Como responder aos modelos de IA de vanguarda: a opinião de um líder em cibersegurança da Deloitte.
As equipes de segurança sempre correram contra o tempo. Durante a maior parte da história da cibersegurança, esse relógio avançava lentamente o suficiente para ser administrável.
Os atacantes precisavam de tempo para encontrar vulnerabilidades e desenvolver exploits. O intervalo entre a descoberta e a exploração era medido em dias ou semanas — muitas vezes tempo suficiente para que uma correção fosse aprovada em uma lista de alterações.
Essa janela desabou.
Os modelos de IA de ponta agora conseguem descobrir vulnerabilidades, encadeá-las e gerar exploits em segundos. Isso inclui vulnerabilidades em sistemas legados que não recebem correções há décadas. A velocidade da exploração atingiu níveis recordes.
Conversamos com Andrew Rafla, diretor da Deloitte & Touche LLP e líder da estratégia Zero Trust na área de Cibersegurança, para entender o que essa mudança significa para os programas de segurança corporativa e o que diferencia as equipes que estão respondendo bem daquelas que não estão.
Por que os modelos de IA ofensiva representam uma grande mudança
A maioria das ameaças à segurança cibernética evoluiu em um ritmo que as equipes conseguem acompanhar. Uma nova técnica de ataque surge e a comunidade de segurança a analisa. Os fornecedores divulgam as assinaturas e os defensores respondem.
Os modelos de vanguarda da IA ofensiva quebram esse ciclo.
Esses sistemas encontram vulnerabilidades desconhecidas em grande escala e podem encadeá-las para criar exploits funcionais. Isso inclui infraestruturas antigas que não recebem manutenção há décadas.
Os modelos mais sofisticados foram rigorosamente restringidos devido a essas capacidades ofensivas. Mas as restrições não durarão para sempre e já existem cópias de código aberto.
Os clientes da Deloitte já estão perguntando como obter esses modelos para analisar seus próprios ambientes antes que os adversários o façam. Andrew acha que o instinto está certo. O intervalo entre "essa capacidade existe" e "ela está sendo usada contra você" é mais curto do que qualquer ciclo de ameaças anterior na história da segurança corporativa.
O risco mais amplo é que até mesmo as ferramentas de defesa contra vulnerabilidades de IA possam eventualmente ser usadas como armas. Chegou a hora de implementar controles compensatórios para a superfície de ataque expandida.
O paradigma da gestão de vulnerabilidades precisa mudar.
Durante décadas, a gestão de vulnerabilidades seguiu uma sequência previsível. As equipes de segurança analisaram seus ambientes, triaram os resultados, priorizaram as descobertas, testaram as correções, aprovaram as alterações e corrigiram os sistemas vulneráveis. O ciclo se repetia a cada trimestre, às vezes a cada mês.
Esse processo sempre foi lento, mas agora é insustentável.
Como Andrew explicou, “Os processos históricos, bastante manuais, para gerenciamento de vulnerabilidades — desde a identificação até a correção — simplesmente não funcionarão no novo modelo, dada a velocidade com que as vulnerabilidades podem ser detectadas e os exploits associados criados.”
A mudança de paradigma que os líderes de segurança precisam fazer é fundir o gerenciamento de vulnerabilidades e de exploração em operações de resposta rápida e contenção. Não pode mais ser, primordialmente, um exercício de detecção e documentação.
Andrew compartilhou três mudanças concretas na forma como os programas de Gestão Contínua da Exposição a Ameaças (CTEM) devem ser estruturados:
- A priorização deve ser implacável e automatizada. Não é possível corrigir tudo com rapidez suficiente. As equipes que superarem este momento serão aquelas que conseguirem identificar rapidamente quais vulnerabilidades em seu ambiente estão mais expostas, mais críticas e com maior probabilidade de serem exploradas — e concentrar recursos nelas. Os processos manuais de priorização criados para ciclos trimestrais de atualizações não resistirão ao contato com a geração de exploits orientada por IA.
- Os prazos de remediação precisam ser drasticamente reduzidos. Isso significa repensar os processos de gestão de mudanças e agilizar as aprovações para patches críticos de segurança. Algumas equipes estão criando funções centralizadas de escritório de gerenciamento de projetos (PMO) para acelerar essa coordenação.
- Os controles compensatórios precisam se tornar parte integrante da resposta à vulnerabilidade. Sempre haverá vulnerabilidades que você não poderá corrigir, incluindo sistemas legados, aplicativos críticos que não podem ficar inativos e pacotes de software com décadas de existência e sem suporte do fornecedor. Para esses casos, sua estratégia precisa mudar da remediação para a contenção.
Controles compensatórios: a defesa mais eficaz que você provavelmente está subutilizando.
Quando Andrew falou sobre o que a Deloitte está recomendando aos clientes atualmente, os controles compensatórios encabeçaram a lista, especificamente a microsegmentação.
“Organizações com capacidade de segmentação, onde políticas podem ser criadas e implementadas rapidamente para ativos reconhecidamente vulneráveis, devem ser mais capazes de reduzir o raio de impacto do risco de movimento lateral”, disse Andrew.
A microsegmentação tem sido um pilar fundamental da abordagem Zero Trust há anos. O ambiente de ameaças criado pelos modelos de IA de ponta confere-lhes uma nova urgência e uma aplicação mais específica.
Quando um sistema legado vulnerável não possui correção, a questão muda. Corrigir a vulnerabilidade deixa de ser a prioridade; reduzir a exposição à exploração por meio de controles compensatórios torna-se fundamental.
A microsegmentação torna possível responder a essa segunda pergunta. Esses controles podem transformar uma violação potencialmente catastrófica em um incidente contido, por meio de:
- Proteção de ativos vulneráveis e críticos
- Criar políticas baseadas em tags que identifiquem sistemas vulneráveis conhecidos e restrinjam sua comunicação de rede.
- Limitar o alcance desses recursos e reduzir o uso de portas e protocolos de rede de risco.
A velocidade é o principal requisito operacional. Se demorar semanas para criar e implementar uma política de segmentação em um ativo vulnerável recém-identificado, você perdeu a oportunidade.
As equipes que conseguirem lidar com isso de forma eficaz deverão ser capazes de passar da identificação de um ativo vulnerável à sua proteção em questão de minutos.
Visibilidade é o mínimo necessário, e a maioria das equipes não tem o suficiente.
A segunda capacidade que Andrew destacou como crítica é a visibilidade leste-oeste em tempo real. A maioria das equipes está muito aquém do que deveria.
“A maioria das organizações ainda possui redes planas legadas com capacidade muito limitada de identificar e inspecionar o tráfego leste-oeste”, disse Andrew. “Eles ainda consideram os firewalls de perímetro como o ponto de estrangulamento por onde conseguem ver o que entra e sai da rede.”
Na era das ameaças da IA, esse ponto cego é perigoso.
Um modelo ofensivo de IA explora vulnerabilidades, move-se através de uma rede, encadeia ataques e transforma ativos comprometidos em plataformas de lançamento para o próximo ataque.
A segurança tradicional era baseada na visibilidade norte-sul, ou seja, no tráfego que entra e sai do perímetro. Mas os agentes de ameaças que executam com sucesso uma violação aceleram seus ataques movendo-se lateralmente até atingirem os ativos mais valiosos da organização. O tráfego leste-oeste, onde os dados alternam entre cargas de trabalho e sistemas, é onde o verdadeiro dano ocorre.
As equipes de segurança precisam de visibilidade do tráfego leste-oeste em tempo real para identificar padrões anômalos ou potencialmente maliciosos e agir rapidamente.
Andrew recomendou ir além dos modelos centrados em EDR, que se concentram em hosts individuais. Uma vantagem adicional das soluções de microsegmentação é a sua capacidade de melhorar a visibilidade do tráfego de rede em todo o ambiente empresarial, incluindo o tráfego leste-oeste e em ambientes de nuvem. Eles também atuam como um ponto de controle crítico que pode isolar regiões inteiras, centros de dados ou clusters de aplicativos quando padrões suspeitos surgem.
A velocidade importa. A triagem de ativos individualmente para conter uma ameaça em propagação sob condições de ataque assistido por IA não é uma estratégia viável; é aqui que as soluções de microsegmentação escaláveis se destacam.
Como se defender de modelos de IA que você ainda não compreende totalmente
Os modelos de fronteira cibernética ofensiva ainda não demonstraram plenamente suas capacidades. A maioria das equipes não tem acesso direto para realizar testes em seus próprios ambientes.
Qual seria, então, um caminho prático a seguir?
Eis o conselho de Andrew:
- Primeiro, faça um balanço. Reúna as pessoas certas, incluindo as equipes de segurança cibernética, risco, conformidade e operações. Não espere ter informações perfeitas para começar a agir.
- Interaja com seus fornecedores de tecnologia. A questão da lista de materiais de software (SBOM, na sigla em inglês) tornou-se urgente. Você sabe quais componentes estão em execução no seu ambiente? Seus fornecedores de Software como Serviço (SaaS) fazem isso? Na era da IA, a gestão de riscos de terceiros significa questionar os fornecedores sobre sua própria exposição a vulnerabilidades e o que eles estão fazendo a respeito.
- Analise cuidadosamente seu ambiente de controle. Você está utilizando plenamente as ferramentas de segurança que já possui? Muitas organizações possuem controles compensatórios, como segmentação ou isolamento baseado em políticas, que permanecem subutilizados. Use o que você já tem, de forma rápida e consciente, antes de comprar algo novo.
- Integrações nativas são importantes. As tecnologias do seu ecossistema oferecem integração nativa? A transição de uma postura de segurança defensiva para uma proativa, onde os controles podem ser orquestrados em tempo real por meio de um ecossistema totalmente integrado, ajuda a reduzir riscos e a otimizar as operações. A integração de tecnologias e controles de segurança que funcionam em conjunto é fundamental para identificar e responder a ameaças impulsionadas por inteligência artificial.
- Pense no futuro agente. Equipes líderes estão construindo estruturas onde agentes de IA descobrem, priorizam e corrigem vulnerabilidades em um fluxo de trabalho coordenado. Esse é o modelo operacional que acompanha a velocidade da ameaça, mantendo ao mesmo tempo os mecanismos de controle e equilíbrio com intervenção humana.
Aguardar para reagir a modelos de IA de ponta é uma estratégia arriscada.
Os modelos de vanguarda da IA ofensiva representam uma mudança radical nas ameaças cibernéticas.
A abordagem de gestão de vulnerabilidades na qual a maioria das equipes se baseou por duas décadas já estava sob pressão. A expansão das superfícies de ataque, a complexidade da nuvem e os legados indevidos levaram a infraestrutura ao limite. Mas a geração de exploits assistida por IA torna isso praticamente obsoleto.
As equipes que souberem lidar com isso levarão a nova ameaça da IA a sério, agirão sem esperar por clareza total, criarão controles compensatórios em torno de seus ativos mais expostos e transformarão o gerenciamento de vulnerabilidades em uma operação de resposta rápida.
Este é o novo ambiente operacional. Líderes de segurança que tratam a IA ofensiva como uma interrupção temporária podem se ver expostos a ataques e à responsabilidade regulatória, de risco e do conselho administrativo que se segue quando esses ataques são bem-sucedidos.
A janela de oportunidade para agir antes que o adversário explore a situação está aberta agora. Não permanecerá aberto.
Para uma análise mais aprofundada do que a IA de ponta significa para o modelo de segurança como um todo, Leia a opinião de Andrew Rubin, CEO e fundador da Illumio..

.webp)



