Sophos usa IA multicamada para detectar infostealers em meio a 11,8 trilhões de eventos

A Sophos não está só automatizando triagem: está redesenhando a governança de alertas em SOCs de grande escala. O pipeline multicamada descrito na NorthSec 2026, com detecção por regra, modelos supervisionados (LSTM para DGA, regressão logística para comandos), deduplicação baseada em entidades e priorização via Gradient Boosted Trees, é uma resposta direta à falha estrutural de arquiteturas anteriores: processar telemetria como um fluxo bruto, sem camadas de abstração operacional. Isso se alinha ao que vimos na Coinbase, onde a conformidade foi reconstruída 'nativa em IA' para romper limites de memória de trabalho e filas de análise. Aqui, o limite não é humano, mas de capacidade de correlação, e a solução não é mais ML aplicado a dados, mas ML orquestrado como processo decisório.

O Taegis XDR, que ingere 800 bilhões de eventos por dia, funciona como a infraestrutura de dados da nova arquitetura. Mas seu valor real só emerge quando integrado a uma lógica de redução progressiva: de 11,8 trilhões de eventos para 81.573 alertas críticos, com menos de 50 por cliente. Esse número não é apenas uma métrica de eficiência, é um indicador de custo operacional. Cada alerta remanescente representa horas de análise humana, licenças de ferramentas de investigação e risco de compliance. A redução de 99,999% no volume de alertas passíveis de triagem manual impacta diretamente o TCO de segurança, especialmente em ambientes regulados onde cada alerta investigado exige documentação auditável.

Em abril de 2026, a Cloudflare liberou inteligência de ameaças baseada em domínios gratuitamente e expandiu sua detecção do lado do cliente. A Sophos agora vai além: não apenas libera modelos, mas opera uma cadeia fechada de detecção-priorização-supressão em produção, com dados reais de clientes. O que era conceito em apresentações anteriores (como o Project Glasswing da Anthropic, que detectava vulnerabilidades em código) agora é operacional em tempo real contra infostealers, com 1,8 milhão de alertas usados para treinar o modelo de priorização. Também há evolução prática na plataforma: após a aquisição da Secureworks em fevereiro de 2025 e a integração do Sophos Endpoint ao Taegis em setembro de 2025, essa pipeline é a primeira demonstração pública de como os dados de endpoint, identidade e nuvem são tratados como uma única superfície de decisão, não como fontes isoladas.

Infostealers são o gateway para 90% das violações de identidade, segundo estudo da IDSA de 2024. Eles custam menos de 50 dólares por mês para operar, mas geram perdas médias de US$ 4,35 milhões por incidente (Relatório IBM Cost of a Data Breach 2025). Um SOC que recebe milhões de alertas diários não pode priorizar esses ataques com regras estáticas ou dashboards genéricos. A solução da Sophos mostra que a adoção inteligente de IA em nuvem não é sobre substituir analistas, mas sobre redefinir o ponto de contato entre humano e máquina: o analista agora começa a investigação em um contexto de menos de 50 alertas por cliente, com histórico temporal enriquecido por sinais de baixa severidade, o mesmo padrão de colaboração entre agentes humanos e IA que a Grab adotou para investigação de dados e a Meta para correção de regressões de performance.