Operationalising Cyber Risk Management Using AI: Connecting Cyber Incidents to MITRE ATT&CK Techniques, Security Controls, and Metrics

Este artigo apresenta um novo framework que utiliza Processamento de Linguagem Natural e o modelo "Cyber Catalog" para mapear automaticamente incidentes cibernéticos para técnicas do MITRE ATT&CK e controles de segurança, demonstrando alta precisão na correlação de ameaças a medidas acionáveis e métricas SMART para auxiliar organizações com recursos limitados na gestão de riscos cibernéticos.

O essencial

Imagine que a sua empresa é uma casa. Antigamente, para proteger essa casa, você apenas trancava a porta da frente (antivírus básico). Mas hoje, os ladrões (hackers) são como mestres do disfarce: eles podem entrar pela janela, pelo telhado, ou até fingir ser um entregador.

O problema é que, para saber qual fechadura comprar ou qual alarme instalar, você precisa entender exatamente como o ladrão tentou entrar. E é aqui que entra o trabalho deste artigo.

Aqui está a explicação do que os pesquisadores fizeram, usando uma analogia simples:

1. O Problema: O Caos na Sala de Controle

Imagine que você é o segurança de um grande shopping. Todos os dias, chegam centenas de relatórios escritos à mão dizendo: "Alguém tentou entrar pelo telhado usando uma escada" ou "Um funcionário foi enganado para abrir a porta".

• O Desafio: Você tem poucos funcionários e pouco tempo. Ler cada relatório, entender o que aconteceu, descobrir qual técnica o ladrão usou e depois decidir qual fechadura comprar é lento, cansativo e propenso a erros.
• A Falta de Ferramentas: As empresas têm listas de "como proteger" (chamadas de CIS Controls) e listas de "como os ladrões atacam" (chamadas de MITRE ATT&CK), mas ninguém consegue conectar os dois rapidamente. É como ter um manual de instruções de 1.000 páginas e um dicionário de crimes, mas sem um índice que diga: "Se o ladrão fez X, você precisa comprar a fechadura Y".

2. A Solução: O "Catálogo Cibernético" (O Grande Dicionário Mágico)

Os pesquisadores criaram algo chamado Cyber Catalog (Catálogo Cibernético). Pense nele como um tradutor universal ou um GPS para segurança.

• Como funciona: Ele conecta três coisas que antes viviam separadas:
  1. O Crime: O que aconteceu (o incidente).
  2. A Técnica: Como o criminoso fez (a linguagem dos hackers).
  3. A Defesa: O que você deve fazer para impedir (as fechaduras e alarmes).
• O Resultado: Em vez de um humano ler 50 relatórios e tentar adivinhar o que fazer, o sistema diz automaticamente: "Atenção! Houve uma tentativa de entrada pelo telhado. A técnica usada foi 'Escada'. A defesa necessária é 'Instalar sensores de movimento no telhado' e 'Medir a eficácia dessa instalação mensalmente'."

3. O Cérebro: A Inteligência Artificial (IA)

Para fazer esse "tradutor" funcionar rápido, eles usaram uma Inteligência Artificial (um modelo de linguagem, como um Chatbot muito esperto).

• O Treinamento (A Escola): A IA precisava aprender a linguagem dos hackers. Eles pegaram 762 casos reais de crimes cibernéticos. Mas isso era pouco para ensinar uma IA. Então, usaram outra IA (como o GPT-5) para criar 74.986 variações desses casos.
  • Analogia: É como se você tivesse um aluno que só viu um filme de terror. Para ele aprender a ter medo de tudo, você fez com que ele assistisse a 74.000 filmes diferentes, todos com o mesmo susto, mas com histórias levemente diferentes. Assim, ele aprende a identificar o "susto" (o crime) independentemente de quem é o ator ou onde é a cena.
• O "Truque" de Aprendizado: Eles ensinaram a IA a não se confundir. Às vezes, dois crimes parecem iguais, mas são diferentes. Eles criaram um método para a IA aprender a ver a diferença fina entre "entrar pela janela" e "entrar pela porta", mesmo que as palavras usadas sejam parecidas.

4. O Resultado: Precisão Cirúrgica

Antes desse treinamento, a IA era como um estudante mediano: acertava cerca de 59% das vezes. Depois de treinada com esse método especial, ela saltou para 79% de precisão na identificação e conexão correta.

• O que isso significa na prática?
  • Velocidade: O que levava horas para um analista humano, a IA faz em segundos.
  • Confiança: A IA não apenas aponta o problema, mas diz exatamente qual medida de segurança (e como medir se ela está funcionando) você deve adotar.
  • Economia: Pequenas empresas, que não têm equipes de segurança gigantes, podem usar essa ferramenta para se protegerem como se tivessem um exército de especialistas.

Resumo em uma frase

Os pesquisadores criaram um "tradutor automático" que lê relatórios confusos de ataques hackers, entende a linguagem técnica dos criminosos e, instantaneamente, diz à empresa qual fechadura instalar e como medir se essa fechadura está funcionando, tudo isso usando uma Inteligência Artificial super treinada para não cometer erros.

Isso transforma a segurança cibernética de um "quebra-cabeça manual e lento" em um "sistema automatizado e inteligente", permitindo que qualquer empresa, grande ou pequena, se proteja melhor contra os ladrões digitais.

Resumo técnico

Resumo Técnico: Operacionalização da Gestão de Riscos Cibernéticos via IA

1. Problema e Motivação

O cenário de ameaças cibernéticas atual caracteriza-se por um aumento sem precedentes na frequência e sofisticação de ataques. Pequenas e médias empresas (PMEs) são desproporcionalmente afetadas devido à falta de recursos financeiros, expertise técnica e pessoal especializado.
Os desafios operacionais principais identificados são:

• Processos Manuais e Escalabilidade: A análise de incidentes cibernéticos é tradicionalmente manual, exigindo que analistas traduzam narrativas de incidentes não estruturados em técnicas estruturadas (MITRE ATT&CK) e as mapeiem para controles de segurança (CIS Controls). Esse processo é lento, propenso a erros humanos e não escala com o volume de incidentes.
• Desconexão de Domínios: Existe uma lacuna entre a inteligência de ameaças (comportamento do adversário), os controles defensivos e as métricas de eficácia.
• Falta de Métricas Objetivas: A avaliação de controles de segurança frequentemente depende de julgamento subjetivo em vez de dados quantificáveis, dificultando a justificação de investimentos e a tomada de decisão baseada em evidências.

2. Metodologia Proposta

A pesquisa propõe um framework automatizado que integra Processamento de Linguagem Natural (NLP) com bases de conhecimento de segurança. A metodologia divide-se em cinco etapas principais:

A. Desenvolvimento do "Cyber Catalog" (Catálogo Cibernético)
Foi criada uma base de conhecimento unificada que integra três camadas:

1. Controles CIS (v8): 18 Controles Críticos de Segurança e seus 153 salvaguardas.
2. Técnicas MITRE ATT&CK: Comportamentos de adversários mapeados bidirecionalmente aos controles CIS.
3. Métricas SMART: Indicadores quantificáveis (Específicos, Mensuráveis, Alcançáveis, Relevantes e Temporais) para avaliar a implementação e eficácia dos controles.
   O catálogo foi disponibilizado publicamente em formato CSV para facilitar a integração automatizada.

B. Preparação e Augmentação de Dados

• Base de Dados: Utilizou-se o European Repository of Cyber Incidents (EuRepoC), contendo 762 pares incidentes-técnicas anotados manualmente por especialistas.
• Augmentação Sintética: Para superar a escassez de dados, utilizou-se um modelo de Linguagem (GPT-5) para gerar 100 descrições sintéticas semanticamente similares, mas lexicalmente distintas, para cada incidente original.
• Controle de Qualidade: Filtragem rigorosa utilizando BERTScore (F1 > 0.75) para garantir a fidelidade semântica, resultando em um conjunto final de 74.986 pares.
• Mineração de Negativos Duros (Hard Negative Mining): Para lidar com a relação "um-para-muitos" (vários incidentes mapeando para a mesma técnica), o modelo foi instruído a identificar técnicas semanticamente similares, mas incorretas, forçando o modelo a aprender distinções mais finas.

C. Arquitetura do Modelo e Treinamento

• Modelo Base: Selecionado o all-mpnet-base-v2 (Sentence Transformers), conhecido por gerar embeddings de alta qualidade.
• Função de Perda Adaptada: Implementou-se uma modificação na Multiple Negatives Ranking Loss (MNRL) usando um NoDuplicatesDataLoader. Isso evita que pares positivos que compartilham a mesma técnica no mesmo batch sejam tratados erroneamente como negativos (falsos negativos), um problema comum em dados de segurança.
• Configuração: Treinamento realizado em 10 épocas com learning rate de 2e-5 e batch size de 16.

3. Principais Contribuições

1. O "Cyber Catalog": Uma nova base de conhecimento que conecta sistematicamente ameaças (ATT&CK), defesas (CIS) e métricas de desempenho, preenchendo uma lacuna crítica na gestão operacional de segurança.
2. Pipeline de Dados de Alta Qualidade: Uma abordagem robusta para criação de dados de treinamento sintético, validada por BERTScore e enriquecida com mineração de negativos duros para lidar com ambiguidades de mapeamento.
3. Modelo Especializado (ft_mpnet_v6): Demonstração de que o fine-tuning de modelos transformadores gerais com dados específicos de cibersegurança supera significativamente os modelos de base, permitindo mapeamento automatizado e preciso.
4. Recursos Abertos: Disponibilização pública do catálogo, conjunto de dados, modelo treinado e código para fomentar a pesquisa e implementação prática.

4. Resultados Experimentais

O modelo fine-tuned (ft_mpnet_v6) foi comparado contra modelos de base de ponta (como all-mpnet-base-v2, all-distilroberta-v1 e all-MiniLM-L12-v2):

• Correlação de Spearman (ρ): O modelo alcançou 0.7894, superando o limite de "correlação muito forte" (>0.7). Isso representa uma melhoria de aproximadamente 0.21 (ou ~37%) em relação aos melhores modelos de base (que ficaram em ~0.58).
• Correlação de Pearson (r): 0.8756, indicando uma forte relação linear entre as previsões e os valores reais.
• Erros de Previsão:
  • MAE (Erro Médio Absoluto): 0.135 (redução de ~67% em relação às bases).
  • MSE (Erro Quadrático Médio): 0.027 (redução drástica em relação às bases, que variaram entre 0.24 e 0.33).
• Distribuição de Erros: A análise de violinos mostrou que o modelo proposto possui uma distribuição de erros mais estreita e concentrada perto de zero, indicando maior consistência e estabilidade, com probabilidade mínima de erros catastróficos (outliers).

5. Significado e Impacto Prático

Este trabalho oferece uma solução viável para a operacionalização da gestão de riscos cibernéticos, especialmente para organizações com recursos limitados:

• Triagem Automatizada: Reduz drasticamente o tempo de resposta a incidentes ao mapear automaticamente descrições de incidentes para técnicas ATT&CK e controles CIS relevantes.
• Gestão Baseada em Evidências: Permite que as organizações identifiquem lacunas de segurança e priorizem investimentos com base em dados objetivos e métricas SMART, em vez de suposições.
• Escalabilidade: A abordagem automatizada permite lidar com grandes volumes de incidentes sem aumentar proporcionalmente a carga de trabalho dos analistas.
• Futuro: O framework foi projetado para ser integrado em sistemas de detecção de intrusão (HIDS) e expandido para incluir outros frameworks de conformidade, como o NIST SP 800-53.

Em suma, a pesquisa demonstra que a combinação de bases de conhecimento estruturadas (Cyber Catalog) com técnicas avançadas de NLP (fine-tuning com mineração de negativos) pode transformar a resposta a incidentes cibernéticos de um processo manual e reativo em um sistema automatizado, escalável e orientado por dados.