🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Durante a maior parte da última década, a detecção e resposta gerenciadas foram a resposta para um problema real. As equipes de segurança não podiam trabalhar 24 horas por dia, não conseguiam contratar analistas suficientes e precisavam de outra pessoa para cuidar da fila de alertas. O MDR interveio. Funcionou bem o suficiente. Até agora.
O cenário de ameaças mudou mais rápido do que o modelo MDR consegue se adaptar. Os invasores estão usando IA para agir com mais rapidez, gerar phishing mais convincente em escala, automatizar o reconhecimento e criar variantes de malware que evitam a detecção baseada em assinaturas. A superfície de ataque se expandiu do endpoint para a nuvem, identidade e rede simultaneamente. Mesmo assim, o MDR ainda está fazendo o que sempre fez. Encaminhamento de alertas para analistas humanos que fazem a triagem do que podem, na ordem em que podem chegar até eles.
Isso já não é suficiente. Os dados que partilhamos abaixo comprovam-no e os líderes de segurança podem considerar explorar se já ultrapassaram o seu MDR.
A promessa 24 horas por dia, 7 dias por semana do MDR não cobre 60% dos seus alertas
O MDR prometeu cobertura humana 24 horas por dia, 7 dias por semana. O que proporcionou foi uma capacidade humana 24 horas por dia, 7 dias por semana, para fazer a triagem de alertas de alta gravidade. Não são a mesma coisa.
Em todo o setor, aproximadamente 60% dos alertas não são revisados. Isso não é uma falha de desempenho. As equipes humanas, sejam elas internas ou terceirizadas para um MDR, não conseguem processar o volume de alertas que os ambientes modernos geram. Então eles fazem o que qualquer pessoa racional faz. Eles priorizam. P1s e P2s são trabalhados. P3s e P4s se acumulam.
Mas é exatamente aqui que os invasores se escondem.
A análise de 25 milhões de alertas em empresas globais em 2025 descobriu que quase 1% das ameaças reais têm origem em alertas informativos e de baixa gravidade. Numa empresa que gera 450.000 alertas anualmente, isso se traduz em cerca de 54 incidentes reais por ano, cerca de um por semana, na fila sem prioridade, onde ninguém está olhando.
As violações ocultas nesse acúmulo não são teóricas. Estão acontecendo agora mesmo, em organizações que acreditam ter cobertura.
Observação: a matemática por trás da afirmação acima pressupõe 450 mil alertas anuais, dos quais 60% não são investigados e, desses, 2% são incidentes reais. Desses incidentes reais, 1% tem origem em alertas de baixa gravidade.
A qualidade da investigação varia de acordo com quem está no turno
Mesmo para alertas que são revisados, a qualidade da investigação do MDR não é consistente. É limitado pela experiência do analista de plantão, pela profundidade da fila naquele momento, pelo horário do dia e se a equipe está totalmente equipada. Um P1 às 3h recebe uma investigação diferente do mesmo alerta às 10h.
Esta não é uma crítica aos analistas do MDR. É uma descrição do que acontece quando qualquer processo executado por humanos funciona em alto volume, sob pressão, 24 horas por dia. A variação é inevitável.
As consequências são reais. Quando uma investigação é superficial, as ameaças são classificadas como ruído. Quando o acompanhamento é inconsistente, o movimento lateral no estágio inicial parece um comportamento rotineiro. O invasor que recebeu um alerta de baixa gravidade continua se movendo sem ser detectado porque ninguém teve tempo ou contexto para conectar os sinais.
A engenharia de detecção não é um circuito fechado
Na maioria das implantações de MDR, a engenharia de detecção é um exercício periódico. As regras são ajustadas quando os clientes reclamam do volume de alertas. Nova cobertura é adicionada quando um grande CVE vira notícia. Caso contrário, a postura de detecção será alterada.
O problema central é arquitetônico. A engenharia de investigação e detecção de MDR opera em silos separados. Quando um analista investiga um alerta e o encerra como um falso positivo, esse insight raramente retorna ao sistema de detecção. Regras quebradas permanecem quebradas. Regras barulhentas continuam gerando ruído. Novas técnicas de ataque chegam sem detecções correspondentes.
O resultado é uma postura de detecção que degrada mais rápido do que melhora. A cobertura real, medida em relação à estrutura MITRE ATT&CK, pode ser muito menor do que as equipes presumem.
Você não pode auditar o que não pode ver
A maioria dos serviços MDR é uma caixa preta. Os clientes recebem escalações e resumos. Eles não conseguem ver a lógica da investigação, inspecionar a trilha de evidências, verificar o veredicto ou auditar o que o analista realmente revisou antes de encerrar um caso.
Numa era em que a responsabilização e a transparência são requisitos de segurança, esta é uma responsabilidade genuína. Quando um incidente é perdido, você não consegue diagnosticar o motivo. Quando um veredicto está errado, você não consegue rastrear o raciocínio. Quando os reguladores perguntam o que foi investigado e como, não há resposta.
As economias da IA vão para o fornecedor, não para você
A IA está reduzindo o custo operacional do MDR. Os provedores estão usando-o para automatizar partes da triagem, reduzir as horas dos analistas e aumentar as margens. Esses ganhos de eficiência não chegam aos clientes na forma de preços mais baixos ou de cobertura expandida. O comprador ainda paga a mesma taxa ou mais. O provedor mantém as economias.
Mas a lacuna de cobertura permanece a mesma. A restrição de escala humana permanece a
O cenário de ameaças mudou mais rápido do que o modelo MDR consegue se adaptar. Os invasores estão usando IA para agir com mais rapidez, gerar phishing mais convincente em escala, automatizar o reconhecimento e criar variantes de malware que evitam a detecção baseada em assinaturas. A superfície de ataque se expandiu do endpoint para a nuvem, identidade e rede simultaneamente. Mesmo assim, o MDR ainda está fazendo o que sempre fez. Encaminhamento de alertas para analistas humanos que fazem a triagem do que podem, na ordem em que podem chegar até eles.
Isso já não é suficiente. Os dados que partilhamos abaixo comprovam-no e os líderes de segurança podem considerar explorar se já ultrapassaram o seu MDR.
A promessa 24 horas por dia, 7 dias por semana do MDR não cobre 60% dos seus alertas
O MDR prometeu cobertura humana 24 horas por dia, 7 dias por semana. O que proporcionou foi uma capacidade humana 24 horas por dia, 7 dias por semana, para fazer a triagem de alertas de alta gravidade. Não são a mesma coisa.
Em todo o setor, aproximadamente 60% dos alertas não são revisados. Isso não é uma falha de desempenho. As equipes humanas, sejam elas internas ou terceirizadas para um MDR, não conseguem processar o volume de alertas que os ambientes modernos geram. Então eles fazem o que qualquer pessoa racional faz. Eles priorizam. P1s e P2s são trabalhados. P3s e P4s se acumulam.
Mas é exatamente aqui que os invasores se escondem.
A análise de 25 milhões de alertas em empresas globais em 2025 descobriu que quase 1% das ameaças reais têm origem em alertas informativos e de baixa gravidade. Numa empresa que gera 450.000 alertas anualmente, isso se traduz em cerca de 54 incidentes reais por ano, cerca de um por semana, na fila sem prioridade, onde ninguém está olhando.
As violações ocultas nesse acúmulo não são teóricas. Estão acontecendo agora mesmo, em organizações que acreditam ter cobertura.
Observação: a matemática por trás da afirmação acima pressupõe 450 mil alertas anuais, dos quais 60% não são investigados e, desses, 2% são incidentes reais. Desses incidentes reais, 1% tem origem em alertas de baixa gravidade.
A qualidade da investigação varia de acordo com quem está no turno
Mesmo para alertas que são revisados, a qualidade da investigação do MDR não é consistente. É limitado pela experiência do analista de plantão, pela profundidade da fila naquele momento, pelo horário do dia e se a equipe está totalmente equipada. Um P1 às 3h recebe uma investigação diferente do mesmo alerta às 10h.
Esta não é uma crítica aos analistas do MDR. É uma descrição do que acontece quando qualquer processo executado por humanos funciona em alto volume, sob pressão, 24 horas por dia. A variação é inevitável.
As consequências são reais. Quando uma investigação é superficial, as ameaças são classificadas como ruído. Quando o acompanhamento é inconsistente, o movimento lateral no estágio inicial parece um comportamento rotineiro. O invasor que recebeu um alerta de baixa gravidade continua se movendo sem ser detectado porque ninguém teve tempo ou contexto para conectar os sinais.
A engenharia de detecção não é um circuito fechado
Na maioria das implantações de MDR, a engenharia de detecção é um exercício periódico. As regras são ajustadas quando os clientes reclamam do volume de alertas. Nova cobertura é adicionada quando um grande CVE vira notícia. Caso contrário, a postura de detecção será alterada.
O problema central é arquitetônico. A engenharia de investigação e detecção de MDR opera em silos separados. Quando um analista investiga um alerta e o encerra como um falso positivo, esse insight raramente retorna ao sistema de detecção. Regras quebradas permanecem quebradas. Regras barulhentas continuam gerando ruído. Novas técnicas de ataque chegam sem detecções correspondentes.
O resultado é uma postura de detecção que degrada mais rápido do que melhora. A cobertura real, medida em relação à estrutura MITRE ATT&CK, pode ser muito menor do que as equipes presumem.
Você não pode auditar o que não pode ver
A maioria dos serviços MDR é uma caixa preta. Os clientes recebem escalações e resumos. Eles não conseguem ver a lógica da investigação, inspecionar a trilha de evidências, verificar o veredicto ou auditar o que o analista realmente revisou antes de encerrar um caso.
Numa era em que a responsabilização e a transparência são requisitos de segurança, esta é uma responsabilidade genuína. Quando um incidente é perdido, você não consegue diagnosticar o motivo. Quando um veredicto está errado, você não consegue rastrear o raciocínio. Quando os reguladores perguntam o que foi investigado e como, não há resposta.
As economias da IA vão para o fornecedor, não para você
A IA está reduzindo o custo operacional do MDR. Os provedores estão usando-o para automatizar partes da triagem, reduzir as horas dos analistas e aumentar as margens. Esses ganhos de eficiência não chegam aos clientes na forma de preços mais baixos ou de cobertura expandida. O comprador ainda paga a mesma taxa ou mais. O provedor mantém as economias.
Mas a lacuna de cobertura permanece a mesma. A restrição de escala humana permanece a
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #repensando #o #mdr #à #medida #que #atacantes #e #defensores #adotam #a #ia
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário