Clear Sky Science
Explicações baseadas em evidências, com pouco jargão

Clear Sky Science · pt

Estrutura multiagente guiada por inteligência artificial para simulação adaptativa de ataques cibernéticos e resposta automatizada a incidentes em ambientes de cyber range

· Voltar ao índice

Por que exercícios cibernéticos mais inteligentes importam

Diariamente, empresas e governos ensaiam desastres digitais usando “cyber ranges” – redes seguras e isoladas onde invasores e defensores podem praticar. Mas muitos desses ambientes de treinamento ainda dependem de cenários roteirizados e previsíveis que mal se parecem com as ameaças furtivas e mutáveis de hoje. Este artigo apresenta uma nova forma de tornar esses exercícios muito mais realistas: usar “agentes” de inteligência artificial que aprendem a invadir e defender por conta própria, obrigando os treinandos e as ferramentas humanas a enfrentar oponentes que pensam e se adaptam.

De cenários estáticos a jogos de guerra vivos

Cyber ranges tradicionais funcionam um pouco como uma peça pré‑escrita: instrutores escolhem um roteiro de ataque, apertam iniciar e assistem a ação se desenrolar. Isso é útil para iniciantes, mas falha contra adversários modernos que encadeiam muitos passos silenciosos, sondam defesas e mudam de rumo quando detectados. Estudos citados no artigo mostram que mais da metade dos ataques simulados não inclui táticas cruciais como deslocar‑se de uma máquina comprometida para outra ou ocultar‑se das ferramentas de monitoramento. O resultado é um treinamento que parece bom no papel, mas prepara pouco os analistas para a realidade desordenada da internet.

Treinando agentes digitais para atacar e defender

Para fechar essa lacuna, os autores constroem um sistema multiagente – uma pequena sociedade de entidades de software que agem de forma independente, mas interagem dentro de uma rede virtual compartilhada. De um lado há agentes atacantes que aprendem a planejar e ajustar suas ações usando feedback por recompensas e penalidades, muito parecido com uma IA que aprende a vencer em jogos. Do outro há agentes defensores que observam o tráfego de rede em busca de padrões incomuns e escolhem automaticamente como reagir, por exemplo isolando um computador suspeito ou bloqueando uma conexão arriscada. Ambos os conjuntos de agentes são treinados em grandes coleções de tráfego de rede do mundo real, de modo que seu comportamento reflita uso malicioso e normal genuíno, em vez de exemplos artificiais.

Figure 1
Figura 1.

Construindo e conectando o ambiente de testes

A equipe integra esses agentes ao CyDER 2.0, um cyber range baseado em nuvem que pode criar diferentes tipos de redes corporativas, desde configurações pequenas com algumas dezenas de máquinas até ambientes grandes com centenas de hosts. Antes do treinamento, eles limpam e reequilibram cuidadosamente os dados subjacentes para que ataques raros não sejam sufocados pelo tráfego cotidiano. O agente atacante usa aprendizado profundo para explorar sequências de múltiplos passos, como escanear máquinas vulneráveis, explorar uma delas, escalar privilégios e então espalhar‑se ou roubar dados, tudo tentando permanecer despercebido. Os agentes defensores combinam duas abordagens complementares: um classificador tradicional ajustado em ataques rotulados e um autoencoder que aprende como é o “normal” e sinaliza desvios, incluindo truques não vistos antes.

Como o cyber range inteligente se sai na prática

Os pesquisadores confrontam seus agentes guiados por IA com duas alternativas comuns: scripts fixos e uma configuração multiagente baseada em regras cujo comportamento nunca muda de fato. Em redes de teste pequenas, médias e grandes, os agentes com aprendizado detectam ataques com mais precisão e cometem menos falhas. No cenário de ataque misto mais exigente, na maior rede, o novo sistema mantém um forte equilíbrio entre detectar ameaças e evitar alarmes falsos, enquanto as abordagens estáticas se degradam severamente. Igualmente importante, suas respostas automatizadas são acionadas vários segundos mais rápido que as linhas de base, uma margem que pode limitar significativamente os danos em invasões de ação rápida. Os agentes atacantes também se tornam mais capazes durante o treinamento, encadeando correntes de ataque mais longas e complexas, enquanto o uso de recursos por todos os agentes permanece dentro de limites modestos.

Figure 2
Figura 2.

O que isso significa para a prontidão no mundo real

Visto do ponto de vista de um leigo, o estudo mostra que os exercícios de cibersegurança podem evoluir de práticas enlatadas para jogos de guerra vivos onde ambos os lados pensam por si mesmos. Ao conectar atacantes e defensores aprendizes a redes de prática realistas e alimentá‑los com registros genuínos de tráfego, a estrutura produz cenários que se parecem e se comportam muito mais como incidentes reais. Em testes, isso resulta em detecção mais afiada, reação mais rápida e capacidade de escalar para ambientes mais complexos sem sobrecarregar o sistema. Os autores argumentam que ranges inteligentes assim podem preparar melhor equipes de segurança para ataques futuros e fornecer uma base para defesas digitais mais autônomas, enquanto trabalhos futuros se concentrarão em reduzir o tamanho desses agentes poderosos para que também possam operar em dispositivos menores e menos potentes.

Citação: Agrawal, A., Nadeem, M., Al Nuaim, A. et al. Artificial intelligence driven multi agent framework for adaptive cyber attack simulation and automated incident response in cyber range environments. Sci Rep 16, 11673 (2026). https://doi.org/10.1038/s41598-026-45937-9

Palavras-chave: cyber range, ataques cibernéticos adaptativos, sistemas multiagente, defesa orientada por IA, resposta a incidentes