Apresentado por Splunk
A IA mudou a economia do engano cibernético.
Um invasor agora pode gerar milhares de iscas de phishing convincentes, identidades falsas e pretextos personalizados antes que um defensor conclua um único ciclo de controle de alterações. Este é o novo desafio de segurança: a fraude tornou-se mais rápida e barata, enquanto a verificação não.
Grande parte da discussão em torno da IA para defesa centra-se em modelos de detecção. A detecção é importante, mas não é o único gargalo. A restrição mais profunda é a evidência: onde estão os dados, se estão disponíveis quando necessários, com que rapidez podem ser correlacionados, por quanto tempo são retidos e se os analistas ou agentes podem confiar no que recuperam.
A defesa na period da IA é um problema de dados antes de ser um problema de detecção.
A vantagem do defensor é a verdade
Os invasores podem se dar ao luxo de mentir em escala empresarial. Eles podem testar infinitas combinações de mensagens, identidades, domínios e caminhos de ataque, e a maioria pode falhar quase sem nenhum custo.
Os defensores não têm esse luxo. A sua vantagem é a verdade: saber rapidamente o que aconteceu, onde, quando, que identidade foi envolvida, que ativos foram afetados, o que mudou e que processos de negócio podem estar em risco.
Essa verdade deve ser documentada, governada, auditável e defensável. Os invasores estão usando IA para escalar o engano, a representação, a engenharia social e a velocidade. Os defensores precisam de IA para dimensionar a verificação.
O objetivo não é apenas agir mais rápido que o atacante. É tomar medidas em que as pessoas e as máquinas possam confiar.
Dados fragmentados quebram a defesa moderna
Considere um login suspeito de uma conta de contratante. Por si só, é apenas mais uma anomalia de autenticação. Para saber se isso é importante, uma equipe de segurança pode precisar de histórico de identidade, atividade de endpoint, logs de acesso à nuvem, registros de tickets, propriedade de ativos, alterações de configuração, telemetria de rede e contexto de negócios.
Se esses registros estiverem em ferramentas diferentes, expirarem em momentos diferentes ou exigirem a recuperação de várias equipes, os defensores não estarão investigando o incidente. Eles estão negociando com seu próprio patrimônio de dados.
Quando os sinais podem ser alcançados e correlacionados rapidamente, a questão não é mais apenas se o login parece incomum. A questão é saber se a empresa tem provas suficientes, num contexto suficiente, para tomar medidas que possa defender.
Esse desafio torna-se mais urgente com assistentes e agentes de IA. A IA só pode raciocinar sobre o que pode recuperar a tempo de ser importante. Se os dados forem parciais, obsoletos, fragmentados, indisponíveis ou desprovidos de contexto, a IA não cria a verdade. Acelera a incerteza.
O sistema de registro deve se tornar um plano de controle defensivo
Durante anos, as empresas trataram as plataformas de segurança, SIEMs e knowledge lakes como repositórios passivos: locais para armazenar dados para pesquisa e análise posteriores. Esse modelo não é mais suficiente.
O que as organizações precisam agora é de um plano de controle defensivo: uma camada que conecte o que aconteceu, o que isso significa e o que a empresa pode fazer a respeito. Em termos arquitetônicos, ele une dados brutos da máquina, contexto de negócios e políticas. Não armazena apenas evidências. Torna as evidências utilizáveis para decisões e ações que devem ser explicáveis e confiáveis.
Na prática, isso significa fazer quatro coisas bem: preservar as evidências, chegar aos dados onde quer que estejam, adicionar contexto empresarial e governar a ação. Mais sobre cada um abaixo.
O antigo sistema de registro respondia a uma pergunta: Qual é o registro oficial?
Um plano de controle defensivo responde às questões que importam operacionalmente: O que aconteceu? O que isso significa? Que evidências apoiam essa conclusão? E em que ação podemos confiar?
A IA não reduz a necessidade de registros oficiais. Eleva o padrão do que esses registros devem fazer.
Um avião de controle defensivo deve fazer quatro coisas
-
Preservar evidências. Logs, métricas, rastreamentos, eventos, registros de identidade, alterações de configuração, tickets e estado de ativos ajudam a estabelecer o que aconteceu. Seu valor muitas vezes só fica claro após o início de um incidente.
-
Torne os dados acessíveis onde quer que estejam. Os dados relevantes para a segurança já estão espalhados por armazenamentos de objetos, plataformas em nuvem, ferramentas operacionais e sistemas de negócios. Mover cada byte para um único native costuma ser muito lento, muito caro e muito difícil de controlar. O melhor modelo é trazer análises para os dados.
-
Adicione contexto de negócios. A correlação dos dados da máquina com as informações comerciais transforma a “anomalia no host X” em “o sistema que suporta serviços de pagamento para as principais contas está sendo investigado”. É isso que permite que as organizações priorizem corretamente.
-
Ação governamental. Na period da agência, os sistemas farão mais do que resumir incidentes. Eles enriquecerão alertas, abrirão casos, acionarão fluxos de trabalho, isolarão ativos, atualizarão políticas e escalarão decisões. As empresas precisam de saber que provas um agente utilizou, que política regeu a acção, se esta permaneceu dentro do âmbito e como a decisão pode ser revista posteriormente.
O verdadeiro problema do SOC não é a falta de dados
Os SOCs modernos não sofrem com a falta de dados. Eles estão sofrendo de falta de contexto utilizável.
De acordo com o relatório Splunk State of Safety 2025, os analistas do SOC continuam a lutar com muitos alertas (59%), muitos falsos positivos (55%) e alertas sem contexto (46%). O problema não é o quantity de dados. É a dificuldade de transformar sinais fragmentados em decisões confiáveis.
Hoje, os analistas ficam juntando o contexto manualmente, girando entre ferramentas desconectadas e tomando decisões de alto risco sem ter uma visão completa a tempo. Mesmo à medida que a IA melhora, os resultados ainda dependem da disposição dos humanos em aprovar mudanças em ambientes fragmentados.
Isso cria uma crise diária de contexto. As equipes são forçadas a tomar decisões importantes com base em dados que não conseguem ver, correlacionar ou confiar facilmente. O resultado é latência, inconsistência, oportunidades perdidas e riscos desnecessários.
Ação confiável é a vantagem durável
Uma arquitetura de malha de dados oferece um caminho a seguir ao criar uma camada unificada e inteligente em fontes de dados que abrangem SecOps, ITOps e NetOps. O objetivo não é a centralização por si só. O objetivo é quebrar silos e fornecer insights ricos em contexto na velocidade exigida pelas operações orientadas por IA.
Este é um modelo operacional antes de ser um produto. A defesa orientada pela IA depende de uma base que possa preservar as evidências, alcançar os dados onde eles residem, adicionar contexto e manter um vínculo revisável entre dados, decisão e ação. Essa é a mudança arquitetônica por trás do Cisco Information Material alimentado pela plataforma Splunk, que reúne dados de máquina, federação, contexto de negócios, governança e origem para ajudar as equipes a passar do sinal para a ação confiável.
Os invasores continuarão tornando o engano mais barato, mais rápido e mais personalizado. Os defensores não vencem a corrida gerando mais barulho. Eles vencem ao tornar a verdade mais rápida e ao fundamentar cada ação em evidências nas quais as pessoas e as máquinas podem confiar.
Saiba mais sobre o Cisco Data Fabric desenvolvido pela plataforma Splunk.
Seth Brickman é vice-presidente de produto international – plataforma Splunk da Cisco.
Artigos patrocinados são conteúdos produzidos por uma empresa que paga pela postagem ou tem relacionamento comercial com a VentureBeat, e estão sempre claramente marcados. Para mais informações, entre em contato vendas@venturebeat.com.
