Adversários estão liberando novas táticas para explorar qualquer fraqueza que possam encontrar em endpoints, confiando na IA generativa (gen IA) para criar novas armas de ataque.
O que é preocupante é a rapidez com que seus arsenais estão crescendo. Isso é evidente na velocidade e escala das campanhas de phishing, vídeos deepfake e ataques de engenharia social. Mais de 67% dos ataques de phishing dependeram de IA no ano passado, e 61% dos líderes de segurança estão vendo campanhas de phishing criadas em escala com chatbots de IA atacando suas organizações. A Deloitte prevê que as perdas relacionadas a deepfakes irão disparar para $40 bilhões até 2027, crescendo a uma taxa de crescimento anual composta de 32%.
As equipes de cibersegurança que combateram com sucesso ataques a endpoints dizem à VentureBeat que é comum que os adversários realizem reconhecimento meses antes de um ataque para identificar fraquezas nos endpoints.
Tudo o que é preciso é uma rápida ligação para o serviço de atendimento interno para um reset de senha ou MFA no momento certo, e eles conseguem entrar.
Endpoints enfrentando um ataque de novas ameaças baseadas em IA
Os adversários estão priorizando e acelerando ataques a endpoints usando todas as fontes disponíveis de automação para escalar seus esforços, com gen IA e aprendizado de máquina (ML) sendo as tecnologias de ataque essenciais.
Os serviços financeiros, saúde, manufatura, distribuidores e negócios essenciais em cadeias de suprimento complexas são os principais alvos. Criar caos em uma cadeia de suprimentos de serviços financeiros é um multiplicador de ransomware.
“Devido à natureza do nosso negócio, enfrentamos algumas das ameaças cibernéticas mais avançadas e persistentes que existem”, disse Katherine Mowen, SVP de segurança da informação da The Rate Companies, à VentureBeat em uma recente entrevista. “Vimos outros na indústria de hipotecas sendo violados, então precisávamos garantir que isso não acontecesse conosco. Acho que o que estamos fazendo agora é lutar contra IA com IA.”
As armas baseadas em IA dos adversários estão se tornando tão avançadas que uma violação pode estar ocorrendo por meses sem que a equipe de segurança de uma organização perceba. O tempo médio para identificar e conter uma violação é de 277 dias, com 176 dias para reconhecê-la e 82 dias para contê-la, com base no mais recente Relatório de Custos de Violação de Dados da IBM. A IA armada está tornando mais difícil para as empresas fecharem essa lacuna.
“Se você tem adversários se infiltrando em dois minutos, e leva um dia para você ingerir dados e outro dia para executar uma busca, como você pode esperar acompanhar um adversário assim?” disse Elia Zaitsev, CTO da CrowdStrike, à VentureBeat recentemente.
Um em cada três organizações não tem uma estratégia documentada para defender contra ameaças de IA e gen IA. O Relatório de Estado da Cibersegurança 2024 da Ivanti descobriu que 89% dos CISOs e líderes de TI seniores acreditam que as ameaças impulsionadas por IA estão apenas começando.
A maioria dos líderes de segurança, 60%, teme que suas organizações não estejam preparadas para defender contra ameaças e ataques impulsionados por IA. A pesquisa da Ivanti descobriu que phishing, vulnerabilidades de software, ataques de ransomware e vulnerabilidades relacionadas a APIs são as quatro ameaças mais comuns. Não é uma coincidência que esses quatro métodos estejam vendo seus maiores ganhos com gen IA.
A proteção de endpoints precisa urgentemente de mais velocidade
“O adversário está ficando mais rápido e a utilização de tecnologias de IA faz parte disso. Aproveitar a automação também faz parte disso, mas entrar nesses novos domínios de segurança é outro fator significativo, e isso tornou não apenas os atacantes modernos, mas também as campanhas de ataque modernas muito mais rápidas”, diz Zaitsev.
Etay Maor, estrategista-chefe de segurança da Cato Networks, observou durante uma recente entrevista à VentureBeat que a Cato Networks já está vendo casos “onde os atacantes estão tentando contornar sistemas baseados em IA, dando injeções de prompt ou não necessariamente prompts, mas injetando informações no sistema de IA e tentando convencê-lo de que o que está vendo não é malicioso, mas sim benéfico.”
Maor continuou: “Participamos e monitoramos diferentes fóruns underground e vemos centenas de aplicativos de IA surgindo. Acho que as organizações não percebem o que está acontecendo em suas redes, e a grande dor de cabeça virá quando virmos os maliciosos escaparem pelas brechas.”
“Todo dia identificamos cerca de um milhão e meio de ataques totalmente novos que nunca foram vistos até agora”, disse Shailesh Rao, presidente da divisão Cortex da Palo Alto Networks. “Os ataques estão se tornando tão sofisticados que a necessidade muda bilhões de vezes por dia. Você preferiria escrever regras ou aplicar aprendizado de máquina a todos esses dados?”
Vasu Jakkal, vice-presidente corporativa de segurança, conformidade e identidade da Microsoft, descreveu uma imagem ainda mais sombria em uma entrevista com a VentureBeat. “Três anos atrás, em 2021, vimos 567 ataques relacionados à identidade, que eram relacionados a senhas; isso é muitos ataques por segundo. Hoje, esse número é de 7.000 ataques de senha por segundo e mais de 1.500 atores de ameaça rastreados.”
Quatro áreas onde cada provedor de endpoint precisa se destacar com IA em 2025
Ataques a endpoints, identidade e multi-domínios estão dominando o cenário de ameaças empresarial hoje, alimentados em parte por novas táticas inventadas com gen IA.
Os provedores de endpoints precisam avançar na ingestão de dados, priorização de incidentes, automação de triagem e resposta, e improvisação de análise de caminhos de ataque. Os principais provedores de endpoints que oferecem plataformas de proteção de endpoints baseadas em IA incluem Cato Networks, Cisco, CrowdStrike, Microsoft, Palo Alto Networks, SentinelOne, Trend Micro e Zscaler, com a CrowdStrike usando IA e ML como componentes centrais de sua estratégia desde sua fundação em 2011.
Aqui estão quatro áreas-chave em que cada fornecedor precisa agir este ano:
Acelerar a ingestão e normalização de dados: A IA ajuda os fornecedores de endpoints a rapidamente analisar logs de endpoints, aplicativos SaaS e servidores locais, mapeando dados para um esquema universal. Isso tem o potencial de reduzir o tempo de análise de dias para minutos.
Melhorar a identificação de incidentes e ações subsequentes: Motores de correlação baseados em IA filtram milhões de alertas, reduzindo-os a algumas pistas de alto valor usando dados de séries temporais, IOAs, e modelos personalizados para priorizar os incidentes mais críticos.
Acelerar como a plataforma de endpoint triagem e responde a tentativas de intrusão: Ferramentas impulsionadas por IA ajudam com buscas avançadas, geram scripts de remediação e reduzem o tempo de forense manual de horas para minutos. Playbooks pré-configurados permitem ações rápidas, como isolar endpoints ou bloquear IPs maliciosos.
Habilitar uma postura mais proativa e melhorar a análise de caminhos de ataque: A IA identifica prováveis rotas de intrusão combinando inteligência de ameaças, vulnerabilidades, permissões de usuário e dados de rede, e então recomenda correções direcionadas para bloquear múltiplos caminhos de ataque.
Um manual para 2025: 12 ações essenciais para fechar as lacunas de IA na segurança de endpoints
Combater ataques de IA com IA precisa começar em um nível mais estratégico do que atualmente faz em muitas organizações. Isso vai além de sobrecarregar endpoints com mais um agente ou exigir que os usuários se autentiquem em vários sistemas de gerenciamento de identidade. A IA precisa estar no cerne da pilha de cibersegurança.
As seguintes 12 ações essenciais formam um manual pragmático para 2025, cobrindo as tecnologias-chave, processos e mudanças culturais necessárias para fechar as lacunas crescentes na segurança de endpoints.
Adoção de SASE ou SSE: Adote uma abordagem convergente de SASE ou SSE que misture zero trust com seus dados de rede, endpoint e identidade. Deixe a IA monitorar tudo em tempo real para que você não perca ameaças que ferramentas isoladas não conseguem ver.
Modelagem de dados semânticos para visibilidade unificada: Padronize logs através da nuvem, endpoints e sistemas de identidade em um único modelo. Deixe a IA analisar e normalizar os dados para que sua equipe obtenha uma visão completa rapidamente.
Triagem e playbooks baseados em IA: Use um sistema XDR ou similar alinhado com zero trust para reduzir os tempos de permanência. Playbooks impulsionados por IA ajudam a orquestrar respostas em minutos, não dias.
Motores semelhantes a sinais para priorização de ameaças: Correlacione dados através da sua arquitetura de zero trust para capturar ameaças furtivas. A IA pode ajudar a surgir padrões suspeitos para que você possa focar primeiro em problemas reais.
Prevenção de ameaças à identidade: Confie nos princípios de zero trust para verificações de postura em tempo real e análises de privilégios. A IA bloqueia atacantes que tentam se mover lateralmente com credenciais ou tokens roubados.
Fortalecimento proativo via análise de caminhos de ataque: Aplique zero trust desde o início para limitar o movimento lateral. A IA indica as correções que bloqueiam múltiplos caminhos em uma única ação.
IA explicável e governança: Rastreie cada decisão impulsionada por IA para que seu conselho e reguladores confiem. Zero trust significa nenhum “caixa-preta”. Mantenha visibilidade na lógica da IA.
Use IA especializada em vez de modelos genéricos: Treine modelos em táticas reais de atacantes dentro de uma estrutura de zero trust. Você verá menos falsos positivos e uma detecção mais precisa.
Ajuste contínuo de modelos e atualizações de conjuntos de dados: Atualize modelos de IA regularmente para acompanhar as ameaças em evolução. O zero trust é dinâmico, então seus pipelines de dados devem ser, também.
Validação com participação humana: Mesmo com automação de zero trust, a visão humana é importante. Analistas refinam as descobertas da IA para capturar ameaças sutis e reduzir alarmes falsos.
Orquestração automatizada de resposta a incidentes: Integre playbooks de IA com verificações de zero trust em endpoints, firewalls e identidade. Uma vez validadas, as respostas se propagam instantaneamente.
Integração de zero trust de ponta a ponta: Verifique em cada etapa da cadeia de ataque. Combinar detecção de IA com controles de acesso rigorosos força atacantes a superar novas barreiras a cada turno.