The Shift

Empoderar quem defende: um guia para usar IA na linha de frente da cibersegurança

Soraia Yoshida

Por décadas, atacantes levaram vantagem por só precisarem acertar uma vez. O relatório "Empowering Defenders", do Fórum Econômico Mundial, mostra que a inteligência artificial está, finalmente, mudando esse equilíbrio — com casos reais e dados de quem já está na linha de frente (Crédito: Freepik)

No tabuleiro da segurança cibernética, quem ataca geralmente se move mais rápido. Com a Inteligência Artificial (IA) ao alcance, essa vantagem, associada ao fato de que os atacantes só precisam encontrar “uma” brecha, coloca os “defensores” em uma posição ainda mais difícil. O relatório “Global Cybersecurity Outlook”, do Fórum Econômico Mundial, aponta que 94% das lideranças e especialistas em cibersegurança identificam a IA como o fator de maior mudança no cenário de ameaças cibernéticas. Mas ter consciência disso e não agir, simplesmente não é uma opção.

O recém-lançado white paper “Empowering Defenders: AI for Cybersecurity”, publicado pelo WEF em colaboração com a KPMG, traça um mapa detalhado de como a IA está sendo usada na defesa cibernética, quais são os resultados concretos dessa adoção e o que as organizações precisam fazer para não ficar para trás. O levantamento é resultado de uma série de workshops com 105 representantes de 84 organizações em 15 setores diferentes e, como o nome adianta, se propõe a empoderar os profissionais que atuam na defesa cibernética.

Antes de falar em soluções, é preciso dimensionar o problema. O documento apresenta um conjunto de dados que revela uma crise crescente na cibersegurança corporativa e governamental:

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

Diante desse quadro, a IA que surgiu como ferramenta de produtividade assume o lugar de infraestrutura. Quando bem implantada, os resultados são expressivos: 88% das equipes de segurança relatam economia de tempo e maior capacidade de defesa proativa. Mas o impacto financeiro é ainda mais contundente: organizações que usam IA de forma extensiva em segurança reduziram o tempo médio de violação em aproximadamente 80 dias e diminuíram os custos médios de uma brecha em US$ 1,9 milhão, segundo o relatório “Cost of a Data Breach 2025”, da IBM.

Enquanto isso, no lado dos atacantes, a IA acelera drasticamente o ciclo ofensivo. O que antes exigia semanas de preparação pode agora ser executado em minutos. O “Relatório Global de Resposta a Incidentes 2026”, da Palo Alto Networks, confirma que os adversários realizam reconhecimento automatizado, gerando malware, identificando caminhos de exploração e lançando ataques em escala, com barreiras técnicas cada vez menores.

Como a IA está sendo usada na defesa: um mapa completo

O white paper do Fórum Econômico organiza as aplicações de IA em cibersegurança seguindo o padrão NIST Cybersecurity Framework 2.0, que estrutura a segurança em seis funções: governança, identificação, proteção, detecção, resposta e recuperação. Esse mapa é útil porque mostra onde a IA já está gerando valor real e onde ainda há lacunas.

 

1.Governança com IA

A IA está sendo usada para monitorar conformidade regulatória em tempo real, validar políticas de segurança em ambientes híbridos e em nuvem, gerar documentação de auditoria automaticamente e gerenciar riscos em cadeias de fornecimento. A Rubrik, por exemplo, desenvolveu uma plataforma de revisão de segurança com múltiplos agentes de IA que substituiu o processo manual de modelagem de ameaças. O resultado: 3 vezes mais cobertura de revisão e redução de 50% no tempo de análise, com geração automática de trilhas de auditoria completas.

 

2.Identificação de Riscos

Nenhuma área concentra mais casos de uso do que a identificação. Pelo menos 52% das organizações já usam IA para detecção de phishing, 46% para detecção de intrusões e anomalias, e 40% para análise de comportamento de usuários, segundo o WEF.

A KPMG treinou um modelo de IA sobre seu repositório de inteligência de ameaças e o implantou como um chatbot dentro da plataforma de inteligência. Analistas passaram a consultar o sistema em linguagem natural, recebendo contexto sobre atores de ameaças, vínculos entre ataques e orientação forense. O resultado foi um aumento de 25% na eficiência operacional, com a equipe migrando para uma estrutura mais autônoma e orientada por analistas.

A Microsoft, por sua vez, desenvolveu o Haystack, uma ferramenta de IA usada por sua Unidade de Crimes Digitais (DCU) que identifica automaticamente indicadores de ameaças em grandes volumes de dados, como respostas de descoberta jurídica e documentos de provedores de hospedagem. Com isso, o tempo de investigação forense caiu de horas para minutos.

Já a Accenture enfrenta um desafio de escala impressionante: milhares de sites voltados para a internet para monitorar. Manualmente, cada site levava 15 minutos para ser analisado, o que tornaria a revisão completa virtualmente impossível. Com o Agente Oliver, uma IA avançada com múltiplos agentes coordenados, o tempo de análise caiu de 15 minutos para menos de 1 minuto por site, resultando em uma redução de 93% no esforço manual. O sistema foi implantado em mais de 100.000 sites.

A Check Point vai além: seu sistema Universe leva investigações que antes demandavam cerca de três semanas de esforço manual para serem concluídas em aproximadamente uma hora, ao automatizar o ciclo completo de inteligência de ameaças, que cobre desde a análise reversa de amostras até a geração de regras de detecção e relatórios padronizados.

 

3.Proteção Aumentada por IA

No campo da proteção, o Google implantou dois agentes de IA. O Big Sleep busca ativamente vulnerabilidades desconhecidas em software, incluindo projetos de código aberto amplamente utilizados. O CodeMender, desenvolvido pelo Google DeepMind, gera automaticamente patches para vulnerabilidades identificadas, com revisão humana antes da submissão. Desde seu lançamento, o CodeMender já corrigiu mais de 100 problemas críticos de segurança, incluindo no complexo motor JavaScript V8.

Em Dubai, o Centro de Segurança Eletrônica (DESC) desenvolveu o RZAM, uma extensão de navegador com IA treinada em mais de 1 milhão de URLs, capaz de analisar páginas em tempo real e bloquear conteúdo malicioso em milissegundos. O sistema identifica sites maliciosos com mais de 95% de precisão.

 

4.Detecção de ameaças

A Allianz enfrenta um problema de escala que ilustra bem os limites da abordagem tradicional: coletar todos os dados de endpoints de forma centralizada geraria 15 petabytes de dados por dia (a partir de 10–20 GB/s por endpoint, em 350.000 endpoints). A solução foi um sistema de análise baseado em hipóteses: a IA gera hipóteses quando alertas são disparados, identifica os dados necessários para validá-las e os recupera sob demanda, sem sobrecarregar a infraestrutura, reduzindo o tempo médio de resposta (MTTR).

A IBM implantou o ATOM (Autonomous Threat Operations Machine) como motor central de triagem em seus serviços gerenciados de segurança. O sistema lida autonomamente com cerca de 95% das investigações diárias, automatizando mais de 850 horas de trabalho analítico por mês. O tempo de investigação caiu 37%, e as anotações são concluídas mais de 40% mais rápido do que se feitas manualmente.

O banco global ING processou 5 milhões de alertas com seu sistema de IA para prevenção de vazamento de dados (DLP), atingindo um aumento de 20% na precisão dos analistas. A satisfação das equipes de SOC também aumentou significativamente, segundo pesquisa interna.

O Santander implantou um sistema de detecção de phishing baseado em IA com análise semântica multilíngue, treinado para identificar táticas de manipulação psicológica como urgência artificial, impersonificação de autoridade e apelo à reciprocidade. O resultado foi uma melhora de pelo menos 10% na eficácia geral de detecção de phishing, com identificação mais precoce de campanhas inéditas que escapavam aos controles tradicionais.

 

5.Resposta a incidentes

A PETRONAS integrou agentes de IA diretamente nos fluxos de trabalho de analistas de SOC, oferecendo resumos de incidentes em tempo real, orientação em próximos passos, consultas em linguagem natural e automação de coleta de contexto. Em três meses, o tempo de resposta e resolução de incidentes caiu entre 30% e 40%. O tempo de adaptação de novos analistas melhorou em 50%, um dado que chama atenção dada a escassez de talentos e alta rotatividade do setor.

O Standard Chartered implementou uma estratégia de hiper-automação de IA no SOC, com resultado de 25% a 35% de redução no esforço manual de triagem e 20% a 30% de melhora no tempo de triagem. Casos de baixo risco são resolvidos automaticamente dentro de limites pré definidos, preservando o controle humano.

A Dream Group reduziu o tempo de geração de orientações de remediação de malware em até surpreendentes 95% ao comprimir esforços de engenharia reversa que antes levavam vários dias para serem concluídos em minutos.

A Batuta usou scripts de contenção gerados por IA a partir de linguagem natural (“bloqueie a porta 445”). O tempo de criação de scripts caiu 12 vezes e o esforço manual caiu 99%. As equipes ficaram até 8 vezes mais produtivas.

O horizonte: IA Agêntica e autonomia progressiva

A próxima fronteira é a IA Agêntica. Se a IA atual aumenta as habilidades dos analistas humanos ao oferecer recursos e agilidade, a IA Agêntica começa a operar ao lado deles e, em determinados cenários, no lugar deles. A maioria (88%) das empresas já investe ativamente em agentes de IA, e 92% dos executivos de Tecnologia acreditam que a gestão de agentes de IA se tornará uma habilidade inegociável para a força de trabalho em cibersegurança nos próximos cinco anos, segundo o relatório “Global Tech Report 2026”, da KPMG. O Gartner projeta que, até 2028, 15% das decisões do dia a dia serão tomadas autonomamente por agentes de IA.

Para a cibersegurança, isso significa agentes especializados colaborando entre si – em inteligência de ameaças, gestão de vulnerabilidades e resposta a incidentes – para alcançar objetivos de segurança compartilhados, planejando e executando tarefas complexas em velocidade e escala de máquina.

O white paper do WEF propõe um espectro de quatro níveis de autonomia para esses agentes:

  1. “Assist” (Assistir): a IA processa e organiza dados; os humanos concebem a resposta.
  2. “Recommend” (Recomendar): a IA sugere ações específicas; os humanos aprovam antes da execução.
  3. “Execute (overridable)” (Executar com possibilidade de reversão): a IA executa ações reversíveis autonomamente; os humanos monitoram e podem intervir.
  4. “Execute (independent)” (Executar de forma independente): a IA age sem envolvimento humano em tempo real; a supervisão é feita por agentes supervisores ou auditorias posteriores.

A escolha do nível adequado depende do risco e da reversibilidade da ação. Para decisões de baixo risco e facilmente reversíveis, como bloquear um IP suspeito, contar com maior autonomia é aceitável e desejável. Para ações de alto impacto e consequências duradouras, a supervisão humana permanece essencial, mesmo que isso signifique respostas mais lentas.

Essa autonomia crescente, no entanto, introduz novos riscos que o relatório detalha: superfícies de ataque expandidas (agentes de IA podem ser explorados como novos vetores), comportamentos não intencionais gerados por alucinações ou manipulação externa, e lacunas de governança quando agentes são implantados sem validação ou aprovação adequadas.

O desafio do talento: o gargalo humano numa era de máquinas

A maior vulnerabilidade da cibersegurança na era da IA é humana. O Fórum Econômico reforça que com a crescente automatização de tarefas manuais e repetitivas via IA, o perfil do profissional de cibersegurança muda radicalmente. O “especialista em uma única ferramenta” perde espaço. O que as organizações precisam são de profissionais versáteis que combinem habilidades técnicas sólidas com pensamento crítico, resolução de problemas e capacidade de traduzir outputs complexos de IA em orientações acionáveis. Segundo o “Future of Jobs Report 2025”, a demanda por essas competências deve crescer até 2030.

No centro dessa transformação, o que observamos é que quanto mais a IA automatiza tarefas operacionais, menos oportunidade os analistas têm de praticar e desenvolver expertise de forma orgânica. Isso pode levar à “atrofia de habilidades”, e pode reduzir a capacidade da organização de operar quando os sistemas de IA falham. É o que o WEF chama de “fragilidade sistêmica” do excesso de confiança na automação.

A Microsoft chegou à mesma conclusão por um caminho diferente: ao observar suas equipes de cibersegurança mais eficazes, descobriu que muitos vêm de formações inesperadas. Economistas modelando incentivos de ameaças pela teoria dos jogos, linguistas investigando modelos de linguagem para manipulação semântica, psicólogos estudando como humanos confiam em conteúdos gerados por IA. Esses perfis trazem exatamente a diversidade cognitiva necessária para identificar vulnerabilidades que equipes puramente técnicas podem deixar passar.

A Microsoft também reportou que suas novas políticas e modelos de detecção comportamental, que são parte da Secure Future Initiative, que fundamenta a segurança desde o design, impediram US$ 4 bilhões em tentativas de fraude.

O que as organizações precisam fazer agora

O levantamento do Fórum Econômico Mundial oferece um roteiro prático para adoção de IA em cibersegurança em quatro etapas:

  1. Alinhar. Antes de qualquer investimento, a IA precisa estar conectada a prioridades estratégicas claras do negócio, como resiliência operacional, conformidade regulatória, confiança dos clientes e eficiência de custos. Sem esse alinhamento, as iniciativas de IA correm o risco de não contar com apoio executivo e, consequentemente, financiamento. O CISO precisa comunicar os benefícios em linguagem de negócios: exposição ao risco reduzida, tempo de recuperação acelerado, disponibilidade de serviço aprimorada.
  2. Preparar. A IA só fortalece a cibersegurança se os elementos fundamentais estiverem no lugar. Isso inclui processos documentados e repetíveis, dados de segurança disponíveis, completos e bem estruturados (a IA é tão boa quanto os dados que a alimentam), infraestrutura técnica integrada, competências adequadas na equipe e estruturas de governança para supervisionar iniciativas de IA.
  3. Validar. Antes da implantação completa, soluções de IA devem ser testadas em pilotos estruturados com critérios claros de sucesso. Pilotos devem ter marcos definidos, estratégias de contingência e pontos de decisão go/no-go claros. A colaboração entre equipes de cibersegurança, TI e negócios é essencial para evitar que experimentos isolados não escalem.
  4. Escalar e manter. Modelos de IA perdem eficácia sem monitoramento e refinamento contínuos. O WEF alerta para o fenômeno do “model drift”, a degradação gradual da precisão do modelo que ocorre com a evolução do ambiente de ameaças. Ter governança clara, com propriedade definida e prestação de contas é indispensável para a sustentabilidade.

As organizações que mais avançaram na adoção de IA para defesa cibernética compartilham traços comuns: liderança executiva engajada, dados de alta qualidade, equipes com capacidade de operar em ambientes aumentados por IA, e governança parruda que evolui junto com a tecnologia. Aquelas que tratam a IA como um projeto de TI isolado, sem conexão com a estratégia de negócios, tendem a desperdiçar recursos e ampliar vulnerabilidades ao criar uma falsa sensação de segurança.

O alerta mais urgente do documento é sobre a dependência excessiva da automação. No longo prazo, delegar demais para os sistemas de IA pode erodir a expertise humana necessária para intervir quando (não se) esses sistemas falham. A resiliência real requer que humanos e máquinas operem em equilíbrio dinâmico: a IA acelerando a velocidade e a escala das operações de defesa, e os humanos fornecendo o julgamento, a criatividade e a responsabilidade que as máquinas ainda não têm.