SOC com IA: o próximo passo na cibersegurança

A transformação dos Security Operations Centers (SOC) com Inteligência Artificial (IA) reuniu líderes da IBM, Palo Alto Networks e um grupo exclusivo de profissionais de cibersegurança para explorar como a IA está a revolucionar os SOC. Entre casos reais, debates estratégicos e as últimas inovações, este evento exclusivo lançou luz sobre o futuro da segurança digital e mostrou como a combinação entre tecnologia avançada e experiência humana está a transformar a forma como as organizações respondem a ameaças cada vez mais complexas e rápidas.

	à esquerda Carlos Creus, Security Services Leader da IBM, à direita Luís Lança, Country Manager da Palo Alto Networks

O encontro procurou evidenciar, como referiu Luís Lança, Country Manager da Palo Alto Networks, como a combinação entre tecnologia e serviços permite construir SOC mais eficazes, recorrendo a análises comportamentais para acelerar a deteção e a resposta a incidentes. Essa visão foi claramente partilhada pela IBM, que, ao distinguir o papel da IBM Technology e da IBM Consulting, fez questão de sublinhar – nas palavras de Carlos Creus, Security Services Leader da IBM – que o setor tecnológico da empresa “continua a vender software, dados e infraestrutura, e mantém as suas redes de parceiros”. Realçou ainda que a aliança apresentada no evento não surge apenas “por um interesse inicial, mas porque ambas as empresas têm uma visão muito semelhante sobre para onde vamos e os desafios que enfrentamos”.

Pedro Francisco, Cortex Regional Sales Manager da Palo Alto Networks

“Até dezembro do ano passado, os atacantes demoravam cerca de um dia entre a penetração e o impacto real. Agora, 20% dos cenários acontecem em apenas algumas horas. Isto obriga-nos a repensar os modelos operacionais para nos adaptarmos a esta nova realidade”, disse Pedro Francisco, Cortex Regional Sales Manager da Palo Alto Networks, numa apresentação onde deu conta da urgência da transformação dos SOC face à crescente complexidade e velocidade dos ataques. Sublinhou ainda o papel central da plataforma XSIAM na automatização e na redução dos falsos positivos, o que permite às equipas de segurança focar-se em ações proativas e decisivas.

	Christiam Carrillo, Cyber Threats Management Offering Leader da IBM

Christiam Carrillo, Cyber Threats Management Offering Leader da IBM, destacou a forma como a empresa está a apoiar a transformação dos SOC, sublinhando o papel da inteligência artificial e da automação para tornar os serviços mais proativos e eficientes. “O nosso objetivo mínimo é automatizar pelo menos 55% de todo o processo de gestão de alertas, desde a deteção à investigação e resposta, integrando tudo com as tecnologias que o cliente já possui”, afirmou. Christian Carrillo referiu ainda que esta evolução é indispensável para enfrentar o aumento do volume de dados e a complexidade tecnológica, defendendo que “há alguns anos, esta tecnologia não existia; hoje, é o impulsionador que permite libertar as equipas humanas para atividades de maior valor”.

Raquel Lopez, Security Services Solution Design & Projects Leader da IBM

Para destacar o valor de um projeto bem estruturado, Raquel Lopez, Security Services Solution Design & Projects Leader da IBM, trouxe um caso de sucesso de como a empresa conseguiu transformar o SOC de um cliente do setor financeiro em Espanha, através de uma transição sem sobressaltos. “Obtivemos zero incidências durante todo o projeto, o cliente felicitou-nos e melhorámos consideravelmente as capacidades de deteção e resposta”, afirmou. Sublinhou ainda que o êxito se deveu à combinação entre experiência, planeamento detalhado, envolvimento antecipado dos vários stakeholders e uma estratégia personalizada, que permitiu avançar sem qualquer interrupção nos sistemas já existentes.

	Paulo Martins, Diretor IT & Operações do Sport Lisboa e Benfica

Paulo Martins, Diretor IT & Operações do Sport Lisboa e Benfica: “Estou inclinado a acreditar que não só o SOC, mas as operações das organizações vão mudar. Falou-se muito da complexidade tecnológica dentro das organizações, que hoje é grande, e da falta de know-how, e acho que todos sofremos um pouco com isso. Não falando só do SOC, mas de uma estratégia mais global, estou alinhado com esta visão e temos vindo a trabalhar nela, usando IA e criando processos mais integrados. Agora, vai haver uma fase de transição em que as empresas vão começar a utilizar IA autónoma. Temos feito esse caminho, muito focados em ferramentas que nos criam playbooks automáticos na área de operações, seja para o SOC, seja fora do SOC. Penso que daqui a dois anos, com a grande aceleração da IA, isso vai apoiar não só o SOC, mas todas as operações da organização, mudando funções, pessoas e competências”

David Marques, Head of Cybersecurity do Grupo Nabeiro

David Marques, Head of Cybersecurity do Grupo Nabeiro: “A automação é, evidentemente, um dos objetivos que vemos aqui claramente, especialmente para melhorar algo que, para mim, é fundamental em termos de SOC e resposta a incidentes: a rapidez de resposta. Trabalhei muitos anos do lado do prestador de serviços e fiz muita resposta a incidentes no passado, e uma das lições mais claras é que, na grande maioria das vezes, quando os incidentes acontecem, os dados estão todos lá. Não houve foi tempo de olhar para eles e responder de forma mais efetiva. Portanto, a automação penso que nos pode dar esta diminuição do tempo de resposta, que hoje em dia é fundamental. Esse, claramente, é um caminho que estamos a seguir e penso que é inevitável. Por outro lado, um dos desafios é sempre o custo versus benefício de colocar mais fontes de dados, mais alarmística”

	Luís Lança, Country Manager, Palo Alto Networks

Luís Lança, Palo Alto Networks: “Uma das previsões para 2025 é exatamente que, em 2030, mais de 70% dos SOC vão estar automatizados. A principal vantagem que vemos hoje é criar um primeiro passo, que é a visibilidade. Eu tenho os meus dados, mas a visibilidade sobre eles não existe; portanto, se não a tenho, não consigo melhorar o meu tempo de resposta. Vejo isto como uma plataforma modular, que consolida alguns dados, mas que depois precisa de ser automatizada e de ter contexto de negócio, para poder ajudar a decidir melhor. E, tanto numa vertente de threat hunting como numa vertente de reactive service, fizemos assim para deteção e resposta”

Carlos Creus, Security Services Leader da IBM

Carlos Creus, IBM: “Estamos a gerar assistentes de gestão do conhecimento. O que quero dizer com gestão do conhecimento? O modelo RAC, onde fazem casos, não é só a documentação, mas também guardar como foi resolvido, qual era a causa, com quem se consultou, qual é a informação do negócio ao redor deste incidente, e guardar isso. Guardam esse conhecimento que as equipas depois podem consultar e usar como parte da sua ferramenta no dia a dia. Não só estamos a potenciar, como estamos a capitalizar, porque se houver qualquer rotação nessas equipas, o sistema de gestão do conhecimento mantém-se dentro da empresa”

	Sérgio Trindade, IT Director of Solutions and Digital Systems, CISO, Águas do Tejo Atlântico

Sérgio Trindade, IT Director of Solutions and Digital Systems, CISO, Águas do Tejo Atlântico: “Estamos a competir com modelos de IA, ferramentas avançadas. O ataque já não é como o identificávamos anteriormente. Estamos a tentar fazer o que podemos internamente, com recursos humanos que não existem no mercado, porque os que existem ou não estão bem preparados ou os que estão, em geral, não temos budget para pagar. Vamos tentando fabricar o que podemos. Nesse “fabricar o que podemos” para construir um SOC, tentamos aliar ferramentas diferentes que não falam entre si. E isso foi exatamente o que retive do que poderíamos ter em soluções deste género: entre fabricantes, distribuidores, consultores, começar a fazer aquilo que já vimos acontecer noutro tipo de guerras”

Nuno Palma, Diretor do Departamento de Tecnologias de Informação da Câmara de Cascais

Nuno Palma, Diretor do Departamento de Tecnologias de Informação da Câmara de Cascais: “Na administração pública, acho que, para além do mais, a componente do planeamento estratégico e, sobretudo, do conhecimento dos stakeholders é muito crítico. Se esta tecnologia não for assimilada e, em termos de aprendizagem automática, não tivermos regras que sejam efetivamente alimentadas, modelos construídos com base na experiência de cada um, dificilmente a administração pública estará, hoje ou amanhã, preparada para qualquer ataque. Enquanto não pensarmos em conjunto e não definirmos uma estratégia com a ajuda das entidades especializadas – que são as que nos podem ajudar diretamente – dificilmente esta automatização será rentabilizada positivamente”

	Jorge Moreira, Information Security Officer da Universidade do Porto

Jorge Moreira, Information Security Officer da Universidade do Porto: “Na realidade, temos de ter espírito crítico, principalmente com a IA. São coisas que temos de questionar: como é que vamos fazer a arquitetura das coisas? Porquê? É nesta vertente que as equipas internas têm de trabalhar. Se perdemos demasiado tempo a olhar para o incidente, não temos tempo sequer para questionar. Isto funciona, a nível geral, porque as pessoas não se questionam. Acomodam-se às situações, tomam as coisas como garantidas e não avançam para o próximo passo. Na área da cibersegurança, temos de ser capazes de questionar”

Paulo Ferreira, Especialista DSST, IGFEJ

Paulo Ferreira, Especialista DSST, IGFEJ: “É necessário que as equipas consigam responder melhor a esse fluxo, tendo em conta os ataques que vão surgindo, e é óbvio que não podemos fugir disso. A inteligência artificial representa uma viragem e, queiramos ou não, não vamos escapar a este novo desafio. A própria IA vai acabar por ajudar a gerir todo esse fluxo enorme, que hoje começa a ser complicado, e permitirá responder de forma mais eficaz. Contudo, é importante frisar que a IA não irá substituir as estratégias das organizações, públicas ou privadas, e será difícil encontrar uma organização que não inclua soluções de IA nas suas estratégias. No que diz respeito à cibersegurança, devemos olhar para a IA como um suporte”

	Alberto Bruno, Head of SOC da Altice Portugal

Alberto Bruno, Head of SOC da Altice Portugal: “Quando automatizamos e deixamos a máquina fazer a triagem de primeiro nível, ou até um pouco mais, e tomar decisões sobre como mitigar, temos de ter total certeza de que isso não vai prejudicar a operação. Naturalmente, quem ataca pode usar a IA como quiser: se falhar, tenta outra vez, sem problema. Quem está a defender através de automação ou inteligência artificial, se falhar, tem um problema grave. Temos de ter confiança total nestas tecnologias e garantir que os resultados são os esperados. Depois, há obviamente a questão dos custos: quanto é que esta mudança nos vai custar e quanto é que vai render – no fundo, o tal custo-benefício”

José Augusto Silva, Head of Information Security Unit da Universidade do Porto

José Augusto Silva, Head of Information Security Unit da Universidade do Porto: “Sou adepto do modelo híbrido através do apoio de um parceiro que nos apoie. Nós não temos um SOC 24/7, por isso a resiliência passa por aumentar essa cobertura. Depois, há a heterogeneidade das fontes e dos sistemas, que é outro problema, assim como o turnover do talento – e este não é um problema exclusivo do setor público, também acontece no privado. Ao adotarmos um modelo híbrido e utilizarmos um tipo de automação, vamos conseguir reter e atrair recursos que queiram usar soluções inovadoras, porque não é só o salário que mantém os membros de uma equipa”

	Pedro Galveias, Leading Cybersecurity Operations da TAP Air Portugal

Pedro Galveias, Leading Cybersecurity Operations da TAP Air Portugal: “Estamos a tentar ganhar alguma visibilidade, sobretudo mais contexto na nossa operação. Sou adepto desta abordagem híbrida, principalmente numa empresa que tem um setor muito específico, em que o contexto é fundamental. Um dos nossos maiores objetivos no fim desta jornada é conseguir traduzir a existência, ou não, de uma deteção, que pode ter um custo consoante o ativo. No final do dia, poder traduzir o que estamos a fazer em euros, que são salvos todos os dias, fará uma enorme diferença no desenvolvimento da própria empresa”

Vítor Almeida, Cybersecurity, SPMS

Vítor Almeida, Cybersecurity, SPMS: “A capacidade de termos um SOC que responda de forma rápida e assertiva a determinados incidentes é muito importante. A automação vai ajudar bastante as equipas. Relativamente à estratégia da minha empresa, estamos a falar de vidas humanas, o que torna tudo ainda mais sensível. Por isso, há um investimento crescente para garantir que os componentes mais complexos de IT possam ser monitorizados e que as equipas possam intervir com maior rapidez face a possíveis incidentes”

	Fernando Aguiar, Cybersecurity Operations e SOC Manager do Banco CTT

Fernando Aguiar, Cybersecurity Operations e SOC Manager do Banco CTT: “Para planear uma mudança ao nível da cibersegurança, é fundamental começar pelo início: olhar para os desafios que existem e dar-lhes resposta. De forma geral, passam pelo ambiente com diversas plataformas, os alertas que surgem de todos os lados e a dificuldade em centralizá-los, de modo a proporcionar à equipa a visibilidade necessária para responder eficazmente. O conceito de plataformização chama a atenção e traz algum alívio, sobretudo se estivermos a falar de uma plataformização que não nos prenda a um único fabricante – ou seja, que permita reunir todas as soluções numa só plataforma, de forma holística, com visibilidade mais assertiva para as operações"

Duarte Freitas, IBM Consulting - Cybersecurity Services da IBM

Duarte Freitas, IBM Consulting - Cybersecurity Services da IBM: “Relativamente à retenção de talento, é importante não só a componente salarial, mas também a forma como tratamos as pessoas. O trabalho de nível 1, por exemplo, o que um security analyst tem de fazer, é muito repetitivo. É uma carreira e muitos chegam com ambições de progredir no plano de carreira em cibersegurança, mas as tarefas são bastante repetitivas. Acredito que a automação e a introdução de técnicas de IA podem ter um impacto muito positivo, pois vão transferir essas pessoas para tarefas de maior valor, libertando-as do dia a dia monótono e repetitivo”

Conteúdo co-produzido pela MediaNext e pela Palo Alto Networks