⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Anthropic restringiu seu modelo Mythos Preview na semana passada, depois de encontrar e explorar de forma autônoma vulnerabilidades de dia zero em todos os principais sistemas operacionais e navegadores. Wendi Whitmore, da Palo Alto Networks, alertou que recursos semelhantes ainda levarão semanas ou meses para serem proliferados. O Relatório de Ameaças Globais de 2026 da CrowdStrike estima o tempo médio de interrupção do eCrime em 29 minutos. O M-Trends 2026 da Mandiant mostra que os tempos de transferência do adversário caíram para 22 segundos.
O ataque está ficando mais rápido. A questão é onde exatamente os defensores são lentos, porque não é onde a maioria dos painéis SOC sugere.
As ferramentas de detecção ficaram materialmente melhores. As plataformas EDR, segurança na nuvem, segurança de e-mail, identidade e SIEM são fornecidas com lógica de detecção integrada que leva o MTTD para perto de zero para técnicas conhecidas. Isso é um progresso real e é o resultado de anos de investimento em engenharia de detecção em todo o setor.
Mas quando os adversários operam em cronogramas medidos em segundos e minutos, a questão não é se suas detecções são disparadas com rapidez suficiente. É o que acontece entre o alerta ser disparado e alguém realmente captá-lo.
A lacuna pós-alerta
Depois que o alerta é acionado, o relógio continua funcionando. Um analista precisa vê-lo, captá-lo, reunir o contexto da pilha, investigar, tomar uma decisão e iniciar uma resposta. Na maioria dos ambientes SOC, é nessa sequência que reside a maior parte da janela operacional do invasor.
O analista está no meio de uma investigação sobre outra coisa. O alerta entra em uma fila. O contexto está espalhado por quatro ou cinco ferramentas. A investigação em si requer consulta ao SIEM, verificação de registros de identidade, extração de telemetria de endpoint e cronogramas correlacionados. Para uma investigação completa — que resulte em uma determinação defensável, e não em uma conclusão instintiva — são 20 a 40 minutos de trabalho prático, presumindo que o analista comece imediatamente, o que raramente faz.
Contra uma janela de fuga de 29 minutos, a investigação ainda não começou quando o atacante se moveu lateralmente. Em uma transferência de 22 segundos, o alerta ainda pode estar na fila.
MTTD não captura nada disso. Ele mede a rapidez com que a detecção é acionada e, nesse aspecto, o setor fez um progresso genuíno. Mas essa métrica para no alerta. Ele não diz nada sobre a duração real da janela pós-alerta, quantos alertas receberam uma investigação real em comparação com uma leitura rápida ou quantos foram fechados em massa sem uma análise significativa. O MTTD relata a parte do problema em que a indústria já fez progressos reais. A exposição downstream — a lacuna de investigação pós-alerta — não é refletida em lugar nenhum.
O que muda quando a IA trata da investigação
Uma investigação orientada por IA não melhora a velocidade de detecção. MTTD é uma métrica de engenharia de detecção e permanece a mesma. O que a IA comprime é a linha do tempo pós-alerta, que é exatamente onde reside a exposição real.
A fila desaparece. Cada alerta é investigado assim que chega, independentemente da gravidade ou da hora do dia. A montagem de contexto que levou 15 minutos para um analista alternar entre guias acontece em segundos. A investigação em si — raciocinar por meio de evidências, girar com base nas descobertas e chegar a uma determinação — é concluída em minutos, em vez de uma hora.
Foi para isso que criamos o Profeta AI. Ele investiga cada alerta com a profundidade e o raciocínio de um analista sênior, na velocidade da máquina: planejando a investigação de forma dinâmica, consultando as fontes de dados relevantes e produzindo uma conclusão transparente e baseada em evidências. A lacuna pós-alerta não existe neste modelo porque não há fila nem tempo de espera. Para as equipes que trabalham em direção a esse benchmark, publicamos etapas práticas para reduzir o tempo de investigação para menos de dois minutos.
A mesma restrição estrutural se aplica ao MDR. Os analistas de MDR enfrentam o mesmo gargalo pós-alerta porque ainda estão limitados pela capacidade de investigação humana. A mudança da investigação humana terceirizada para a investigação de IA remove esse limite completamente, mudando o que se torna mensurável sobre o desempenho real do seu SOC.
As métricas que importam agora
Quando a janela pós-alerta entra em colapso, as métricas de velocidade tradicionais deixam de ser os indicadores mais informativos. O MTTI de dois minutos é significativo no primeiro trimestre em que você relata. Depois disso, é o que está em jogo. A pergunta muda de "quão rápido somos?" para "quão mais forte nossa postura de segurança está ficando com o passar do tempo?"
Quatro métricas capturam isso:
Taxa de cobertura de investigação. Que porcentagem do total de alertas recebe uma investigação completa que consiste em uma linha completa de questionamentos com evidências? Em um SOC tradicional, esse número é normalmente de 5 a 15%. O restante é ignorado, fechado em massa ou ignorado. Em um SOC baseado em IA, deveria ser 100%. Esta é a métrica mais importante para entender se seu SOC
O ataque está ficando mais rápido. A questão é onde exatamente os defensores são lentos, porque não é onde a maioria dos painéis SOC sugere.
As ferramentas de detecção ficaram materialmente melhores. As plataformas EDR, segurança na nuvem, segurança de e-mail, identidade e SIEM são fornecidas com lógica de detecção integrada que leva o MTTD para perto de zero para técnicas conhecidas. Isso é um progresso real e é o resultado de anos de investimento em engenharia de detecção em todo o setor.
Mas quando os adversários operam em cronogramas medidos em segundos e minutos, a questão não é se suas detecções são disparadas com rapidez suficiente. É o que acontece entre o alerta ser disparado e alguém realmente captá-lo.
A lacuna pós-alerta
Depois que o alerta é acionado, o relógio continua funcionando. Um analista precisa vê-lo, captá-lo, reunir o contexto da pilha, investigar, tomar uma decisão e iniciar uma resposta. Na maioria dos ambientes SOC, é nessa sequência que reside a maior parte da janela operacional do invasor.
O analista está no meio de uma investigação sobre outra coisa. O alerta entra em uma fila. O contexto está espalhado por quatro ou cinco ferramentas. A investigação em si requer consulta ao SIEM, verificação de registros de identidade, extração de telemetria de endpoint e cronogramas correlacionados. Para uma investigação completa — que resulte em uma determinação defensável, e não em uma conclusão instintiva — são 20 a 40 minutos de trabalho prático, presumindo que o analista comece imediatamente, o que raramente faz.
Contra uma janela de fuga de 29 minutos, a investigação ainda não começou quando o atacante se moveu lateralmente. Em uma transferência de 22 segundos, o alerta ainda pode estar na fila.
MTTD não captura nada disso. Ele mede a rapidez com que a detecção é acionada e, nesse aspecto, o setor fez um progresso genuíno. Mas essa métrica para no alerta. Ele não diz nada sobre a duração real da janela pós-alerta, quantos alertas receberam uma investigação real em comparação com uma leitura rápida ou quantos foram fechados em massa sem uma análise significativa. O MTTD relata a parte do problema em que a indústria já fez progressos reais. A exposição downstream — a lacuna de investigação pós-alerta — não é refletida em lugar nenhum.
O que muda quando a IA trata da investigação
Uma investigação orientada por IA não melhora a velocidade de detecção. MTTD é uma métrica de engenharia de detecção e permanece a mesma. O que a IA comprime é a linha do tempo pós-alerta, que é exatamente onde reside a exposição real.
A fila desaparece. Cada alerta é investigado assim que chega, independentemente da gravidade ou da hora do dia. A montagem de contexto que levou 15 minutos para um analista alternar entre guias acontece em segundos. A investigação em si — raciocinar por meio de evidências, girar com base nas descobertas e chegar a uma determinação — é concluída em minutos, em vez de uma hora.
Foi para isso que criamos o Profeta AI. Ele investiga cada alerta com a profundidade e o raciocínio de um analista sênior, na velocidade da máquina: planejando a investigação de forma dinâmica, consultando as fontes de dados relevantes e produzindo uma conclusão transparente e baseada em evidências. A lacuna pós-alerta não existe neste modelo porque não há fila nem tempo de espera. Para as equipes que trabalham em direção a esse benchmark, publicamos etapas práticas para reduzir o tempo de investigação para menos de dois minutos.
A mesma restrição estrutural se aplica ao MDR. Os analistas de MDR enfrentam o mesmo gargalo pós-alerta porque ainda estão limitados pela capacidade de investigação humana. A mudança da investigação humana terceirizada para a investigação de IA remove esse limite completamente, mudando o que se torna mensurável sobre o desempenho real do seu SOC.
As métricas que importam agora
Quando a janela pós-alerta entra em colapso, as métricas de velocidade tradicionais deixam de ser os indicadores mais informativos. O MTTI de dois minutos é significativo no primeiro trimestre em que você relata. Depois disso, é o que está em jogo. A pergunta muda de "quão rápido somos?" para "quão mais forte nossa postura de segurança está ficando com o passar do tempo?"
Quatro métricas capturam isso:
Taxa de cobertura de investigação. Que porcentagem do total de alertas recebe uma investigação completa que consiste em uma linha completa de questionamentos com evidências? Em um SOC tradicional, esse número é normalmente de 5 a 15%. O restante é ignorado, fechado em massa ou ignorado. Em um SOC baseado em IA, deveria ser 100%. Esta é a métrica mais importante para entender se seu SOC
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #seu #mttd #parece #ótimo. #sua #lacuna #pósalerta #não
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário