2026-06-19 00:00
← VoltarA equipe média de segurança corporativa possui 40 ou mais ferramentas de segurança, proporcionando muita visibilidade à telemetria interna e aos dados de ativos. Mas muitas vezes, essas ferramentas funcionam em silos, gerando alertas e dados (sobrepostos). E, no entanto, os tempos de permanência das violações permanecem teimosamente longos (cerca de 43 dias), as janelas de resposta continuam fechando antes que as equipes possam agir e os analistas eliminam o ruído da triagem em vez de interromper as ameaças. O problema não é o esforço. É arquitetura. Os programas de segurança foram criados para um mundo onde as ameaças se moviam com lentidão suficiente para que os humanos coordenassem as respostas manualmente. Esse mundo não existe mais. Com a forma como as capacidades de IA estão a ser desenvolvidas e utilizadas, especialmente com ferramentas de IA de ponta, é necessária uma postura muito mais proativa em relação à segurança, bem como uma resposta rápida da máquina para combater adversários em rápido movimento.
A estrutura de gerenciamento contínuo de exposição a ameaças (CTEM) do Gartner ajuda nessa mudança de avaliações reativas e pontuais para um ciclo contínuo e iterativo de definição de escopo, descoberta, priorização, validação e mobilização. Mas para a maioria das organizações, a operacionalização do CTEM de ponta a ponta permaneceu fora de alcance, porque as ferramentas necessárias para isso ainda não conversam entre si. As pilhas de segurança modernas são coleções...
A equipe média de segurança corporativa possui 40 ou mais ferramentas de segurança, proporcionando muita visibilidade à telemetria interna e aos dados de ativos. Mas muitas vezes, essas ferramentas funcionam em silos, gerando alertas e dados (sobrepostos). E, no entanto, os tempos de permanência das violações permanecem teimosamente longos (cerca de 43 dias), as janelas de resposta continuam fechando antes que as equipes possam agir e os analistas eliminam o ruído da triagem em vez de interromper as ameaças. O problema não é o esforço. É arquitetura. Os programas de segurança foram criados para um mundo onde as ameaças se moviam com lentidão suficiente para que os humanos coordenassem as respostas manualmente. Esse mundo não existe mais. Com a forma como as capacidades de IA estão a ser desenvolvidas e utilizadas, especialmente com ferramentas de IA de ponta, é necessária uma postura muito mais proativa em relação à segurança, bem como uma resposta rápida da máquina para combater adversários em rápido movimento.
A estrutura de gerenciamento contínuo de exposição a ameaças (CTEM) do Gartner ajuda nessa mudança de avaliações reativas e pontuais para um ciclo contínuo e iterativo de definição de escopo, descoberta, priorização, validação e mobilização. Mas para a maioria das organizações, a operacionalização do CTEM de ponta a ponta permaneceu fora de alcance, porque as ferramentas necessárias para isso ainda não conversam entre si. As pilhas de segurança modernas são coleções de ferramentas especializadas: uma plataforma de inteligência de ameaças aqui, um scanner de vulnerabilidade ali, uma ferramenta BAS (simulação de violação e ataque) separada e um SIEM tentando unir tudo. Cada um gera dados. Nenhum deles fecha o ciclo. No momento em que a inteligência é correlacionada, as exposições são priorizadas, a validação é executada e um ticket de remediação é acionado, o adversário muitas vezes já se moveu. O gargalo não é uma ferramenta única. É o espaço em branco entre eles.
Esse é o problema de arquitetura que mantém os líderes de segurança acordados à noite, e é aquele que os assistentes genéricos de IA, integrados aos fluxos de trabalho existentes, na verdade não resolvem. Pedir a um chatbot para resumir um relatório de ameaça é útil. Não é o mesmo que ter um sistema de IA que correlaciona autonomamente esse relatório com sua superfície de exposição ao vivo, valida se seus controles são mantidos e prioriza o que deve ser corrigido primeiro. O termo “IA” tornou-se tão sobrecarregado no marketing de segurança que vale a pena ser preciso sobre o que a IA agente realmente significa neste contexto. A IA assistencial espera ser solicitada. Ele resume, traduz e recupera. Isso torna os analistas mais rápidos em fazer as mesmas coisas que já faziam. A IA agente atua.
Ele entende o contexto, define prioridades de forma autônoma e executa fluxos de trabalho em várias etapas nos sistemas, não como uma consulta única, mas continuamente, em segundo plano, na velocidade da máquina. A distinção é importante porque o ambiente de ameaças também opera cada vez mais na velocidade da máquina. Com os rápidos avanços nos modelos de IA de ponta, os prazos entre a descoberta e a exploração estão diminuindo significativamente. As equipes de segurança que ficarem à frente não serão as que terão mais analistas. Serão eles cuja infraestrutura de IA poderá acompanhar esse ritmo de forma autônoma. Especificamente para o CTEM, isso significa que três funções precisam deixar de ser fluxos de trabalho separados: quando essas três funções operam como um circuito fechado, com agentes de IA transferindo informações e decisões entre eles sem esperar por transferências humanas, um programa CTEM deixa de ser uma estrutura em um slide e passa a ser uma realidade operacional. Uma arquitetura de gerenciamento de ameaças Agentic é o que faz a diferença entre uma estrutura CTEM que reside em um documento de estratégia e outra que é executada continuamente em segundo plano. Isso requer uma camada de orquestração de IA dedicada que atue como uma camada contextual fundamental com agentes interconectados.
Em vez de os analistas conectarem manualmente a inteligência de ameaças à validação da exposição, os agentes fazem o trabalho pesado continuamente e com o contexto e o raciocínio corretos. Todo o fluxo de trabalho é autônomo, onde os agentes transferem tarefas de um para outro e entre produtos, ao mesmo tempo em que mantêm o controle humano para a tomada de decisão final. Os analistas podem realmente se tornar os orquestradores de ações orientadas pela inteligência. As equipes de segurança que estão desenvolvendo esse recurso agora não estão esperando por um conjunto de ferramentas perfeito. Eles estão construindo primeiro o modelo operacional e deixando a arquitetura acompanhar. Aqueles que chegarem lá primeiro terão uma vantagem estrutural que aumentará com o tempo: melhores dados, melhores análises, melhores evidências e, além disso, IA mais bem ajustada. LLMs de uso geral não foram feitos para isso, requerem contexto e know-how baseado no produto. As organizações que o fecham mais rapidamente são aquelas que tratam o CTEM como um modelo operacional, não como uma ferramenta única, e que escolhem a infraestrutura de IA construída especificamente para operá-lo de ponta a ponta.
Você pode ver o modelo operacional em funcionamento com o XTM One CTEM Assistant. Filigran está realizando uma sessão ao vivo que mostra como isso é na prática: como as equipes de segurança estão usando IA de agência para conectar inteligência, validação de exposição e resposta em um único fluxo de trabalho contínuo, sem as lacunas de transferência que retardam cada etapa intermediária. Registre-se para uma sessão ao vivo ou obtenha a gravação: aprenda como descobrir o uso oculto da IA, veja quais dados ela pode acessar, mapeie cada ação da IA para um proprietário humano e aplique governança prática sem grandes mudanças na infraestrutura. Aprenda como conter ataques de IA no estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.