A edição deste ano da Black Hat teve uma mensagem subjacente clara: a verdadeira batalha está em conhecer seus dados e IA... e mantê-los sob controle.
A governança de dados voltou a ser relevante devido à IA: tudo gira em torno dos dados, e os CISOs estão cada vez mais assumindo a responsabilidade por eles, mas desejam uma governança com controles. O inventário de ativos de IA é reconhecido como uma necessidade fundamental, pois não se pode proteger o que não se conhece. A visibilidade das solicitações de dados e das vulnerabilidades permanece uma prioridade constante ao longo dos anos, mas agora observamos uma identificação mais granular dos casos de uso, desde a proteção de aplicativos desenvolvidos internamente até o acesso de funcionários a aplicativos de IA. Isso levanta questões sobre como interceptar e proteger os diferentes vetores de ameaça com a mínima complexidade e proliferação de agentes.
A seguir, apresentamos os principais pontos que dominaram as discussões entre CISOs, arquitetos de segurança e líderes de risco.
1. Segurança e governança da IA são prioridades absolutas
Como IA generativa Com a crescente integração da segurança em todas as funções de negócios, os líderes de segurança são constantemente solicitados a prestar contas de tudo: os modelos, os dados, o acesso, o risco. A discussão deixou de ser sobre ameaças teóricas. As equipes querem respostas concretas para perguntas reais: Onde estão nossos modelos? Quais dados sensíveis eles estão usando? Quem os está acionando e o que essas pessoas podem fazer?
Os líderes de segurança estão priorizando:
- Inventário completo de modelos e conjuntos de dados de IA, especialmente aqueles treinados com ou que utilizam dados sensíveis
- Avaliações de risco repetíveis que avaliam o uso de IA, o comportamento do modelo e a exposição regulatória
- Controles que regem o fluxo de dados para sistemas de IA, com classificação e visibilidade de linhagem
- Controle de acesso de nível imediato e aplicação de políticas para evitar uso indevido ou vazamento
Não se trata de proteger a IA no futuro. Trata-se de proteger a IA que já está em produção hoje.
2. A visibilidade dos dados ainda é o gargalo.
Apesar de anos de investimento, a maioria das organizações ainda tem dificuldades para responder a perguntas fundamentais sobre seus dados. O que temos, onde está e quem pode acessá-lo? Sem uma visão clara do seu panorama de dados, as equipes de segurança não conseguem proteger o que importa nem comprovar a conformidade.
Os temas mais comuns incluíam:
- Descoberta de dados escalável e automatizada em ambientes de nuvem, locais e híbridos
- Classificação que se adapta ao contexto específico do negócio, e não apenas a padrões genéricos.
- Visibilidade detalhada de plataformas em nuvem como Floco de neve e S3, onde a proliferação de dados está se acelerando
- Ferramentas de linhagem que conectam a descoberta de dados ao gerenciamento de configuração e à aplicação de políticas.
Antes de poder controlar o risco, você precisa controlar seus dados. Isso começa por saber o que você tem.
3. A segurança precisa ser integrada à forma como a empresa opera.
Ferramentas de segurança que criam novos silos são deixadas de lado. Ferramentas de segurança que se integram aos fluxos de trabalho existentes são adotadas. A mensagem foi consistente: se sua plataforma não consegue se integrar ao restante do ecossistema, ela se tornará obsoleta.
As equipes de segurança estão ativamente buscando:
- Integrações robustas com plataformas GRC, IAM, DLP, UEBA e pipelines de dados existentes.
- Conexões com Serviço agora, Floco de neve, e outros sistemas críticos para os negócios
- Formas de operacionalizar as descobertas de segurança por meio de processos existentes, e não de novos.
O objetivo não é apenas a detecção. É o alinhamento, a ação e a responsabilização em toda a organização.
4. A avaliação de risco não é suficiente sem ação.
Registros de riscos e sistemas de pontuação só são úteis se levarem a algum resultado. Os conselhos administrativos querem clareza. As equipes de GRC (Governança, Risco e Conformidade) querem consistência. A área de segurança quer a capacidade de agir.
Os líderes estão elevando o padrão:
- Pontuações de risco precisam ser mapeadas para ameaças, estruturas e obrigações do mundo real.
- Relatórios Deve ser compreensível para públicos não técnicos e estar vinculado ao impacto nos negócios.
- Remediação As opções devem ser integradas à plataforma, e não deixadas para trabalho manual.
Se o resultado da análise de risco se resume a um número e um painel de controle, você percorreu apenas metade do caminho. As equipes de segurança precisam de ferramentas de risco que as ajudem a agir de fato.
5. Implantação leve e sem agentes é o novo padrão.
Os orçamentos de segurança estão cada vez mais restritos. Os recursos estão escassos. E a complexidade é a inimiga. Os CISOs não estão mais dispostos a adotar ferramentas que exigem agentes, proxies ou longos prazos de implementação.
A preferência é clara:
- Implantações sem agentes que reduzem a sobrecarga operacional.
- Arquiteturas com foco em APIs e ferramentas baseadas em navegador que se integram sem interrupções.
- Aumento mínimo do esforço necessário para as equipes de engenharia e operações de segurança.
Quanto menos esforço for necessário para implantar e manter uma ferramenta, mais rápido ela se torna útil — e maior a probabilidade de permanecer em uso.
Anúncios da BigID na Black Hat 2025
BigID A empresa fez uma apresentação ousada na Black Hat com uma série de grandes anúncios de produtos que refletem para onde a indústria está caminhando — focando diretamente em Governança de IA, proteção de dados sensíveis e visibilidade de riscos em tempo real. Os destaques:
- Mecanismo de classificação de prompts com inteligência artificialA BigID é a primeira interface de linguagem natural do setor para descoberta e classificação de dados. Com este lançamento, a BigID substitui sistemas rígidos baseados em regras por um mecanismo com inteligência artificial que permite aos usuários descrever o que procuram em linguagem natural e, em seguida, encontra e classifica os dados automaticamente.
- Descoberta de IA paralelaDescubra modelos de IA não autorizados ou fraudulentos em toda a empresa. Esse recurso oferece às equipes de segurança visibilidade completa sobre implantações de IA ocultas e uso de modelos sem governança.
- Rotulagem de dados por IA para aplicação de regras de usoImplementar políticas de uso específicas para IA, a fim de garantir que dados sensíveis ou regulamentados sejam usados apenas de forma adequada por modelos e aplicativos de IA.
- Limpeza de dados por IAPrepare seus dados para IA, incluindo a limpeza inteligente de dados sensíveis e regulamentados, e permita que as organizações reduzam os riscos antes mesmo que os dados entrem em um fluxo de IA.
- Torre de Vigilância para IA e DadosÉ uma visão situacional para sua IA e para os riscos de dados. O BigID fornece alertas contínuos e insights contextuais sobre o comportamento do modelo, o uso de dados e as violações de políticas em toda a empresa, tudo em um só lugar.
- IA TRiSM (Gestão de Confiança, Risco e Segurança)Gerencie a confiança, o risco e a segurança de modelos e dados de IA – desde IA SPM para avaliações de risco e muito mais.
Em conjunto, essas inovações demonstram uma mudança da geração passiva de relatórios para o controle proativo dos sistemas de IA e dos dados sensíveis que eles consomem, ajudando as empresas a avançarem mais rapidamente e com mais confiança em um cenário de IA de alto risco.
Considerações finais: a segurança está evoluindo – e as ferramentas também precisam evoluir.
Os líderes de segurança não querem mais ruído, mais painéis de controle ou mais estruturas teóricas. Eles querem clareza. Controle. Confiança. O futuro da cibersegurança reside na visibilidade, integração e ação – especialmente à medida que a IA se torna mais integrada à forma como as empresas operam.
As principais conclusões da Black Hat 2025 deixam claro: as equipes de segurança modernas exigem visibilidade, flexibilidade e capacidade de ação. Os protagonistas dessa próxima era serão as plataformas que entenderem como operacionalizar insights, integrar-se aos ecossistemas existentes e proteger a IA de dentro para fora.
Quer se manter à frente da concorrência? Priorize soluções que compreendam a mudança... e construa pensando nela. Veja como a BigID pode ajudar sua organização a conectar os pontos entre dados e IA.
