Pular para o conteúdo
[wpml_language_selector_widget]
  • Início
  • Quem Somos
  • Segmentos
    • Financeiro
    • Saúde
    • Educação
    • Indústria
  • Soluções
    • evalmind (Plataforma para IA Generativa)
    • evalmind care
    • Assinatura Eletrônica
      • CryptoCubo
    • Soluções de Pagamentos
      • HSM de Pagamentos (Payshield)
      • PIX
      • SFN
      • COMPE
    • HSM (Hardware Security Module)
      • Thale Luna HSM ( Propósito Geral)
      • ProtectServer HSM Thales
    • Professional Services
    • Proteção de Dados
      • Criptografia de Dados em Repouso
      • Proteção de Secrets
      • Proteção de Chaves
        • Data Protection on Demand – DPoD
      • Proteção WAF e APIs
      • Proteção de Redes
        • Criptografia de Rede
        • DDoS
      • Governança de Certificados
        • Keyfactor
      • MFA
  • Conteúdos
    • Blog
    • Infográficos e eBooks
  • Carreira
  • Contato
  • Início
  • Quem Somos
  • Segmentos
    • Financeiro
    • Saúde
    • Educação
    • Indústria
  • Soluções
    • evalmind (Plataforma para IA Generativa)
    • evalmind care
    • Assinatura Eletrônica
      • CryptoCubo
    • Soluções de Pagamentos
      • HSM de Pagamentos (Payshield)
      • PIX
      • SFN
      • COMPE
    • HSM (Hardware Security Module)
      • Thale Luna HSM ( Propósito Geral)
      • ProtectServer HSM Thales
    • Professional Services
    • Proteção de Dados
      • Criptografia de Dados em Repouso
      • Proteção de Secrets
      • Proteção de Chaves
        • Data Protection on Demand – DPoD
      • Proteção WAF e APIs
      • Proteção de Redes
        • Criptografia de Rede
        • DDoS
      • Governança de Certificados
        • Keyfactor
      • MFA
  • Conteúdos
    • Blog
    • Infográficos e eBooks
  • Carreira
  • Contato
  • Início
  • Quem Somos
  • Segmentos
    • Financeiro
    • Saúde
    • Educação
    • Indústria
  • Soluções
    • evalmind (Plataforma para IA Generativa)
    • evalmind care
    • Assinatura Eletrônica
      • CryptoCubo
    • Soluções de Pagamentos
      • HSM de Pagamentos (Payshield)
      • PIX
      • SFN
      • COMPE
    • HSM (Hardware Security Module)
      • Thale Luna HSM ( Propósito Geral)
      • ProtectServer HSM Thales
    • Professional Services
    • Proteção de Dados
      • Criptografia de Dados em Repouso
      • Proteção de Secrets
      • Proteção de Chaves
        • Data Protection on Demand – DPoD
      • Proteção WAF e APIs
      • Proteção de Redes
        • Criptografia de Rede
        • DDoS
      • Governança de Certificados
        • Keyfactor
      • MFA
  • Conteúdos
    • Blog
    • Infográficos e eBooks
  • Carreira
  • Contato
  • Início
  • Quem Somos
  • Segmentos
    • Financeiro
    • Saúde
    • Educação
    • Indústria
  • Soluções
    • evalmind (Plataforma para IA Generativa)
    • evalmind care
    • Assinatura Eletrônica
      • CryptoCubo
    • Soluções de Pagamentos
      • HSM de Pagamentos (Payshield)
      • PIX
      • SFN
      • COMPE
    • HSM (Hardware Security Module)
      • Thale Luna HSM ( Propósito Geral)
      • ProtectServer HSM Thales
    • Professional Services
    • Proteção de Dados
      • Criptografia de Dados em Repouso
      • Proteção de Secrets
      • Proteção de Chaves
        • Data Protection on Demand – DPoD
      • Proteção WAF e APIs
      • Proteção de Redes
        • Criptografia de Rede
        • DDoS
      • Governança de Certificados
        • Keyfactor
      • MFA
  • Conteúdos
    • Blog
    • Infográficos e eBooks
  • Carreira
  • Contato
[wpml_language_selector_widget]
Youtube Facebook Instagram Linkedin

Seu SIEM não foi desenhado para ataques inteligentes

  • Proteção de dados
  • 23/06/2026
Confira neste artigo

Seu SIEM não foi desenhado para ataques inteligentes

São 3h12 da manhã. A sala está quase às escuras, iluminada pelo brilho azulado de seis monitores. Um analista de plantão, o único acordado na empresa inteira neste momento, assiste a uma coluna de alertas descer pela tela mais rápido do que consegue ler. Não é uma enxurrada metafórica. São números reais: 4.000, 6.000, 11.000 eventos por hora numa noite movimentada. Cada linha pisca exigindo um julgamento que ele não tem tempo de fazer. Um login fora do horário. Uma transferência de arquivo um pouco grande demais. Um processo que ninguém reconhece rodando num servidor que talvez seja crítico, talvez não.

Ele toma um gole de café frio. Clica em “reconhecer”. Clica de novo. A maioria desses alertas é ruído: falsos positivos que o sistema gera há meses e que todos aprenderam a ignorar. Só que, em algum lugar daquela coluna, pode estar o único alerta que importa, e identificá-lo depende de um ser humano cansado prestando atenção ao décimo milésimo evento da noite. Cenas parecidas se repetem em bancos, pequenas empresas de varejo, hospitais e prefeituras, e já estavam presentes muito antes de a inteligência artificial entrar na conversa.

Uma ferramenta calibrada para o adversário de ontem

Para entender por que esse analista está sobrecarregado, é preciso entender o que ele está usando. O sistema que entrega alertas na tela dele foi concebido para um mundo específico: um mundo de ataques relativamente previsíveis e volumes administráveis. Na sua essência, essa categoria de ferramenta faz uma coisa, e a faz bem: registra eventos e os correlaciona contra padrões conhecidos. Aprende a assinatura de uma ameaça já vista e soa o alarme quando algo parecido reaparece. Por décadas, isso bastou, porque os atacantes, em sua maioria, repetiam táticas, reutilizavam ferramentas e deixavam pegadas familiares.

O problema não está no produto em si. Não há uma configuração mágica, um módulo a mais ou uma simples troca de fornecedor que resolva o que já começou a mudar. O problema está na premissa sobre a qual essa arquitetura foi construída. Era simples e, durante muito tempo, verdadeira: o atacante vai deixar um rastro que eu reconheço. Toda a lógica de defesa (regras, correlações, painéis e limiares de alerta) foi construída sobre essa aposta, e ela está sendo corroída.

Essa aposta começa a falhar quando o adversário para de se repetir. Quando o atacante pode gerar, sob demanda, uma variante inédita de um ataque: código nunca visto, phishing escrito sob medida para uma vítima específica, comportamentos que imitam com precisão o tráfego legítimo da empresa. Não há assinatura a reconhecer. A lógica que aprende com o passado fica olhando para um adversário que se reinventa a cada tentativa. O alarme pode não tocar, não porque a ameaça seja silenciosa, mas porque ela não se parece com nada do catálogo.

A nova equação do esforço

É tentador encaixar a inteligência artificial na lista comprida de “novas ferramentas que os atacantes usam”, ao lado do malware mais recente ou do truque de engenharia social da estação. Mas a IA não se encaixa nessa lista: ela muda a física do problema, a equação de esforço que governa quem ataca e quem defende.

Por muito tempo, a defesa se apoiou numa assimetria silenciosa: ataques sofisticados eram caros. Customizar uma campanha para um alvo específico exigia uma equipe, tempo, perícia rara e dinheiro. Esse custo era, na prática, um aliado do defensor, pois limitava quantos adversários competentes existiam e com que frequência podiam agir. O que antes podia exigir uma equipe de especialistas trabalhando por semanas hoje pode ser acelerado por prompts, automação e agentes capazes de combinar etapas que antes eram manuais. E quando o custo de produzir um ataque sob medida cai drasticamente, não muda só a qualidade dos ataques, mas o volume.

Estamos acostumados a pensar em segurança como uma corrida armamentista entre técnicas: o atacante inventa um truque novo, o defensor aprende a detectá-lo, e o ciclo recomeça. Esse modelo pressupõe que cada lado paga aproximadamente o mesmo preço por jogada. A IA quebra essa simetria de custo. Ela não dá ao atacante apenas uma arma melhor; dá a ele um custo marginal muito menor para produzir ataques convincentes em grande escala. E quando o preço de uma jogada cai para perto de zero de um lado só do tabuleiro, não é a tática que muda, mas a escala do jogo inteiro. É essa mudança de escala, e não qualquer técnica específica, que a arquitetura atual de muitas organizações não está preparada para absorver.

Quando o ataque pensa mais rápido do que você

Para enxergar o que isso significa na prática, é preciso parar de imaginar o atacante como uma pessoa digitando comandos numa madrugada. Imagine, em vez disso, um processo: incansável, paciente, que aprende. Os três retratos a seguir não são instruções ofensivas; são cenários defensivos plausíveis, vistos do lado de quem precisa proteger a operação.

O volume como arma

Um filtro de phishing tradicional funciona porque ataques se repetem. A mesma mensagem, o mesmo link, o mesmo remetente disfarçado chegam a milhares de caixas de entrada, e em algum ponto alguém marca o padrão como malicioso. A assinatura é registrada, e a partir daí o filtro reconhece o que já viu. Toda essa defesa repousa sobre uma premissa silenciosa: criar variações custa esforço, e o esforço limita o atacante.

Hoje, um agente autônomo pode redigir mensagens em escala, cada uma calibrada para um destinatário específico: o nome do gestor, o projeto em andamento, o tom do fornecedor habitual. Nenhuma precisa ser igual à anterior. Não há assinatura a registrar porque não há repetição a reconhecer. O sistema vê o tráfego subir, vê o volume de e-mails crescer e pode classificar isso como ruído de um dia movimentado. O padrão que ele foi construído para encontrar simplesmente não está lá. Cada mensagem é um evento único, e mil eventos únicos não formam um alerta: formam uma estatística.

O reconhecimento paciente

Há um tipo de atacante que nunca arromba a porta. Ele faz perguntas. Uma consulta a um serviço exposto aqui, uma tentativa de autenticação ali, um acesso a um endpoint público de documentação, uma sondagem de qual versão um servidor está rodando. Cada uma dessas ações, isolada, é indistinguível da curiosidade legítima de um usuário ou da varredura automática que todo sistema na internet recebe o tempo todo. Nenhuma cruza o limiar que faria o sistema levantar a mão.

O problema é que a ferramenta raciocina por evento, e esse atacante raciocina por campanha. Ao longo de semanas, um agente coleta cada fragmento aparentemente inócuo e os costura num mapa: onde estão as fronteiras de confiança, quais serviços falam entre si, qual conta tem mais permissões do que deveria, em que janelas a vigilância tende a ser menor. Nenhum evento individual justifica um alarme; o conjunto deles é a planta operacional do ambiente. Quando a defesa enfim reage, está reagindo ao primeiro movimento ruidoso, sem perceber que o trabalho de verdade, o entendimento, foi concluído em silêncio muito antes.

O payload que aprende

A regra estática é uma fotografia. Ela descreve um ataque que já aconteceu, congelado no momento em que alguém o analisou e escreveu a condição que o detecta. Funciona enquanto o adversário repete o que está na fotografia. O novo adversário não repete: ele observa.

Imagine um processo ofensivo automatizado que trata a sua defesa como um oponente num jogo. Ele tenta um movimento, percebe que foi bloqueado, infere por quê e ajusta o próximo passo — não em uma semana, mas na tentativa seguinte. Se um caminho dispara contenção, ele recua e procura outro. Se uma técnica gera silêncio, ele explora esse silêncio. Suas regras defendem contra o que já aconteceu; esse atacante está respondendo ao que está acontecendo agora, dentro da sua rede, em tempo real. É a diferença entre um campo minado, que você pode mapear e contornar, e um adversário que muda o terreno enquanto você anda.

O multiplicador que ninguém dimensionou

O problema é que a IA torna a sofisticação mais acessível. Phishing personalizado em massa, reconhecimento paciente, adaptação em tempo real: historicamente, isso era o repertório de adversários de Estado e de grupos criminosos bem financiados, operadores com tempo, talento e dinheiro. A barreira de entrada para esse nível de operação era alta, e essa altura era, ela própria, uma forma de defesa. A maioria dos atacantes nunca chegava lá, e a sua arquitetura foi dimensionada para a maioria.

Essa barreira está desabando. O que antes exigia uma equipe especializada agora pode caber em agentes e automações que mais atores conseguem operar. A consequência não é só que os bons atacantes ficam melhores: atacantes medianos passam a executar com mais consistência, e atores menos preparados ganham alcance. O volume de ataques sofisticados não tende apenas a crescer; tende a mudar de categoria. Todo o cálculo de capacidade por trás da arquitetura atual foi construído assumindo que sofisticação era rara: quantos alertas por segundo, quantos analistas de plantão, quantos eventos o pipeline aguenta antes de começar a descartar. A defesa continua dimensionada para o volume de antes, enquanto o adversário muda de forma durante a operação.

“Mas isso eu já resolvo”

Se você é responsável por segurança, provavelmente já está construindo objeções enquanto lê. Boas objeções: você investiu tempo, orçamento e capital político na sua plataforma, e ela entrega valor real todos os dias. Este não é um argumento para descartar o que foi construído. É um argumento para examinar onde a lógica que sustentou esse investimento começa a ceder. Vamos pegar as três defesas mais comuns, uma de cada vez.

“Mas temos machine learning no nosso sistema”

Verdade. E ele funciona bem dentro dos limites do problema para o qual foi projetado. Modelos de detecção comportamental aprendem uma baseline do que é “normal” no seu ambiente e disparam quando algo se desvia dela. O pressuposto silencioso é que um ataque produz um desvio abrupto: um pico, uma anomalia, um salto que se destaca contra o ruído de fundo.

Mas e quando o atacante conhece esse pressuposto melhor que você? Uma ofensiva orientada por IA não precisa saltar. Ela pode empurrar a baseline, devagar, ao longo de semanas. Um pouco mais de tráfego de saída hoje, um acesso ligeiramente fora de hora amanhã, um volume marginalmente maior depois. Cada passo é pequeno demais para ser anômalo. E como o modelo reaprende continuamente o que é normal, ele incorpora o desvio à própria definição de normalidade. O sistema nunca registra um ponto de ruptura, porque não houve um momento único, só uma curva. Seu modelo não falhou. Ele fez exatamente o que foi treinado para fazer, contra um adversário que aprendeu a nunca acionar o gatilho.

“Mas temos threat intelligence atualizada”

Também verdade, e frequentemente relevante. O problema não está na qualidade da sua inteligência, mas na meia-vida do que ela rastreia. Inteligência baseada em indicadores de comprometimento assume um mundo em que a infraestrutura do atacante tem permanência: um endereço malicioso continua malicioso, um domínio vale a pena bloquear, uma assinatura identifica uma família de ameaça por tempo suficiente para que o bloqueio importe.

Quando a infraestrutura ofensiva é descartável e gerada por código (domínios que vivem horas, endpoints que rotacionam a cada conexão, binários recompilados a cada execução), o indicador que você bloqueia ao meio-dia pode já ter sido aposentado pelo adversário antes do fim do expediente. Você não está defendendo o presente; está perseguindo, com diligência impecável, os rastros de ontem. E quanto mais rápido o atacante automatiza a geração desses rastros, maior fica a distância entre o que você sabe e o que já mudou. Inteligência atualizada contra um inimigo que se atualiza mais rápido ainda é, por definição, inteligência atrasada.

“Mas temos analistas experientes”

Mesmo os melhores do mercado têm limites. Mas este nunca foi um argumento sobre a competência deles, e sim sobre escala. Um analista excelente processa um certo número de alertas por turno, e esse número tem um limite que nenhum treinamento elimina por completo.

A geração de alertas, quando o atacante usa IA, não obedece ao mesmo limite. Ofensivas automatizadas produzem ruído em volume e variedade que nenhuma equipe consegue acompanhar indefinidamente. O que agrava o problema: esse ruído é desenhado para parecer sinal, cada falso positivo plausível o bastante para merecer um olhar. A fadiga de alertas que vem depois não é fraqueza, mas uma consequência simples de proporção. Quando o volume que entra supera o que pode ser processado, a fila cresce, e o que escapa não é o que você escolheu ignorar: é o que você nunca chegou a ver. Contratar mais analistas adia o problema sem resolvê-lo; o que importa não é só o tamanho da equipe, mas a distância entre o que chega e o que pode ser tratado com contexto.

Onde a lógica cede

Nenhuma das três defesas é falsa. O machine learning detecta anomalias, a threat intel cataloga indicadores, os analistas trabalham com dedicação. O que todas elas compartilham é uma premissa implícita: a de que o adversário opera na velocidade e na escala humanas. Enquanto isso era verdade, funcionava.

Por isso, a resposta não está apenas em mais regras nem em mais hardware. O sistema não está quebrado. Está calibrado para um adversário que mudou de forma, e isso não se corrige só com configuração.

A pergunta que muda de lado

Volte por um instante àquela sala às 3h12 da manhã. O analista não está perdendo porque é ruim no que faz, nem porque comprou a ferramenta errada, nem porque deixou de configurar alguma coisa. Ele está perdendo porque foi colocado, sozinho, do lado humano de uma equação que deixou de ser humana. Pediram a ele que respondesse, na velocidade de uma pessoa, a um adversário que opera na velocidade de uma máquina. Nenhuma quantidade de café resolve uma diferença de ordem de grandeza.

E é exatamente aqui que o problema, finalmente, aponta para uma saída. Se a mudança de fundo é que o ataque passou a operar em escala e velocidade de máquina, então a defesa precisa fazer o mesmo movimento — não para substituir o julgamento humano, mas para devolvê-lo ao lugar onde ele é insubstituível. O trabalho que esmaga o analista às 3h da manhã, a triagem de dez mil eventos quase idênticos em busca do único que importa, é precisamente o trabalho que não deveria mais chegar a ele sem contexto. A pergunta deixa de ser “como faço meus analistas lerem mais rápido” e passa a ser “o que precisa acontecer antes de o alerta chegar ao analista, para que o que chega seja decisão, não triagem”.

Essa é uma mudança de abordagem, não de configuração, e já está acontecendo. Há equipes reescrevendo a pergunta agora, colocando do lado da defesa o mesmo tipo de processo incansável, paciente e capaz de aprender que descrevemos do lado do ataque, de modo que o volume seja enfrentado por algo que não dorme, não se fatiga e não desiste no décimo milésimo evento. Não é mágica, e não é um produto que se liga numa quinta-feira. É uma maneira diferente de pensar onde o esforço humano entra na cadeia. Vale a pena ver de perto como esse desenho funciona na prática, porque o adversário que ele foi feito para enfrentar já está do outro lado da tela, e não vai esperar você terminar de decidir.

Compartilhe
Pesquisar
Outras postagens

A nova realidade do SOC no setor financeiro

Leia mais »

Resposta Rápida a Incidentes de Segurança em Saúde: Como Reduzir Riscos Operacionais

Leia mais »

Telefones

(11) 3670 - 3825 / (11) 3865 - 1124

Sobre o(s) autor(es):

Autor

  • Vinicius Holub

    Ver todos os posts
AnteriorArtigo AnteriorA nova realidade do SOC no setor financeiro
logo-footer

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
  • Home
  • Quem Somos
  • Segmentos
  • Soluções
  • Home
  • Quem Somos
  • Segmentos
  • Soluções
  • Blog
  • Carreira
  • Contato
  • Suporte
  • Política de Privacidade
  • Blog
  • Carreira
  • Contato
  • Suporte
  • Política de Privacidade

Onde Estamos

Rua Paulistânia, nº 381, 2º andar, Sumarezinho,
São Paulo - SP, CEP: 05440-000

Certificações

google-safe-browsing.png

Parcerias

Copyright © 2026, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97

  • Facebook
  • X
  • LinkedIn
  • WhatsApp