Novo relatório da Tenable: como a complexidade e a segurança deficiente de IA colocam os ambientes de nuvem em risco

Primeiro, as más notícias: embora adotem ansiosamente a nuvem e a IA, muitas organizações não têm as devidas proteções de segurança cibernética, o que cria uma lacuna perigosa. 

A boa notícia? Essas organizações podem domar as ameaças de IA e de nuvem mudando para a segurança preventiva e obtendo uma visibilidade clara e integrada do seu ambiente.

Esta é a principal conclusão do relatório da pesquisa "O estado da segurança de IA e nuvem 2025", encomendado pela Tenable e desenvolvido em colaboração com a Cloud Security Alliance.

Vamos detalhar as principais conclusões do relatório e o que você pode fazer com elas.

A superfície de ataque moderna é ampla e fragmentada

Esta é a nova realidade das equipes de segurança: elas precisam proteger um ambiente amplo e complicado, que está parcialmente no local e parcialmente em vários provedores de nuvem, com novas ferramentas de IA surgindo em todos os lugares.

O relatório, baseado em uma pesquisa com 1025 profissionais de TI e segurança mundialmente, constatou que:

• 82% trabalham em ambientes híbridos
• 63% utilizam dois ou mais provedores de nuvem
• 55% já usam IA, enquanto outros 34% a estão testando

Em resumo, as organizações estão empolgadíssimas com tudo o que se refere à nuvem e à IA, mas, em muitos casos, seus planos de segurança da nuvem não conseguem proteger essa superfície de ataque ampliada e fragmentada. 

Vamos dar uma olhada em alguns dos principais obstáculos.

Gerenciamento de identidade e acesso deficiente

Muitas organizações usam métodos rudimentares de proteção de gerenciamento de identidade e acesso (IAM). Isso é um problema, porque as identidades constituem o perímetro de segurança nesses ambientes heterogêneos e sem fronteiras. 

Para 59% dos entrevistados, identidades perigosas e permissões arriscadas foram classificadas como o maior risco de segurança. Eles listaram três problemas relacionados à identidade entre as quatro principais causas de violações na nuvem:

• Excesso de permissões, como contas ou funções com excesso de privilégios (31%)
• Controles de acesso inconsistentes nos ambientes de nuvem (27%)
• Higiene de identidade deficiente, como a falta de autenticação multifator (27%)

Além disso, quando indagados sobre seus principais desafios de segurança da nuvem, disseram que suas equipes de nuvem e IAM não estão em sintonia (28%) e que enfrentam dificuldades para aplicar o acesso com privilégios mínimos (21%). 

Outro problema: os métodos das organizações para monitorar o risco de identidade são básicos, com poucas métricas de rastreamento de problemas como uso indevido de privilégios e anomalias de acesso.

"Os dados mostram uma imagem da identidade como uma ameaça bem reconhecida e uma disciplina ainda em amadurecimento no gerenciamento seguro", diz o relatório. 

Para aumentar a segurança do IAM, as recomendações do relatório incluem:

• Reestruturação de programas e sistemas de IAM
• Melhorar a coordenação entre as equipes de nuvem e IAM
• Mudar para indicadores de risco de identidade e resiliência mais dinâmicos

Olha, mamãe, sem as mãos! Avançar rapidamente com a IA sem controles de segurança suficientes

Como 89% das organizações já usam IA (55%) ou a testam em projetos-piloto (34%), as equipes de segurança cibernética estão fazendo o possível para proteger esses sistemas: 34% já sofreram uma violação relacionada à IA.

"As organizações estão agindo rapidamente para implementar a IA, mas sua compreensão dos riscos e de como mitigá-los ainda parece imatura", diz o relatório.

Para começar, as equipes de segurança estão preocupadas com as coisas erradas. Elas estão focadas em ameaças emergentes, como a manipulação de modelos de IA. Mas a atenção delas deve estar voltada para os suspeitos usuais do mundo cibernético: software sem patches, ameaças internas, configurações incorretas e autenticação com credenciais fracas.

"Esse desalinhamento sugere que muitos programas de segurança ainda tratam a IA como algo fundamentalmente novo, em vez de aplicar princípios comprovados de segurança da nuvem e identidade a esses novos sistemas", diz o relatório.

^{(Fonte: relatório "O estado da segurança de IA e nuvem 2025", encomendado pela Tenable e desenvolvido em colaboração com a Cloud Security Alliance)}

Outros pontos fracos: Segurança reativa, lacunas de habilidades

O relatório prossegue com a análise de outros obstáculos à segurança da nuvem e da IA, incluindo:

• A lacuna de habilidades: cerca de um terço dos entrevistados citou a falta de conhecimento como seu principal desafio, o que leva a estratégias confusas, verbas insuficientes e incompreensão dos riscos da nuvem pelos líderes executivos.
• Uma postura de segurança reativa: o indicador-chave de desempenho (KPI) mais comumente monitorado pelos entrevistados é a frequência e a severidade dos incidentes de segurança (43%). Isso sinaliza uma abordagem de espelho retrovisor, que prioriza a resposta a crises à redução proativa de riscos — uma estratégia equivocada, porque a maioria das violações de nuvem e IA pode ser evitada.

Como podemos corrigir isso?

O relatório atua como um alerta para as equipes encarregadas da segurança da nuvem e da IA, pressionando por uma mudança estratégica, abandonando ferramentas fragmentadas, práticas de identidade imaturas e uma mentalidade reativa.

Alguns entrevistados já estão tomando medidas na direção certa, por exemplo, adotando o gerenciamento de exposição (58%) para o monitoramento unificado da segurança e a priorização de riscos; e o gerenciamento da postura de segurança na nuvem (57%).

^{(Fonte: relatório "O estado da segurança de IA e nuvem 2025", encomendado pela Tenable e desenvolvido em colaboração com a Cloud Security Alliance)}

As recomendações do relatório incluem:

• Obter uma visão única de tudo: visibilidade e controles integrados são fundamentais para gerenciar a complexidade das cargas de trabalho no local, na nuvem e de IA.
• Aumentar a segurança da identidade: aprimore a governança de identidade para todas as identidades humanas e não humanas que precisem de acesso.
• Focar na prevenção, não só na reação: passar da segurança reativa para a proativa é fundamental para se manter à frente das ameaças em evolução.

"A maturidade da segurança depende do alinhamento estratégico e do planejamento orientado por riscos. As organizações que vão além de soluções e produtos individuais estarão mais bem equipadas para proteger ambientes de nuvem e IA em evolução", diz o relatório.

Para obter todos os insights de IA e segurança da nuvem, faça download do relatório "O estado da segurança de IA e nuvem 2025" hoje mesmo!