A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam autenticações em tempo real e modelos de trabalho dispersos que multiplicam vetores de risco. Um nome de usuário e uma senha, mesmo validados com MFA, já não garantem por si só que a conexão seja segura.
O problema não é apenas que a autenticação saia, mas os sinais que validam uma sessão raramente são reavaliados durante a sua vida útil. Um token de sessão emitido após superar MFA pode ser interceptado e reutilizado por um atacante; da perspectiva do serviço, esse token é indistinguível do legítimo. Por isso, o quadro de Zero Trust proposto por instituições como NIST recomenda avaliar também a postura do dispositivo ao tomar decisões de acesso: NIST SP 800-207.
Na prática muitas organizações ficam na validação pontual: identidade verificada, MFA OK e sessão iniciada até o termo do token. Essa abordagem deixa uma zona cega pós-autenticação onde mudanças no endpoint –desativação do controle antivírus, adesivos pendentes, hardware não autorizado – podem converter uma sessão inicialmente legítima em uma porta de entrada para o atacante.
A evidência empírica reforça a urgência: os relatórios de incidentes continuam a sinalizar credenciais roubadas como fator-chave em uma proporção significativa de lacunas. A Verizon, no seu relatório anual, demonstra como o abuso de identidades continua a dominar a superfície de ataque e porque é necessário complementar a verificação de identidade com controlos de contexto em tempo real: Verizon DBIR.
A solução prática que vai além da verificação pontual passa por unir identidade e saúde do dispositivo em decisões contínuas de acesso. A verificação contínua do dispositivo obriga a que o acesso dependa não só de quem se autentica, mas desde que se autentica e em que estado operacional se encontra esse dispositivo. Tecnologias como a avaliação contínua de acesso (Continuous Access Evaluation) permitem revogar ou ajustar privilégios enquanto a sessão está ativa: mais sobre CAE.
Isto tem implicações concretas para as equipas de segurança: as políticas de acesso devem ser capazes de distinguir entre um endpoint corporativo gerido e um pessoal ou comprometido, devem integrar sinais de EDR/MDM com o sistema de identidade, e devem aplicar controlos proporcionais que evitem bloqueios desnecessários sem renunciar à segurança. Atacar este problema exige integração entre identidade e endpoint, bem como automação para reagir em tempo real.
Nem tudo é tecnológico: há custos e desafios operacionais. Vigiar continuamente o estado de dispositivos levanta preocupações privacy/legales em ambientes BYOD e requer processos claros de consentimento e limites de telemetria. Além disso, muitas aplicações legacy não suportam mecanismos modernos de controle de sessão, o que obriga a estratégias híbridas que incluam segmentação de rede, microsegmentação e redução do uso de protocolos inseguros.
Para os equipamentos de segurança que devem priorizar ações hoje, as recomendações práticas incluem inventariar aplicações críticas e seus vetores de acesso, implantar testes pilotos de verificação contínua em um subconjunto controlado de usuários, exigir autenticadores resistentes ao phishing (FIDO2/WebAuthn) quando possível, encurtar a vida útil de tokens privilegiados e conectar sinais de EDR/MDM ao motor de decisões de acesso para habilitar respostas automatizadas à degradação da postura do endpoint.
Em resumo, a identidade continua a ser necessária, mas já não é suficiente. A defesa moderna requer que a decisão de permitir ou limitar acesso combine quem, como e desde que se conecta o usuário, e que essa decisão seja reavaliada durante toda a sessão. Aqueles que adotarem um modelo que integre identidade e verificação contínua do dispositivo reduzirão significativamente o valor operacional de credenciais roubadas e tokens interceptados, dificultando a vida dos atacantes profissionais.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...