A maioria dos incidentes é precedida por fatos menores que pareciam inofensivos isoladamente: serviço recém-exposto, vulnerabilidade explorada, comportamento incomum de identidade, process chain rara, mudança de política ou controle que parou de funcionar.
O catálogo KEV da CISA identifica vulnerabilidades com evidência de exploração em campo. EPSS da FIRST estima a probabilidade de atividade de exploração nos próximos 30 dias. A função Detect do NIST pede detecção oportuna de anomalias e monitoramento contínuo. Nenhum prevê um incidente exato. Juntos, ajudam a decidir onde o próximo incidente evitável está ficando mais provável.
A mudança útil é sair da resposta alerta por alerta para hipóteses de risco atualizadas continuamente. Um ativo público com KEV, identidade privilegiada exposta e process chain anômala merece resposta diferente de um finding médio isolado em sandbox.
EPSS estima probabilidade de ameaça, não risco completo. CISA KEV confirma exploração observada, mas não conhece alcance ou valor do seu ativo. CVSS descreve severidade, não exposição atual. Modelos de anomalia identificam desvio, não intenção maliciosa. O pipeline combina tudo com contexto ambiental e explica quais fatos mudaram a decisão.
Risco também é sensível ao tempo. Um gateway vulnerável pode sair da fila de patch para contenção emergencial quando o status KEV muda. Uma service account dormente pode virar urgente após login raro e concessão de privilégio. Scores devem expirar, atualizar e preservar o histórico de transições.
As detection strategies do MITRE ATT&CK organizam analytics específicos em abordagens para técnicas adversárias. Estratégias de behavior chain mostram por que eventos isolados são insuficientes: request suspeito seguido de erro, processo novo e egress incomum vale mais que cada fato sozinho. Sigma oferece formato portátil de regras, mas toda regra ainda precisa de dados, tuning, owner, testes e feedback.
O pipeline preemptivo também deve pontuar pontos cegos. Telemetria ausente, logging desabilitado, inventário stale ou regra falhando reduzem confiança e podem aumentar risco. Monitoramento contínuo deve verificar se controles ainda funcionam, não apenas coletar eventos.
| Combinação de sinais | Hipótese | Ação automatizada de baixo arrependimento | Decisão humana |
|---|---|---|---|
| Ativo público + CISA KEV + serviço privilegiado. | Exploração ativa pode alcançar sistema de alto impacto. | Abrir mudança emergencial, restringir ingress, aumentar telemetria e snapshot. | Aplicar patch, isolar ou aceitar exposição temporária. |
| EPSS alto + ativo alcançável + versão confirmada. | Probabilidade aumenta antes de evidência direta. | Elevar prioridade, preparar fix e apertar WAF ou policy. | Aprovar prazo e tradeoff de indisponibilidade. |
| Login raro + novo privilégio + acesso a repositório sensível. | Identidade comprometida pode estar escalando e coletando dados. | Exigir step-up, suspender novos tokens e preservar evidência. | Revogar identidade, investigar ou restaurar acesso. |
| Process chain suspeita + novo egress + acesso a secret. | Workload pode executar pós-exploração. | Bloquear destino, isolar workload, rotacionar secret escopado e capturar forense. | Ampliar contenção e declarar incidente. |
| Logging desabilitado + drift + owner sem resposta. | Perda de visibilidade pode ocultar ataque ou mudança insegura. | Restaurar logs, congelar mudanças de risco e escalar falha. | Investigar intenção e aprovar recovery. |
| Anomalia repetida de baixo impacto e padrão benigno. | Detecção ruidosa consome atenção. | Reduzir prioridade, anexar evidência e propor tuning. | Aprovar mudança sem esconder variantes futuras. |
Resposta automatizada é mais segura quando estreita, reversível, temporária e evidenciada. Exigir step-up, bloquear um destino, colocar um workload em quarentena ou reduzir escopo de token compra tempo sem desligar o negócio. Desabilitar identidade de produção, isolar banco crítico ou rotacionar credencial compartilhada pode exigir aprovação porque a própria contenção pode virar incidente.
NIST SP 800-61 Rev. 3 integra resposta a incidentes ao gerenciamento de risco. Cada ação automatizada precisa de owner, expiração, rollback, motivo, confiança e audit trail.
Eu construiria um risk graph que une ativos, identidades, vulnerabilidades, exposições, controles, threat intelligence, detecções mapeadas ao ATT&CK e comportamento recente. Cada hipótese mostraria sinais, evidências ausentes, histórico do score, attack path provável, ações e autoridade de contenção.
O dashboard classificaria risco evitável, não volume bruto de alertas. Mediria tempo de sinal até decisão, risco removido antes da declaração, reversões de contenção, custo de falso positivo, cobertura e incidentes cujos precursores estavam visíveis, mas foram ignorados.
Cibersegurança preemptiva é agir enquanto a evidência está incompleta, mas a ação ainda é barata. Correlacione cedo, explique incerteza, automatize apenas respostas limitadas e preserve evidência suficiente para aprender se o sistema preveniu risco ou apenas o moveu.
Artigo sobre pipelines de cibersegurança preemptiva usando CISA KEV, EPSS, threat intelligence, anomalias, behavior chains ATT&CK, risk scoring e contenção automatizada limitada.