Guillem Alsina Gonzàlez
O aumento do volume de dados de telemetria, a complexidade das infraestruturas tecnológicas e a escassez de profissionais especializados têm dificultado que os centros de operações de segurança (SOC) tradicionais consigam fazer face às ameaças atuais, cada vez mais impulsionadas pela inteligência artificial. Perante esta situação, a Sophos redesenhou o seu SOC para delegar o grande volume de alertas à IA, permitindo assim que os analistas humanos se concentrem nas tarefas que exigem uma maior análise crítica e contexto empresarial.
A empresa apresentou os resultados obtidos após um ano completo de aplicação de tecnologia baseada em agentes, com software autónomo, no âmbito do seu serviço de deteção e resposta geridas (MDR). Atualmente, este sistema de proteção gerida abrange 40 000 clientes a nível global, o que representa um aumento de 39% na sua adoção em relação ao ano anterior.
Todo este conjunto articula-se através de uma plataforma unificada que liga diferentes elementos da infraestrutura, tais como os equipamentos dos utilizadores, as firewalls, a gestão de identidades, a rede, o e-mail, a nuvem e os sistemas de gestão de eventos e informações de segurança (SIEM). A sua arquitetura aberta permite a integração com mais de 350 soluções de terceiros, prestando especial atenção à compatibilidade com os ambientes da Microsoft.
A implementação deste modelo operacional nos últimos doze meses revelou métricas significativas sobre o desempenho das operações automatizadas. O sistema alcança um tempo de resposta de 89 segundos desde a criação de uma incidência até à sua resolução automatizada nos casos em que a inteligência artificial tem autorização prévia para agir contra os ataques.
Da mesma forma, 52% das incidências são resolvidas do início ao fim de forma autónoma, sem intervenção humana direta, operando sempre dentro de limites que são calibrados continuamente por especialistas técnicos.
A gestão destes alertas baseia-se num ecossistema que processa dezenas de milhões de deteções diárias, filtrando a informação irrelevante, cruzando sinais e apresentando apenas o que requer atenção. A direção da empresa salienta que operar nesta escala permite que cada nova ameaça detetada sirva para atualizar e reforçar a defesa de toda a base de clientes, criando uma inteligência partilhada que beneficia todas as organizações ligadas ao sistema, independentemente de se tratar de uma pequena empresa ou de uma corporação multinacional.
Para equilibrar a velocidade de processamento das máquinas e o critério analítico dos profissionais, o modelo operacional combina duas abordagens de gestão supervisionada; o primeiro mantém a pessoa a supervisionar o processo geral para tarefas de grande volume onde a rapidez é vital, enquanto o segundo requer a validação direta de um analista antes de tomar medidas em situações de alto risco, como aquelas em que se deteta um comportamento invulgar dos atacantes ou um possível impacto grave no negócio.
Desta forma, a automatização assume o trabalho que normalmente recaía nos níveis iniciais de suporte técnico, redirecionando os profissionais para a investigação exaustiva, a procura proativa de ameaças e o aconselhamento estratégico corporativo. 48% dos casos restantes continuam a depender do critério humano devido à sua complexidade.
De olho no futuro próximo, a estratégia da Sophos passa por alargar esta tecnologia de agentes autónomos a todo o seu catálogo de produtos. Entre os investimentos previstos encontram-se a integração de capacidades avançadas de correlação de dados e a ampliação de ferramentas seguras de inteligência artificial.
A empresa prevê lançar, no outono de 2026, um novo serviço de aconselhamento estratégico dirigido a organizações que não dispõem de um diretor de segurança da informação (CISO) no seu quadro de pessoal, utilizando como base a mesma infraestrutura tecnológica implementada ao longo deste último ano.
