Como detectar e conter ameaças impulsionadas por IA com agentes do Google Security Operations

TL;DR

Com o aumento de ataques acelerados por IA e a redução do tempo médio para exploração de vulnerabilidades (já negativo em -7 dias), o Google Security Operations lança agentes de IA que automatizam a geração de detecções, a investigação de alertas e a caça retroativa. Para empresas brasileiras que convivem com atrasos em patches ou dependem de código não gerenciável, a plataforma oferece uma camada autônoma de defesa que reduz riscos e custos operacionais.

Para se defender contra o crescente espectro de atores de ameaças acelerados por IA, as organizações precisam responder mais rápido do que os adversários.

Recentemente, a Google anunciou o Google AI Threat Defense, um sistema de segurança automatizado projetado para monitorar continuamente e impedir ameaças impulsionadas por IA antes que impactem os negócios. Baseado na própria abordagem da Google para gerenciamento de vulnerabilidades, ele se sustenta em quatro etapas: Preparar, Escanear e priorizar, Reme­diar e Monitorar.

Hoje, estamos compartilhando mais detalhes sobre como o Google Security Operations trabalha em conjunto com o AI Threat Defense para monitorar, detectar e responder a ameaças, especialmente aquelas originadas de código que você não possui ou não pode corrigir. A lacuna de remediação representa uma vulnerabilidade crítica.

De acordo com o M-Trends 2026, a exploração de vulnerabilidades se tornou o vetor de infecção inicial mais comum. O relatório também indica que o tempo médio para exploração caiu para -7 dias, ou seja, a exploração frequentemente ocorre antes mesmo de um patch ser oficialmente lançado. O Google Security Operations fornece a estrutura operacional necessária para conter ataques de forma autônoma em todo o ambiente corporativo.

Engenhado em torno de uma abordagem abrangente que utiliza controles compensatórios com segurança proativa para fortalecer a resiliência operacional, o Google Security Operations é construído sobre três pilares estratégicos para visibilidade entre ambientes em toda a superfície de ataque:

• Análise de cobertura e geração de detecções contínuas e autônomas
• Investigação, contenção e resposta autônomas
• Caça retroativa (retroactive hunting)

Projetado para ajudar você a ver e responder a ameaças mais rápido do que nunca, entregamos essas capacidades em escala e velocidade de máquina. Junto com o Google AI Threat Defense, fornecemos a plataforma autônoma necessária para superar ataques impulsionados por IA.

1. Análise de cobertura e geração de detecções contínuas e autônomas

Embora a defesa proativa possa identificar vulnerabilidades antes que sejam exploradas, sempre haverá aplicações que você não pode corrigir, além de potenciais lacunas no tempo necessário para remediar vulnerabilidades.

O 2026 Verizon Data Breach Investigations Report destaca a magnitude desse desafio. Em um estudo com mais de 13.000 organizações, apenas 26% das vulnerabilidades identificadas na lista CISA Known Exploited Vulnerabilities (KEV) haviam sido completamente remediadas. Além disso, a duração mediana para concluir o patch após a detecção é de 43 dias. Claramente, você ainda precisa de monitoramento contínuo para detectar ameaças em seus ambientes.

Copiar    <div class="article-video__aspect-image"
      style="background-image: url(https://storage.googleapis.com/gweb-cloudblog-publish/images/SecOps-AITD_YouTube_Thumbnail.max-1000x1000.png);">
      <span class="h-u-visually-hidden">Detection Engineering agent. Results for illustrative purposes.</span>
    </div>
  
  <svg role="img" class="h-c-video__play h-c-icon h-c-icon--color-white">
    <use xlink:href="#mi-youtube-icon"></use>
  </svg>
</a>


  <figcaption class="article-video__caption h-c-page">
    
      <h4 class="h-c-headline h-c-headline--four h-u-font-weight-medium h-u-mt-std">Detection Engineering agent. Results for illustrative purposes.</h4>
    
    
      <p>Detection Engineering agent. Results for illustrative purposes.</p>
    
  </figcaption>

O Detection Engineering agent no Google Security Operations pode traduzir automaticamente novos padrões de exploração de vulnerabilidades não corrigidas em detecções personalizadas para o seu ambiente específico. Disponível em preview, ele analisa uma variedade de fontes de entrada para reconhecer rapidamente atividades maliciosas, permitindo descobrir padrões de ataque emergentes.

As fontes do agente incluem Google Threat Intelligence (inteligência de ameaças emergentes, novos padrões de ataque curados pela Mandiant, repositórios de ferramentas ofensivas, relatórios de red e purple teams, análise autônoma de malware, repositórios e blogs de detecção de código aberto) e telemetria interna de segurança.

Para encontrar e preencher lacunas de cobertura automaticamente, o agente cria novas regras e as valida com eventos sintéticos, garantindo que seu ambiente esteja protegido antes que um exploit seja disparado.

2. Investigação, contenção e resposta autônomas

Se uma ameaça for detectada, você precisa avaliar e responder imediatamente de forma autônoma. Ao unir visibilidade de ativos em cloud e on-premises (endpoints, firewall, identidade, rede e logs de aplicações customizadas), o SOC obtém o contexto completo de um ataque no momento em que o adversário age.

O Triage & Investigation agent no Google Security Operations, já disponível em GA, ajuda analistas a reduzir drasticamente o tempo de resposta ao investigar alertas autonomamente, reunir evidências e fornecer veredictos com explicações detalhadas. Ele já investigou mais de 5 milhões de alertas, reduzindo uma análise manual típica de 30 minutos para 60 segundos com o Gemini.

Embora identificar ameaças seja crítico, o objetivo final é a remediação rápida. O Agentic automation, disponível em preview, combina agentes de IA dinâmicos com playbooks empresariais determinísticos, mantendo os analistas no controle total das ações de alto impacto enquanto a IA automatiza a tomada de decisão e os workflows de remediação.

3. Caça retroativa (retroactive hunting)

Mesmo com detecções autônomas e resposta rápida, adversários furtivos e exploits de dia zero podem contornar os controles iniciais. Para alcançar resiliência operacional, as equipes de segurança precisam olhar para trás, vasculhando dados históricos para descobrir comprometimentos ocultos.

O Threat Hunting agent, disponível em preview, ajuda equipes a caçar proativamente padrões de ataque desconhecidos e comportamentos que burlam defesas tradicionais, varrendo petabytes de telemetria empresarial (incluindo logs históricos) em busca de anomalias sutis. Isso desloca a postura do SOC de reativa para profundamente proativa.

Auditando o ataque à cadeia de suprimentos do Axios

Quando adversários conseguem gerar exploits e infraestrutura de comando e controle (C2) a custo marginal zero, indicadores estáticos como hashes e IPs perdem validade instantaneamente. Os defensores precisam detectar as táticas, técnicas e procedimentos (TTPs) comportamentais do ataque.

Testamos o Detection Engineering agent contra o recente ataque à cadeia de suprimentos do Axios (UNC1069). O agente mapeou a inteligência da campanha em oportunidades de detecção comportamental (TDOs), simulou a cadeia de ataque com logs UDM sintéticos de alta fidelidade e executou as regras ativas.

Conseguimos flagrar as fases de execução intermediárias (PowerShell renomeado e shells em segundo plano no macOS), mas ficamos cegos no ponto de entrada inicial (dropper NPM postinstall) e no ponto de saída C2 final. Ao expor esses pontos cegos, o agente nos ajudou a criar regras YARA-L customizadas para fechar o ciclo no primeiro e no último passo da kill chain.

Você pode se inscrever para o preview do Detection Engineering agent aqui.

Próximos passos

Ao integrar os agentes especializados nativos do Gemini do Google Security Operations ao seu workflow, você pode gerar detecções autonomamente, orquestrar contenção e caçar ameaças furtivas em velocidade de máquina. Isso permite manter uma defesa resiliente mesmo quando os controles primários falham, reduzindo em 70% os riscos e custos de violações.

O Google AI Threat Defense atuando junto com o Google Security Operations pode ajudar você a superar adversários automatizados. Para saber mais, participe do Security Talks online em 10 de junho.

Perguntas Frequentes

• O que é o Detection Engineering agent e como ele funciona?
  É um agente em preview que analisa fontes como Threat Intelligence do Google, relatórios Mandiant, repositórios ofensivos e telemetria interna para gerar automaticamente regras de detecção personalizadas para vulnerabilidades não corrigidas no ambiente da empresa.

• Como o Triage & Investigation agent reduz o tempo de resposta?
  Ele investiga alertas autonomamente, coleta evidências e fornece veredictos com explicações, reduzindo uma análise manual de 30 minutos para cerca de 60 segundos usando o Gemini. Já investigou mais de 5 milhões de alertas.

• O que é a abordagem de 'retroactive hunting' e por que é importante?
  É a capacidade de vasculhar petabytes de telemetria histórica em busca de anomalias que passaram despercebidas. Com o Threat Hunting agent, a equipe de segurança passa de uma postura reativa para proativa, identificando comprometimentos que bypassaram os controles iniciais.

• Como esses agentes se integram ao Google AI Threat Defense?
  Eles atuam como camada operacional do framework AI Threat Defense (Preparar, Escanear, Reme­diar, Monitorar), automatizando a detecção, contenção e caça em escala de máquina, mesmo para código não gerenciável.

• Qual o impacto prático para empresas que não conseguem aplicar patches rapidamente?
  Segundo o DBIR 2026, apenas 26% das vulnerabilidades da lista CISA KEV são corrigidas em até 43 dias. Os agentes preenchem essa lacuna gerando detecções customizadas e realizando contenção autônoma, reduzindo o risco de exploração mesmo sem patch.

Artigo originalmente publicado por Payal Chakravarty, Director of Product Management, Google Cloud em Cloud Blog.