O AI Não Corrigirá as Fundações de Segurança Quebradas

O AI afia a visibilidade, a análise e a tomada de decisões, mas sua eficácia é limitada pela qualidade do ambiente subjacente

“Ele usa AI?” se tornou a pergunta padrão em conversas sobre produtos de segurança, feita por líderes de segurança e ecoada em quase todos os discursos de vendas.

O problema é que é a pergunta errada. Se um produto usa AI, não significa que irá ajudar a fortalecer a postura de segurança de uma organização. O AI não é uma cura para todos os problemas de segurança. Seu valor depende de como é aplicado, o que começa com a definição clara do problema que se deseja resolver.

A pergunta melhor é: “Qual lacuna de segurança específica estamos tentando fechar, e essa tecnologia impulsionada por AI realmente ajuda a fechá-la?”

O que o AI faz bem

O AI entrega valor em segurança em três áreas principais. Primeiro, ele preenche lacunas de dados. As equipes de segurança extraem dados de dezenas de fontes, incluindo inventários de ativos desatualizados, sistemas de identidade que não capturam todas as relações de acesso, e telemetria de rede que perdem certos tráfegos. O AI pode inferir contexto a partir de conjuntos de dados incompletos para construir uma imagem mais completa de ativos, identidades, conectividade e comportamento de carga de trabalho.

O AI também melhora a análise em escala. O problema de sinal-ruído nas operações de segurança é grave e piora. O AI pode correlacionar eventos em várias fontes de dados, trazer à tona os alertas que merecem atenção e empurrar o ruído de baixa prioridade para fora do campo de visão do analista. É aqui que a maioria dos fornecedores de segurança investiu em AI. As equipes de SOC gastam menos tempo triando alertas de baixo valor e mais tempo em atividades que exigem julgamento humano.

Em terceiro lugar, uma vez que o AI tenha enriquecido os dados e analisado os sinais, ele pode guiar a ação recomendando o próximo passo, como qual mudança de política irá mitigar o risco, qual ação de resposta se ajusta ao padrão de comportamento, ou onde uma configuração precisa ser alterada.

O AI entrega o maior valor quando melhora o contexto, a análise e a tomada de decisões. Ele melhora as práticas de segurança fortes, mas não pode compensar as que faltam.

Por que as Fundações Fracas Ainda Falham

O AI é limitado pelas entradas que uma organização o alimenta. Essas entradas (por exemplo, telemetria, arquitetura, políticas, controles e ferramentas existentes) definem os limites do que o AI pode fazer. Afiar essas entradas, e o AI produz resultados mais afiados. Enfraquecê-las, e a saída se degrada.

Sem o contexto para identificar uma ausência, o AI não tem como relatar uma. Ele não irá examinar o ambiente e sinalizar o que está faltando. Ele não dirá à equipe de segurança que a rede carece de segmentação adequada, que os controles de acesso são muito permissivos, ou que as lacunas de visibilidade estão deixando segmentos inteiros do ambiente sem monitoramento.

O AI não escapa do antigo princípio de qualidade de dados, “lixo entra, lixo sai”, ele o reforça. Telemetria fraca produz análise fraca. Controles defeituosos dão ao AI algo para otimizar na direção errada. Visibilidade incompleta significa que as decisões são tomadas a partir de uma imagem parcial, e o AI toma essas decisões mais rápido, não mais precisas. A velocidade não é uma melhoria quando as informações subjacentes são pouco confiáveis.

É por isso que a qualidade da fundação importa antes de qualquer capacidade de AI entrar em jogo. Uma fundação sólida inclui controles de identidade e acesso que impõem limites significativos, privilégio mínimo em usuários, workloads, aplicações, dados, microsegmentação para limitar o movimento lateral, e visibilidade/observabilidade abrangente em todo o ambiente. Isso também exige telemetria confiável e uma compreensão clara de como os sistemas se conectam e dependem uns dos outros.

Nada disso é novo. São as mesmas disciplinas que as equipes de segurança discutiram por anos, desde a mudança para dispositivos móveis até a transição para a nuvem. O que mudou é o custo de negligenciar essas disciplinas. O AI pode amplificar uma fundação de segurança sólida, mas não pode substituí-la.

O AI Agente Muda a Equação de Risco

A mudança não é de nenhum AI para AI; é de AI que assiste para AI que age. O AI tradicional analisa dados, traz à tona insights e recomenda os próximos passos. O AI agente executa em sistemas, dados e fluxos de trabalho sem esperar por uma decisão humana.

Pense assim: implantar 100 agentes de AI durante a noite é efetivamente como contratar 100 novos funcionários que nunca se desconectam, operam à velocidade da máquina e têm acesso a qualquer sistema que suas permissões permitam. Mas, ao contrário dos funcionários humanos, esses agentes não param, questionam ou aplicam julgamento sobre quando esse acesso deve ser usado. Eles executam continuamente, movendo-se por sistemas e tocando múltiplas aplicações exatamente como são permitidos.

Essa é a lacuna. Seu modelo de acesso assume comportamento humano (por exemplo, ações discretas, ritmo mais lento e algum nível de julgamento). Os agentes de AI removem essas restrições. Então, se as permissões são muito amplas (ou imprecisas), elas não apenas ficam inutilizadas ou são usadas ocasionalmente; estão sendo exercidas constantemente, em escala, em todos os sistemas que tocam.

O risco se complica quando uma organização atribui a um agente o mesmo perfil de acesso de um usuário específico; eles criam um clone, não um proxy útil. Esse clone tem as mesmas permissões amplas que o original, executa continuamente e pode expor a organização aos mesmos riscos, seja o comportamento malicioso ou apenas mal configurado.

Na era do AI, identidade, controle de acesso, privilégio mínimo, segmentação e observabilidade não são mais apenas boas práticas — são requisitos fundamentais de segurança. Um relatório recente da Cloud Security Alliance desenvolvido com a SANS, o Projeto de Segurança de AI da OWASP e uma comunidade de profissionais, reforça o ponto de que o AI agente não torna esses fundamentos obsoletos. Ele os torna não negociáveis.

O que a Segurança Pronta para AI Parece

Tratar a prontidão para AI como uma pergunta de aquisição e se concentrar em quais ferramentas habilitadas para AI implementar ignora o fato de que a prontidão para AI é uma questão de arquitetura, governança e controles. A pergunta não é quais ferramentas comprar, mas se o ambiente irá apoiar o AI operando com segurança.

Comece com a visibilidade. Antes de implantar qualquer capacidade de AI, as equipes de segurança precisam de uma imagem clara do que existe no ambiente: ativos, workloads, identidades, aplicações, dados, modelos de AI, agentes e conexões de terceiros. Esse inventário não é algo que o AI possa construir para você. É o ponto de partida que o AI precisa para fazer algo útil.

A partir daí, defina o problema. Identifique a lacuna de controle ou o risco específico primeiro. Decida qual resultado precisa melhorar. Então pergunte se o AI pode ajudar a fechar essa lacuna melhor do que outras abordagens. As organizações que invertam essa ordem, começando com uma ferramenta de AI e então procurando por um problema para aplicá-la, tendem a gerar atividade sem melhorar a segurança.

Aplicar princípios de confiança zero aos agentes de AI é onde isso se torna operacional. O instinto é frequentemente definir o que os agentes não devem fazer, mas essa lista sempre será incompleta. Uma abordagem mais confiável é ser prescritiva sobre o que cada agente pode fazer, dar a ele apenas o acesso que uma tarefa definida exige e impor esses limites em todas as camadas da pilha. Segmentar os sistemas que os agentes podem alcançar, de modo que, se um se comporta de maneira fora de seus limites definidos ou um atacante o abuse, o dano permaneça contido.

Finalmente, um aumento na atividade não é um métrico de sucesso. O AI aumentará o volume de ações que uma equipe de segurança toma, mas isso não significa que está melhorando a segurança. Um painel que apresenta muita atividade não sinaliza que o AI está entregando valor.

Mensure os resultados, como se os volumes de alertas estão caindo de maneiras que refletem um sinal genuíno e o nível de risco está caindo mais rápido nas áreas que mais contam. Certifique-se de que as recomendações de política fortaleçam os controles, permitam que a equipe de segurança contenha incidentes mais rápido e permitam que os analistas de SOC gastem mais tempo em trabalhos que exigem julgamento humano.

A Fundação Vem Primeiro

O AI não é a fundação de uma postura de segurança forte. Ele é um multiplicador de forças, e como qualquer multiplicador, seu valor depende inteiramente do que você o aplica.

As organizações que construíram uma arquitetura sólida com visibilidade clara, privilégio mínimo aplicado, segmentação e controles de identidade fortes podem usar o AI para afiar seu contexto, acelerar a análise e agir com base em informações melhores. Aqueles que não o fizeram encontrarão que o AI os move mais rápido na direção errada, otimizando controles defeituosos e trazendo insights de uma imagem incompleta.

A pergunta que deve ser feita antes de fazer qualquer investimento em AI é a mesma que deve guiar todas as decisões de segurança: Qual é o problema que estamos tentando resolver? Se a resposta é clara e a arquitetura para apoiá-la está no lugar, então o AI pode tornar a solução mais eficaz. Se a resposta é vaga ou a fundação é fraca, adicionar AI não mudará isso. Ele apenas tornará a lacuna mais difícil de ver.

O AI não corrigirá as fundações de segurança quebradas. Ele apenas tornará as rachaduras visíveis mais rápido.