia das organizações é cada vez mais um divisor de águas entre desperdiçar recursos financeiros e ampliar a segurança e consequentemente as condições saudáveis de desenvolvimento das empresas.

Se não forem capazes de fazer esta distinção, as empresas correm o risco de investir grande quantidade de recursos financeiros e energia para estar na moda, mas continuar sendo vítimas de vazamentos e fraudes causadas por alguns dos mais antigos mecanismos, como o phishing, por exemplo, que funciona como porta de entrada para a maior parte das investidas criminosas.

Neste sentido, uma das maneiras mais eficientes de medir o impacto é analisar o conceito da aplicação. A maior parte das tradicionais soluções autônomas aposta na detecção e na resposta como defesa preferencial contra ameaças cibernéticas, o que não tem sido suficiente. Neste sentido, segundo o Gartner, até 2030, haverá uma mudança significativa no direcionamento dos investimentos por parte das empresas. O estudo da consultoria indica que nos próximos cinco anos as soluções de segurança cibernética ’preventiva’ representarão 50% dos gastos com segurança de TI. Ou seja; a prevenção irá conquistar valores que atualmente são alocados na remediação.

Uma das estratégias mais promissoras neste sentido é a integração de ferramentas de segurança como Threat Exposure Management (TEM / CTEM) e Cybersecurity Mesh Architecture (CSMA) com o uso de AI SOC Agents para lidar com a escassez de profissionais qualificados.

Essa combinação viabiliza uma atuação preventiva desde a descoberta da investida até a resposta integrada ao incidente. Recentemente vivenciamos o sucesso deste modelo em operação em uma investigação relacionada a phishing.

Durante o monitoramento realizado por uma solução que investiga diariamente mais de 40 terabytes de dados que circulam na deep e na dark weeb, foi identificado o registro de um domínio suspeito semelhante ao de um ativo de um cliente, potencialmente utilizado para fins de phishing.

Com o apoio da função de BIA, o risco foi classificado como de alto impacto, uma vez que poderia comprometer diretamente a operação financeira da empresa.

Em seguida, uma ferramenta que simula ataques para testar controles de segurança e validar vulnerabilidades, realizou a validação contínua dessa exposição, confirmando que o domínio hospedava uma página falsa para coleta de credenciais e testou automaticamente se os controles de segurança existentes detectariam aquela atividade fraudulenta.

Paralelamente, uma tecnologia de correlação de eventos de segurança (SIEM) comparou eventos de rede e registros de firewall, identificando tentativas de acesso de colaboradores internos ao domínio malicioso, o que confirmou a ameaça em andamento.

Por fim, um agente de Inteligência Artificial Generativa, consolidou todas as informações, sugeriu as ações de resposta imediata e orquestrou a execução dessas medidas que foram o bloqueio do domínio, a solicitação de takedown e a notificação aos responsáveis.

O caso descrito revela a complementação do ciclo completo de Gerenciamento Contínuo de Exposição a Ameaças (CTEM) indicado pelo Gartner como uma tendência que, ao atuar de forma integrada e pró-ativa explorando potencialidades de IA e outras tecnologias emergentes, deve superar a abordagem das soluções individualizadas e apenas reativas, por mais que algumas delas continuem no hype.

Por Debora Gallucci, é diretora de Receita(CRO) do Safelabs.