Nos últimos anos, a conversa pública sobre cibersegurança tem se centrado em ameaças chamativas: vulnerabilidades de dia zero, compromissos na cadeia de fornecimento e exploits alimentados por inteligência artificial. No entanto, a porta de entrada que continua sendo a mais confiável para os atacantes não mudou: credenciais roubadas. Um nome de usuário e uma senha válidos, obtidos de bases de dados prévias, mediante ataques de preenchimento de credenciais ou campanhas de phishing bem concebidas, permitem a um atacante entrar sem necessidade de explorar uma falha técnica.
O que torna este vetor tão difícil de detectar é o pouco espetacular que resulta do acesso inicial. Um início de sessão bem-sucedido com credenciais legítimas não dispara os mesmos alarmes que uma digitalização de portos ou uma comunicação de malware. A olhos de muitos sistemas de detecção, o intruso parece um empregado mais. Com esse disfarce, o atacante pode coletar mais senhas, reutilizá-las para se mover lateralmente e expandir seu controle dentro do ambiente.
O impacto desse padrão é claro: equipamentos de ransomware podem cifrar e extorsionar em questão de horas; atores com apoio estatal convertem o acesso em persistência a longo prazo e em coleta de inteligência. As fases fundamentais do ataque – morte, escalada, movimento lateral e persistência – permanecem as mesmas, mas o que mudou é a velocidade e a sofisticação com que se executam.
A inteligência artificial acelerou e poliu o trabalho dos atacantes. Automatiza a verificação massiva de credenciais, gera ferramentas à medida com rapidez e produz e-mails de phishing que, hoje, são muito mais difíceis de distinguir de comunicações legítimas. Essa aceleração obriga defensores com recursos limitados a reagir em um ritmo que muitas organizações não estão equipadas para sustentar.
Diante de incidentes que se desenvolvem a maior velocidade e afetam mais camadas - identidades, nuvens, endpoints - as equipes de resposta não podem confiar apenas em processos lineares e rígidos. A velha receita de preparar, identificar, conter, erradicar, recuperar e revisar funciona como teoria, mas a prática em campo raramente é tão ordenada. Por isso, faz sentido uma abordagem iterativa que reconheça a natureza em mudança e caótica de uma pesquisa real.
O modelo DAIR –Dynamic Approach to Incident Response – propõe precisamente isso: após detectar e verificar um incidente, a equipe entra em um ciclo contínuo de scoping (definir alcance), contenção, erradicação e recuperação. Cada passagem do ciclo incorpora novas evidências que podem ampliar o perímetro do compromisso e redefinir as ações necessárias. Esse ciclo se repete até que responsáveis técnicos e executivos concordam que a situação está sob controle.
Imaginemos um caso provocado por credenciais comprometidas: no princípio, o alcance parece limitado a uma equipe de trabalho. Durante as ações de contenção aparece um mecanismo de persistência em registro que não se detectou inicialmente. Essa pista empurra novamente a equipe para digitalizar toda a organização procurando a mesma pegada. Se durante esse rastreio aparecer um IP de comando e controle confirmado, volta a entrar em contenção e erradicação. Cada iteração refina a inteligência e melhora as decisões táticas do próximo ciclo.
Esta abordagem incorpora a incerteza como parte do processo, não como desvio. Mas para que funcione não basta com um bom método: a comunicação entre equipamentos é decisiva. Quando convergem analistas do SOC, engenheiros de nuvem, líderes de resposta e administradores de sistemas, as ações devem estar sincronizadas. Uma comunicação clara e pontual é o fator que determina se as ações de contenção se coordenam ou se contradizem, e se os tomadores de decisão recebem informações úteis para priorizar.
Além da comunicação, a prática repetida é imprescindível. Não se trata apenas de documentar procedimentos, mas sim de testar com exercícios realistas que testam a coordenação, as ferramentas e os tempos de resposta. E embora a IA se incorpora cada vez mais às ferramentas defensivas, ainda são necessários profissionais afiados que saibam configurar esses sistemas, interpretar suas saídas e orientá-los em um contexto operacional.
As organizações que melhor resistem aos ataques baseados em identidade são as que investiram em suas pessoas antes da crise. Equipamentos treinados nas técnicas reais dos atacantes — não apenas em teoria, mas praticando com as mesmas ferramentas e táticas que usam os ofensores — respondem melhor. Executar eficazmente o ciclo DAIR exige especialistas que compreendam ambos os lados do jogo: como o acesso é ganha e como investigar as evidências que ocorrem em cada etapa.
Se você quer aprofundar todo este ciclo de vida de ataque e resposta – desde a obtenção inicial de credenciais até o movimento lateral, a persistência e as técnicas de pesquisa – há cursos que combinam a perspectiva ofensiva com habilidades práticas de defesa. Para aqueles que buscam melhorar tanto sua compreensão dos atacantes quanto sua capacidade de resposta, uma opção reconhecida é SEC504: Hacker Tools, Techniques, and Incident Handling. Este mês de Junho estarei a dar essa formação em SANS Chicago, onde abordamos o modelo DAIR aplicado a incidentes reais.
Se você quer basear suas decisões em dados e marcos de referência, relatórios como o Verizon Data Breach Investigations Report ou recomendações de entidades como CISA são leituras úteis para entender tendências e táticas atuais. Para quadros técnicos sobre identidade, NIST SP 800-63 oferece critérios e boas práticas que ajudam a projetar controles mais robustos.
A lição chave é dupla e simples: as ameaças evoluem, e a resposta também deve fazê-lo. Não basta com melhores ferramentas; fazem falta processos adaptativos, comunicação efetiva e profissionais treinados para aplicar o modelo dinâmico de resposta a incidentes. Se você reforça esses pilares, reduz a vantagem que hoje oferece a velocidade e escala dos atacantes.
Nota: Este artigo foi escrito e contribuído por Jon Gorenflo, instrutor de SANS em SEC504: Hacker Tools, Techniques, and Incident Handling.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...