Titulo Estágio
CyberGuardian: Um Assistente Inteligente para Resposta a Incidentes em SOCs
Local do Estágio
Remoto
Enquadramento
Num cenário cada vez mais complexo e dinâmico de ameaças cibernéticas, os Centros de Operações de Segurança (SOC) enfrentam o desafio constante de responder de forma eficaz e célere a alertas e incidentes. Um dos maiores obstáculos na resposta adequada a estes incidentes reside na dispersão da informação crítica — quer seja o histórico de casos semelhantes, quer sejam frameworks, livros de referência, procedimentos internos e boas práticas de outros SOCs ou especialistas na área.
A capacidade de aprender com o passado, mesmo quando os incidentes anteriores foram gerados por ferramentas ou contextos técnicos diferentes, é fundamental para garantir decisões informadas. É igualmente crucial trazer essa documentação e conhecimento diretamente até ao analista, no momento em que este mais precisa — no momento da resposta ao alerta —, reduzindo a dependência de pesquisa manual ou da consulta a múltiplas fontes dispersas.
Neste contexto, propõe-se o desenvolvimento de um assistente virtual, um bot inteligente, suportado por um modelo de linguagem natural (LLM), que funcionará como um verdadeiro "treinador" digital, assistindo o analista humano com sugestões práticas, legais e operacionais.
Objetivo
- Desenvolver um assistente virtual inteligente baseado em modelos de linguagem (LLM), capaz de analisar alertas recebidos por um SOC e, com base em casos históricos tratados anteriormente, sugerir um playbook de resposta adequado. Este assistente deverá:
- Beber conhecimento de incidentes passados, frameworks, literatura especializada e boas práticas de outros SOCs;
- Continuar a ingerir e adaptar-se a nova informação (alertas, livros, documentos, procedimentos, upvotes/downvotes, etc.);
- Gerar sugestões operacionais personalizadas para cada tipo de alerta;
- Incluir uma secção de recomendações legais de acordo com a legislação portuguesa (ou do país a que o alerta diz respeito), para garantir que a resposta está alinhada com os requisitos legais caso se pretenda avançar judicialmente;
- Indicar os principais riscos de um eventual mau tratamento do incidente, alertando o analista para potenciais consequências.
Plano de Trabalhos - Semestre 1
- Estado da Arte: Estudo de soluções semelhantes, Análise de modelos LLM existentes aplicáveis à área de cibersegurança; Levantamento de fontes de informação úteis (playbooks, livros, documentação legal, etc.)
- Requisitos Funcionais e Não-Funcionais: Identificação das necessidades específicas dos analistas em ambiente SOC; Especificação dos inputs esperados e outputs desejados; Definição dos requisitos legais a incorporar nas respostas automáticas.
- Arquitetura da Solução: Proposta de arquitetura geral do sistema, planeamento da integração com fontes de dados internas (alertas históricos, logs, etc.) e externas (livros, bases de conhecimento) e definição da estratégia de ingestão contínua de nova informação.
- Planeamento de Implementação: Roadmap técnico com milestones e definição das tecnologias a utilizar; Identificação de datasets para testes e treino do modelo.
Plano de Trabalhos - Semestre 2
- Desenvolvimento da aplicação: Implementação do protótipo funcional do bot; Integração com sistemas de alerta do SOC (simulados ou reais); Desenvolvimento dos módulos de ingestão de nova informação.
Treino e Ajuste do Modelo: Utilização de dados históricos para afinação do modelo; Implementação de mecanismos de feedback para aprendizagem contínua.
- Recomendações Legais e Avaliação de Riscos: Integração de um módulo legal que forneça, em 2 a 3 linhas, orientações legais relevantes para cada tipo de incidente, com base na legislação portuguesa; Análise de riscos potenciais decorrentes de um mau tratamento do alerta.
- Testes e Validação: Testes funcionais com incidentes reais ou simulados; Avaliação da eficácia das sugestões do bot junto de analistas; Validação da utilidade das recomendações legais e operacionais.
- Conclusões e Propostas Futuras: Avaliação global da experiência de desenvolvimento e implementação; Identificação de melhorias e possíveis caminhos para evolução futura do projeto.
Condições
- Material fornecido: Todo o material necessário será disponibilizado.
- Cartão refeição: 10,20€/dia.
Premiação:
- 1º semestre: Até 1000€, dependendo da concretização dos objetivos.
- 2º semestre: Até 2000€, dependendo da concretização dos objetivos.
Orientador
Rui Gonçalo Joaquim Dias Amaro
ramaro@artresilia.com 📩