Mon, 13 Apr 2026
← VoltarA Anthropic restringiu seu modelo Mythos Preview depois de explorar vulnerabilidades de dia zero. A velocidade do ataque cibernético está aumentando, desafiando os prazos de defesa tradicionais.
A Anthropic restringiu seu modelo Mythos Preview na semana passada, depois de encontrar e explorar de forma autônoma vulnerabilidades de dia zero em todos os principais sistemas operacionais e navegadores. Wendi Whitmore, da Palo Alto Networks, alertou que capacidades semelhantes estão a semanas ou meses da proliferação. O Relatório de Ameaças Globais de 2026 da CrowdStrike estima o tempo médio de interrupção do eCrime em 29 minutos. O M-Trends 2026 da Mandiant mostra que os tempos de transferência do adversário caíram para 22 segundos.
O ataque está ficando mais rápido. A questão é onde exatamente os defensores são lentos – porque não é onde a maioria dos painéis do SOC sugere. As ferramentas de detecção ficaram materialmente melhores. As plataformas EDR, segurança na nuvem, segurança de e-mail, identidade e SIEM são fornecidas com lógica de detecção integrada que leva o MTTD para perto de zero para técnicas conhecidas.
Isso é um progresso real e é o resultado de anos de investimento em engenharia de detecção em todo o setor. Mas quando os adversários operam em cronogramas medidos em segundos e minutos, a questão não é se suas detecções são disparadas com rapidez suficiente. É o que acontece entre o alerta ser disparado e alguém realmente captá-lo. A lacuna pós-alerta Depois que o alerta é acionado, o relógio continua funcionando.
Um analista precisa vê-lo, pegá-lo, reunir o contexto da pilha, investigar, tomar uma decisão e iniciar uma resposta. Na maioria dos ambientes SOC, essa sequência é onde realmente reside a maior parte da janela operacional do invasor. O analista está no meio de uma investigação sobre outra coisa. O alerta entra em uma fila.
O contexto está espalhado por quatro ou cinco ferramentas. A investigação em si requer consulta ao SIEM, verificação de logs de identidade, extração de telemetria de endpoint e correlação de cronogramas. Para uma investigação completa – que resulte em uma determinação defensável, e não em um fechamento instintivo – são 20 a 40 minutos de trabalho prático, presumindo que o analista comece imediatamente, o que raramente acontece. Contra uma janela de fuga de 29 minutos, a investigação ainda não começou quando o atacante se moveu lateralmente.
Contra uma transferência de 22 segundos, o alerta ainda pode estar na fila. MTTD não captura nada disso. Ele mede a rapidez com que a detecção é disparada e, nesse aspecto, a indústria fez um progresso genuíno. Mas essa métrica para no alerta.
Não diz nada sobre quanto tempo realmente durou a janela pós-alerta, quantos alertas receberam uma investigação real em comparação com uma rápida leitura ou quantos foram fechados em massa sem uma análise significativa. O MTTD relata a parte do problema em que a indústria já fez progressos reais. A exposição a jusante — a lacuna de investigação pós-alerta — não se reflete em lado nenhum. O que muda quando a IA trata da investigação Uma investigação orientada por IA não melhora a velocidade de detecção.
MTTD é uma métrica de engenharia de detecção e permanece a mesma. O que a IA comprime é a linha do tempo pós-alerta, que é exatamente onde reside a exposição real. A fila desaparece. Cada alerta é investigado à medida que chega, independentemente da gravidade ou da hora do dia.
A montagem de contexto que levou 15 minutos para um analista alternar entre guias acontece em segundos. A investigação em si – raciocinando através de evidências, girando com base nas descobertas, chegando a uma determinação – é concluída em minutos, em vez de uma hora. Foi para isso que construímos o Prophet AI. Ele investiga cada alerta com a profundidade e o raciocínio de um analista sênior, na velocidade da máquina: planejando a investigação de forma dinâmica, consultando as fontes de dados relevantes e produzindo uma conclusão transparente e baseada em evidências.
A lacuna pós-alerta não existe neste modelo porque não há fila nem tempo de espera. Para as equipes que trabalham em direção a esse benchmark, publicamos etapas práticas para reduzir o tempo de investigação para menos de dois minutos. A mesma restrição estrutural se aplica ao MDR. Os analistas de MDR enfrentam o mesmo gargalo pós-alerta porque ainda estão limitados pela capacidade de investigação humana.
A mudança da investigação humana terceirizada para a investigação de IA remove totalmente esse teto, mudando o que se torna mensurável de forma abrangente. avaliar o desempenho real do seu SOC. As métricas que importam agora Quando a janela pós-alerta entra em colapso, as métricas de velocidade tradicionais deixam de ser os indicadores mais informativos. O MTTI de dois minutos é significativo no primeiro trimestre em que você relata.
Depois disso, é o que está em jogo. A questão muda de "quão rápido somos?" para "quão mais forte está ficando nossa postura de segurança com o tempo?" Quatro métricas capturam isso: Taxa de cobertura de investigação. Que porcentagem do total de alertas recebe uma investigação completa que consiste em uma linha completa de questionamentos com evidências? Em um SOC tradicional, esse número é normalmente de 5 a 15%.
O resto é ignorado, fechado em massa ou ignorado. Em um SOC baseado em IA, deveria ser 100%. Esta é a métrica mais importante para entender se o seu SOC está realmente vendo o que está acontecendo no seu ambiente. Cobertura de superfície de detecção.
Cobertura da técnica MITRE ATT&CK mapeada em sua biblioteca de detecção, com lacunas identificadas e rastreadas ao longo do tempo. Isso significa mapear continuamente a superfície de detecção, identificar técnicas com cobertura fraca ou nenhuma cobertura e sinalizar pontos únicos de falha ou cenários onde uma única regra de detecção é a única coisa entre a organização e a completa cegueira para uma técnica. A engenharia de detecção em um SOC baseado em IA exige repensar como essa superfície é mantida. Velocidade de feedback falso positivo.
Com que rapidez os resultados da investigação retroalimentam o ajuste de detecção? Na maioria dos SOCs, esse ciclo é executado na memória humana e em ciclos de revisão trimestrais. O estado alvo é contínuo: os resultados da investigação devem fluir diretamente para a otimização da detecção, suprimindo o ruído e melhorando o sinal sem esperar por uma revisão agendada. Taxa de criação de detecção orientada por busca.
Quantas detecções permanentes foram criadas a partir de descobertas de caça proativas versus respostas a incidentes? Isso mede se o seu programa de caça está expandindo sua superfície de detecção ou apenas gerando relatórios. As implementações mais fortes vinculam a busca diretamente às lacunas de detecção, onde você executa buscas baseadas em hipóteses contra as técnicas com a cobertura mais fraca e, em seguida, converte descobertas confirmadas em regras de detecção permanentes. Essas medições só importam quando a IA está realizando um trabalho de investigação real, mas representam uma visão fundamentalmente diferente do desempenho do SOC, orientada em torno de resultados de segurança e não de rendimento operacional.
A divulgação da Mythos cristalizou algo que a indústria de segurança já sabia, mas não internalizou totalmente: a IA está acelerando o ataque a um ritmo que torna insustentável a investigação à velocidade humana. A resposta não é entrar em pânico com as explorações geradas pela IA. É colmatar a lacuna onde os defensores são realmente lentos — a janela de investigação pós-alerta — e começar a avaliar se essa lacuna está a diminuir. As equipes que passarem da velocidade de detecção de relatórios para a cobertura de investigação e melhoria da detecção terão uma imagem mais clara de sua postura real de risco.
Quando os invasores têm IA trabalhando para eles, essa clareza é importante. A plataforma Agentic AI SOC da Prophet Security investiga cada alerta com a profundidade de um analista sênior, otimiza continuamente as detecções e executa caças direcionadas a ameaças contra lacunas de cobertura. Visite Prophet Security para ver como funciona.