Connect with us

Quando os Ataques Evoluem e as Defesas Antigas Não São Mais Eficazes: Por Que É Hora de Implementar Segurança Proativa com IA

Líderes de pensamento

Quando os Ataques Evoluem e as Defesas Antigas Não São Mais Eficazes: Por Que É Hora de Implementar Segurança Proativa com IA

mm
Published
Updated

Se você trabalha em segurança, provavelmente se sente como se estivesse sempre tentando acompanhar. Há uma nova violação de segurança nas notícias, uma nova história de ransomware e outro truque inteligente que os defensores não viram chegando. Ao mesmo tempo, muita proteção ainda se baseia em ideias de uma internet mais antiga, onde as redes tinham fronteiras claras e os atacantes se moviam mais lentamente.

Os números mostram que isso não é apenas uma sensação. O último Relatório de Custo de Violação de Dados da IBM estima que o custo médio de uma violação de dados é de $4,88 milhões em 2024, aumento de $4,45 milhões no ano anterior. Esse salto de 10% é o maior desde os anos da pandemia, e ocorre mesmo com as equipes de segurança investindo mais em ferramentas e pessoal.

O Relatório de Investigação de Violação de Dados da Verizon de 2024 examina mais de 30.000 incidentes e mais de 10.000 violações de dados confirmadas. Ele destaca como os atacantes confiam em credenciais roubadas, exploração de aplicativos web e ações sociais, como o pretexting, e observa que as organizações levam em média 55 dias para corrigir apenas metade de suas vulnerabilidades críticas após a liberação de patches. Esses 55 dias são uma janela muito confortável para um atacante que está varrendo continuamente.

Na Europa, o Relatório de Paisagem de Ameaças da ENISA de 2023 também aponta para uma mistura pesada de ransomware, negação de serviço, ataques de cadeia de suprimentos e engenharia social. Outro estudo da ENISA, focado em incidentes de cadeia de suprimentos, estimou que provavelmente houve quatro vezes mais ataques desse tipo em 2021 do que em 2020, e que essa tendência continuou a aumentar. 

Então, a imagem é simples, mas desconfortável. As violações estão se tornando mais comuns, mais caras e mais complexas, mesmo com as ferramentas melhorando. Algo estrutural está errado na forma como muitas organizações ainda se defendem.

Por Que o Modelo de Segurança Clássico Está Ficando Atrás

Por muito tempo, a imagem mental da defesa cibernética foi simples. Você tinha um dentro e um fora claros. Você construiria uma forte periferia com firewalls e filtros. Você implantaria antivírus em pontos de extremidade e procuraria por assinaturas ruins conhecidas. Você afinaria regras, assistiria por alertas e reagiria quando algo óbvio disparasse.

Esse modelo tem três grandes problemas no mundo atual.

Primeiro, a periferia está quase toda ausente. As pessoas trabalham de todos os lugares em uma mistura de dispositivos gerenciados e não gerenciados. Os dados estão em plataformas de nuvem pública e ferramentas de software como serviço. Parceiros e fornecedores se conectam diretamente a sistemas internos. Relatórios como o estudo de cadeia de suprimentos da ENISA mostram como as intrusões agora começam frequentemente por meio de um parceiro confiável ou atualização de software, em vez de um ataque frontal direto a um servidor central.

Segundo, o foco em assinaturas conhecidas deixa um grande ponto cego. Atacantes modernos misturam malware personalizado com o que os defensores chamam de “viver da terra”. Eles se apoiam em ferramentas de script incorporadas, agentes de gerenciamento remoto e ações administrativas do dia a dia. Cada etapa vista isoladamente pode parecer inofensiva. Uma abordagem baseada apenas em assinaturas não vê o padrão maior, especialmente quando os atacantes mudam pequenos detalhes em cada campanha.

Terceiro, os humanos estão sobrecarregados. O relatório da Verizon mostra que a exploração de vulnerabilidades agora é uma das principais maneiras de entrar nas redes e que muitas organizações lutam para aplicar patches rapidamente o suficiente. A pesquisa da IBM acrescenta que os longos tempos de detecção e contenção são uma das principais razões pelas quais os custos de violação continuam subindo. Analistas estão sob uma montanha de alertas, logs e triagem manual, enquanto os atacantes automatizam o máximo que podem.

Então, você tem atacantes que são mais rápidos e mais automatizados, e defensores que ainda dependem fortemente de investigação manual e padrões antigos. Nesse hiato, entra a inteligência artificial.

Os Atacantes Já Estão Tratando a IA como uma Parceira

Quando as pessoas falam sobre IA em segurança, elas frequentemente imaginam ferramentas defensivas que ajudam a capturar atores ruins. A realidade é que os atacantes estão tão ansiosos para usar a IA para tornar seu trabalho mais fácil.

O Relatório de Defesa Digital da Microsoft de 2025 descreve como grupos apoiados pelo Estado estão usando a IA para criar mídia sintética, automatizar partes de campanhas de intrusão e ampliar operações de influência. Um resumo separado da Associated Press sobre inteligência de ameaças da Microsoft relata que, do meio de 2024 ao meio de 2025, incidentes envolvendo conteúdo falso gerado por IA aumentaram para mais de 200, mais do que o dobro do ano anterior e cerca de 10 vezes o número visto em 2023.

Na prática, isso parece mensagens de phishing que parecem ter sido escritas por um falante nativo, em qualquer idioma que você goste. Isso parece áudio e vídeo deepfake que ajudam os atacantes a se passar por líderes seniores ou parceiros confiáveis. Isso parece sistemas de IA que estão vasculhando grandes volumes de dados roubados para encontrar os detalhes mais valiosos do seu ambiente, sua equipe e seus terceiros.

Um artigo recente do Financial Times sobre IA agente em ataques cibernéticos até descreve uma operação de espionagem quase autônoma, onde um agente de codificação de IA lidou com a maioria das etapas, desde a reconhecimento até a extração de dados, com entrada humana limitada. No entanto, você sinta o que sentir sobre esse caso específico, a direção do movimento é clara. Os atacantes estão muito felizes em deixar a IA lidar com as partes chatas do trabalho.

Se os atacantes estão usando a IA para se mover mais rápido, se misturar melhor e atingir mais alvos, então os defensores não podem esperar que as ferramentas tradicionais de periferia e a triagem manual de alertas sejam suficientes. Você ou traz inteligência semelhante para a defesa, ou a lacuna continua se ampliando.

De Defesa Reativa a Pensamento de Segurança Proativo

A primeira mudança real não é técnica; é mental.

Uma postura reativa é construída em torno da ideia de que você pode esperar por sinais claros de problemas, então responder. Um novo binário é detectado. Um alerta dispara porque o tráfego corresponde a um padrão conhecido. Uma conta mostra um sinal óbvio de comprometimento. A equipe pula, investiga, limpa e talvez atualize uma regra para evitar que exatamente esse padrão funcione novamente.

Em um mundo com ataques lentos e raros, isso poderia ser aceitável. Em um mundo com sondagens constantes, exploração rápida e campanhas apoiadas por IA, é tarde demais. No momento em que uma regra simples é acionada, os atacantes já exploraram sua rede, tocaram dados sensíveis e prepararam caminhos de fallback.

Uma postura proativa começa de um lugar diferente. Ela assume que você está sempre sendo tocado por tráfego hostil. Ela assume que alguns controles falharão. Ela se importa com como rapidamente você pode detectar comportamento incomum, como rápido você pode conter e como consistentemente você pode aprender com isso. Nesse quadro, as perguntas centrais se tornam muito práticas.

  • Você tem visibilidade contínua em seus principais sistemas, identidades e armazenamentos de dados?

  • Você pode notar pequenas desvios do comportamento normal, não apenas assinaturas ruins conhecidas?

  • Você pode vincular essa percepção a ação rápida e repetível sem queimar sua equipe?

A IA não é a solução por si só, mas é uma forma poderosa de responder a essas perguntas na escala que os ambientes modernos exigem.

Como uma Postura de Segurança Driven por IA Parece

A IA ajuda a mudar de uma visão simples de sim ou não para as ameaças para uma imagem mais rica, baseada no comportamento. No lado da detecção, os modelos podem observar a atividade de identidade, telemetria de pontos de extremidade e fluxos de rede e aprender o que parece normal para o seu ambiente. Em vez de bloquear apenas um arquivo malicioso conhecido, eles podem levantar uma bandeira quando uma conta faz login de um local incomum em um horário incomum, pula para um sistema que nunca tocou antes e começa a mover grandes volumes de dados. Cada evento isolado pode ser fácil de ignorar. O padrão combinado é interessante.

No lado da exposição, as ferramentas apoiadas por IA podem mapear sua superfície de ataque real. Elas podem varrer contas de nuvem pública, serviços com face para a internet e redes internas para encontrar sistemas de teste esquecidos, armazenamento mal configurado e painéis de administração expostos. Elas podem agrupar essas descobertas em histórias de risco práticas, em vez de listas cruas. Isso é particularmente importante à medida que a IA sombra cresce dentro das organizações, com equipes girando seus próprios modelos e ferramentas sem supervisão central, uma tendência que a IBM destaca em seu Relatório de Custo de Violação de Dados mais recente como uma área de risco séria. 

No lado da resposta, a IA pode ajudar a agir mais rápido e mais consistentemente. Alguns centros de operações de segurança já usam sistemas apoiados por IA para recomendar etapas de contenção em tempo real e resumir longas linhas do tempo de investigação para analistas humanos. A Agência de Segurança Cibernética e Infraestrutura dos EUA descreve vários usos desses em seus recursos de inteligência artificial, mostrando como a IA pode ajudar a detectar atividade de rede incomum e analisar grandes fluxos de dados de ameaças em sistemas federais.

Nada disso remove a necessidade de julgamento humano. Em vez disso, a IA se torna um multiplicador de força. Ela assume o monitoramento constante, a detecção de padrões e parte da triagem inicial, para que os defensores humanos possam gastar mais tempo em investigações profundas e em questões de design difíceis, como estratégia de identidade e segmentação.

Como Começar a se Mover Nessa Direção

Se você é responsável por segurança, tudo isso pode soar grande e abstrato. A boa notícia é que a mudança de reativa para proativa geralmente começa com alguns passos fundamentados, em vez de uma transformação gigante.

O primeiro passo é colocar seus fluxos de dados em ordem. A IA é apenas tão útil quanto os sinais que ela pode ver. Se seu provedor de identidade, ferramentas de pontos de extremidade, controles de rede e plataformas de nuvem todos enviam logs para silos separados, todos os modelos terão pontos cegos e os atacantes terão esconderijos. Investir em uma visão central de sua telemetria mais importante é raramente glamoroso, mas é a fundação que torna o suporte significativo da IA possível.

O segundo passo é escolher casos de uso específicos, em vez de tentar espalhar a IA por todos os lugares. Muitas equipes começam com análise de comportamento para contas de usuário, detecção de anomalias em ambientes de nuvem ou detecção de e-mail e phishing mais inteligente. O objetivo é escolher áreas onde você já sabe que tem risco e onde o reconhecimento de padrões em grandes conjuntos de dados pode claramente ajudar.

O terceiro passo é emparelhar cada nova ferramenta apoiada por IA com um conjunto explícito de guardiões. Isso inclui definir o que o modelo é permitido fazer sozinho, o que deve sempre envolver um humano e como você medirá se o sistema é honesto e útil ao longo do tempo. Aqui, o pensamento no Quadro de IA do NIST e a orientação de agências como a CISA podem economizar seu tempo, evitando que você reinvente a roda.

Por Que a Segurança Proativa de IA Não Pode Esperar

Os ataques cibernéticos estão se tornando algo mais próximo de uma condição de fundo constante do que uma emergência rara, e os atacantes estão muito felizes em deixar a inteligência artificial fazer grande parte do trabalho pesado para eles. O custo está subindo, os pontos de entrada estão se multiplicando e a ferramenta no lado do atacante está ficando mais inteligente a cada ano. Um modelo reativo que espera por alertas claros e então se apressa não é feito para esse mundo.

Uma postura proativa impulsionada por IA é menos sobre perseguir uma tendência brilhante e mais sobre fazer o trabalho quieto e sem glamour de colocar seus dados em ordem, adicionar insights baseados no comportamento e colocar guardiões claros em torno de novos sistemas de IA, para que eles ajudem seus defensores em vez de surpreendê-los. A lacuna entre atacantes e defensores é real, mas não é fixa, e as escolhas que você faz agora sobre como usar a IA em sua pilha de segurança decidirão qual lado está se movendo mais rápido nos próximos anos.

mm

Mirgen Hoxha é o CEO da Motomtech onde ele lidera equipes que projetam e constroem produtos de software impulsionados por IA para clientes na América do Norte e Europa. Ele trabalha na interseção da estratégia de produto e aprendizado de máquina aplicado, ajudando organizações a transformar problemas do mundo real em soluções práticas de IA.