Há dez anos, o ROI da segurança de e-mail era simples: implantar sistemas de correspondência de padrões, aceitar alguns falsos positivos, dimensionar um SOC. A matemática funcionou porque os ataques seguiram padrões que as máquinas podiam aprender.
A IA quebrou esse padrão.
As equipes de segurança corporativa agora gastam 25% do tempo dos analistas investigando falsos positivos de segurança de e-mail. Isso representa um quarto da sua capacidade de segurança para um trabalho que não produz nada. Pesquisas do setor mostram que 65% dos alertas de segurança de e-mail são falsos positivos.
Cada um leva 33 minutos para pesquisar. Enquanto isso, os ataques alimentados por IA são bem-sucedidos porque as equipes de segurança estão afogadas em ruído, incapazes de se concentrar em ameaças que não correspondem aos padrões históricos.
Para os gestores de TI que gerem orçamentos fixos, não se trata de necessidade de mais investimento. A arquitetura em si não gera mais retornos aceitáveis.
Problema econômico
A IA mudou a economia dos invasores. Uma pesquisa recente de Harvard mostra que a IA pode enganar mais de 50% dos humanos, ao mesmo tempo que reduz os custos de ataque em 95% e aumenta a rentabilidade em até 50 vezes. Os recursos do Defender não acompanharam o ritmo, pelo menos não se você estiver usando segurança desenvolvida para ameaças pré-IA.
A segurança de e-mail atual cria uma carga operacional previsível:
65% dos alertas são falsos positivos (Práticas recomendadas do SOC, 2025)
25% do tempo do analista perseguindo falsos positivos (Ponemon/Exabeam, 2024)
Média de 33 minutos de pesquisa por alerta (VMRay/Microsoft, 2025)
Isso aumenta com o tamanho da organização, mas mantém a mesma ineficiência. Um SOC de 5 pessoas de médio porte perde 1,25 FTEs devido a investigações de falsos positivos. Uma empresa SOC de 40 pessoas perde 10 FTEs, cerca de US$ 1,2-1,7 milhão em capacidade anual de analistas sem pesquisar nada.
O impacto é o mesmo em todas as escalas: os executivos de engajamento de e-mail comercial ficam na fila por horas enquanto as equipes de segurança investigam alarmes falsos. Os SOCs operam com 105-175% da capacidade antes de qualquer trabalho proativo de segurança ser realizado. As grandes organizações não escapam disso. Eles desperdiçam mais.
Por que as correções complementares não funcionam
Algumas organizações contratam mais analistas. Isso não resolve o problema arquitetônico. Ele aumenta a eficiência. Se 65% dos alertas são falsos positivos, consumindo 25% do tempo do analista, contratar mais gente significa que 25% do tempo também é desperdiçado. O ROI nunca melhora. A estrutura de custos é dimensionada linearmente com o problema.
Outros ajustam os limites de detecção ou adicionam mais regras. Diferentes armadilhas: A tensão falso positivo/falso negativo não pode ser resolvida em sistemas que apenas verificam ameaças.
Execute detecção agressiva para detectar ataques sofisticados e colocar em quarentena suas comunicações comerciais. Tenha cuidado para reduzir falsos positivos e novos ataques serão bem-sucedidos. Troca de soma zero. Melhorar uma métrica degrada a outra.
O problema é arquitetônico. A segurança de e-mail baseada na correspondência de padrões (geração 1) ou no aprendizado de máquina (geração 2) tem a mesma limitação: ela só pode avaliar sinais de ameaça. Procura padrões suspeitos, mas não tem como validar a legitimidade do negócio.
Quando os invasores reutilizaram modelos e táticas, isso funcionou. A correspondência de padrões detectou 60-70% das ameaças. O resto do trabalho foi administrável.
A IA muda o jogo. Os invasores agora criam variantes exclusivas e ilimitadas, personalizadas para o contexto organizacional, sem precedentes históricos. Cada ataque é novo. A correspondência de padrões falha matematicamente; você não pode combinar padrões não repetitivos.
O aprendizado de máquina falha da mesma maneira: não é possível treinar modelos em padrões de ataque que não foram vistos.
Má alocação de recursos
Isso cria um problema para a liderança de TI. Seus recursos de segurança mais valiosos – analistas especializados com 7 a 15 anos de experiência na criação de recursos de detecção e detecção de ameaças – estão envolvidos na investigação de falsos positivos.
Os analistas devem ser:
- Avaliando as implicações de segurança da adoção de ferramentas de IA em unidades de negócios
- Construindo programas de inteligência contra ameaças que embasam decisões
- Conduza exercícios de mesa preparando a liderança para ataques
- Permita a adoção segura de novas plataformas de comunicação e ferramentas de negócios
Em vez disso, 25% das vezes ele valida se as faturas legítimas dos fornecedores são phishing. Com uma remuneração de US$ 85 a 120 mil por analista, esta é uma alocação incorreta significativa de recursos de segurança.
Uma mudança para uma arquitetura baseada no raciocínio
Está surgindo uma terceira geração de arquitetura de segurança de e-mail que muda o modelo econômico ao resolver arquitetonicamente a alocação de recursos.
Em vez de procurar sinais de ameaça, estes sistemas avaliam e-mails em duas dimensões simultaneamente: indicadores de ameaça e padrões de legitimidade empresarial. Isso quebra a tensão falso positivo/falso negativo.
Para cada email, o sistema realiza investigações paralelas. A coleção de sinais de ameaça analisa falhas de autenticação, caminhos de retransmissão suspeitos e táticas de adulteração.
Ao mesmo tempo, a análise de legitimidade empresarial avalia se os padrões de comunicação estão em conformidade com as relações organizacionais estabelecidas, se as solicitações estão em conformidade com os fluxos de trabalho de aprovação documentados e se o comportamento do remetente está em conformidade com as normas históricas.
Uma camada de raciocínio — que usa grandes padrões de linguagem como arquitetura de orquestração, e não como função incorporada — pesa todas as evidências e toma decisões.
Comunicações legítimas de vendedores com características incomuns (novo domínio, remetente pela primeira vez, linguagem urgente) podem ser liberadas automaticamente porque o sinal de legitimidade do negócio substitui sinalizadores de baixa ameaça.
E-mails que parecem tecnicamente limpos, mas que violam a lógica de negócios (o CFO ignorando os fluxos de aprovação padrão para solicitações de transferência eletrônica) resultam em escalonamento de alta prioridade.
Isso muda a economia. Em vez de uma taxa de falsos positivos de 65% consumir 25% da capacidade de um analista, os sistemas construídos em uma arquitetura baseada em raciocínio podem liberar automaticamente 70-80% de falsos positivos, lidar automaticamente com 15-20% de ameaças de baixo risco e escalar apenas 5-10% de ataques complexos com pacotes completos de investigação.
A carga de trabalho do analista passa de uma capacidade de 25% em falsos positivos para uma capacidade de 3 a 5% para validar escalonamentos de alta confiança, uma melhoria de 5 a 8 vezes na produtividade do analista em escala em qualquer organização.
Para um SOC de 5 pessoas do mercado intermediário, isso recupera 1 FTE para outro trabalho. Para uma empresa SOC de 40 pessoas, ele recupera 8 FTEs, a diferença entre executar uma triagem de alerta contínua e criar programas proativos de caça a ameaças.
Estrutura de avaliação de liderança de TI
Ao avaliar sua arquitetura de segurança de e-mail, concentre-se nos resultados financeiros, não nas listas de recursos. Pergunte aos vendedores:
Qual porcentagem de detecções nunca é alcançada por analistas humanos?
Se a resposta não for “70-80% de liberação automática ou gerenciamento automático”, então a arquitetura não resolveu a alocação de recursos. Você está comprando um sistema que consumirá 25% da capacidade do analista nas taxas atuais.
Como o sistema modela a legitimidade do negócio, e não apenas os sinais de ameaça?
Os fornecedores que só conseguem articular capacidades de detecção de ameaças estão vendendo sistemas que perpetuam crises de falsos positivos. Os sistemas que podem explicar como validam o contexto de negócios, os fluxos de aprovação e os padrões de comunicação são arquitetonicamente diferentes.
Que trabalho de pesquisa acontece antes de aumentar o SOC?
Os sistemas legados enviam alertas: “Mensagem suspeita detectada”. Os sistemas baseados no raciocínio devem fornecer pacotes prontos para a tomada de decisões: recolha abrangente de provas, análise multidimensional, cálculo de riscos tendo em conta as autoridades-alvo e o impacto nos negócios, ações recomendadas com razões adicionais.
Se os analistas começarem suas investigações do zero, você estará pagando por um trabalho que deveria ser automatizado pelo sistema de segurança.
Qual é o custo total de propriedade?
Calcule: taxas de licença + tempo do analista investigando falsos positivos (25% da capacidade × custo da equipe) + interrupção de e-mails legítimos em quarentena + custos de violação de ameaças perdidas. As arquiteturas que reduzem a carga dos analistas em mais de 80% podem justificar custos de licenciamento mais elevados porque o retorno económico global é melhor.
A janela está fechando
As organizações têm uma janela limitada antes que os ataques aprimorados por IA se tornem comuns. Durante 2026-2027, ferramentas e técnicas serão comercializadas, expandindo o conjunto de atores de ameaças.
As organizações que migram para a segurança de e-mail baseada em raciocínio agora percebem vantagens operacionais: melhor detecção de ameaças, sim, mas, mais importante, melhor alocação de recursos. As equipes de segurança podem se concentrar no trabalho real, em vez da triagem de alertas. As operações comerciais sofrem menos atrito com quarenta falsos positivos.
As estruturas de custos melhoram à medida que a produtividade dos analistas aumenta.
As organizações que atrasarem esta transição passarão o período 2027-2028 a gerir interrupções nos negócios, enquanto os seus concorrentes operam de forma mais eficiente.
A mudança arquitetônica da correspondência de padrões para o raciocínio do contexto de negócios determina se a segurança do e-mail se tornará uma vantagem ou um centro de custo crescente. A segurança do email evoluiu de uma higiene de infraestrutura para um desafio de alocação de recursos.
A questão para a liderança de TI não é se devem ou não investir mais; é investir ou não em arquiteturas que proporcionem melhores retornos econômicos do que custos de escala linear.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
