Splunk: “Em termos de deteção, não usamos LLM porque a janela de contexto para os modelos é muito curta” (com vídeo)

Na sessão “Lessons From the Agentic Frontier: How the SOC is Winning in the AI Era”, Vicent Roy, Security Advisor da Splunk, na IT Security Summit Porto, destacou a crescente utilização de Inteligência Artificial (IA) por parte dos atacantes e explicou como a automação está a transformar os SOC e a gestão de segurança em infraestruturas críticas.

IA aplicada à defesa

Vincent Roy começou por contextualizar o trabalho da Splunk na proteção de infraestruturas críticas e na análise de grandes volumes de dados de segurança. A plataforma da empresa integra módulos de correlação de dados e capacidades avançadas de inteligência artificial, incluindo machine learning, aprendizagem profunda e algoritmos especializados que o responsável considera “muito útil para deteções”.

Segundo o orador, os grandes modelos de linguagem (LLM) estão a desempenhar um papel importante nas áreas de investigação e triagem de ameaças, bem como na automação da resposta a incidentes. Ainda assim, explicou que “em termos de deteção, não usamos muito LLM porque a janela de contexto que temos para os modelos é muito curta”.

Por essa razão, a Splunk mantém o foco da deteção em tecnologias de machine learning e aprendizagem profunda, reservando os LLM para tarefas mais relacionadas com análise, investigação e apoio operacional.

SOC automatizados

Com a evolução da IA na cibersegurança, a Splunk tem vindo a reforçar a integração de agentes inteligentes nas áreas de TDIR — threat, detection, investigation and response —, abordagem que Vincent Roy identificou como central na estratégia da empresa.

“Os clientes estão a pedir para ter dados mais significantes e todos na mesma plataforma, onde consigam ver quando algo corre mal, porque corre mal e como corrigir o mais rápido possível”, afirmou. Para o responsável, independentemente de se tratar de um humano ou de um modelo de IA, o acesso centralizado aos dados e ao contexto é essencial para garantir visibilidade sobre a segurança das infraestruturas.

A plataforma integra também funcionalidades orientadas para risco e compliance, permitindo aos CISO monitorizar e visualizar os níveis de risco associados aos sistemas e operações.

O desafio da visibilidade

Apesar das vantagens da centralização, Vincent Roy reconheceu que garantir visibilidade completa continua a ser um desafio devido à diversidade de fornecedores e soluções utilizadas pelos clientes.

“Uma forma de lidar com isso é usar o que chamamos de análise federada, onde podemos consultar vários ambientes numa abordagem constante”, referiu, explicando que esta estratégia permite consolidar informação distribuída por diferentes plataformas sem necessidade de concentrar todos os dados num único local.

IA do lado dos atacantes

Com base em dados da Anthropic, Vincent Roy revelou que entre 80% e 90% dos agentes de ameaça já utilizam agentes de IA para apoiar os seus ataques.

“Estamos a tentar usar o mesmo tipo de automação de forma a combater isto”, afirmou, sublinhando que a resposta das equipas de defesa passa inevitavelmente pela adoção das mesmas capacidades tecnológicas utilizadas pelos atacantes.

Agentes para triagem e resposta

Durante a apresentação, o responsável demonstrou vários agentes de IA integrados na plataforma da Splunk para automatização de processos de segurança, incluindo deteção de incidentes e geração automática de relatórios.

Entre os exemplos apresentados esteve um agente de triagem capaz de analisar automaticamente alertas de segurança e priorizar incidentes sem intervenção humana. Segundo Vincent Roy, esta capacidade torna-se especialmente relevante em períodos noturnos ou fora do horário laboral, permitindo manter operações contínuas e acelerar a resposta a ameaças.

Na conclusão da sessão, ficou evidente a aposta da Splunk na utilização de IA para reforçar capacidades de deteção e resposta, numa altura em que a automação se torna cada vez mais crítica para acompanhar a sofisticação dos ataques digitais.