Durante anos, a identidade assumiu-se como a pedra angular da segurança nas empresas: se o sistema podia verificar quem estava entrando, era dado por fato que o acesso podia ser concedido sem maiores reparos. Essa lógica funcionava quando o pessoal trabalhava de equipamentos corporativos em redes controladas e em horários previsíveis. Hoje, no entanto, o panorama mudou radicalmente e a segurança baseada exclusivamente em identidade é insuficiente face à realidade da força de trabalho moderna.
O trabalho já não acontece em um único lugar nem sobre um único dispositivo. Pessoas que se ligam de casa, desde cafés, com portáteis corporativos, dispositivos pessoais ou equipamentos de terceiros fazem com que o contexto de cada conexão seja muito mais variável. Uma autenticação bem sucedida diz-nos "quem" está acessando, mas não nos informa de forma confiável sobre "que risco" implica esse acesso.
Essa matiz é crucial: o mesmo usuário que inicia sessão a partir de uma equipe adesivo e gerenciada representa um risco muito diferente do que inicia sessão a partir de uma equipe sem atualizações, sem controles de segurança ou diretamente comprometido. No entanto, muitos modelos de acesso continuam outorgando privilégios com base principalmente na identidade e deixando o estado do dispositivo como algo secundário ou estático. Como consequência, a confiança permanece mesmo quando o ponto final piora seu perfil de risco após o início de sessão.
Os atacantes sabem disso e aproveitam-no. Romper autenticações fortes ou vulnerar MFA costuma ser mais caro que reutilizar credenciais válidas ou tokens de sessão, ou explorar dispositivos desprotegidos. O relatório de incidentes da Verizon mostra claramente a persistência do problema: as credenciais roubadas estão envolvidas numa percentagem muito elevada das lacunas detectadas ( Verizon DBIR). Isso sublinha que o desafio não é apenas "detectar o impostor", mas também "verificar o contexto desde o qual o acesso é produzido".
Além disso, há caminhos de acesso historicamente fora das políticas condicionadas modernas: protocolos antigos, ferramentas de acesso remoto ou fluxos não baseados em navegador costumam receber menos verificação contextual. Quando os sinais de identidade e as do endpoint são tratados em silos —ferramentas diferentes que não compartilham contexto — a visibilidade se fragmenta e as decisões são inconsistentes.
A comunidade de segurança tem tempo a promover princípios da «Zero Trust» que partem de não dar por garantido que algo é seguro por pertencer a uma rede ou por uma autenticação prévia. Instituições como o NIST documentam estas ideias e como devem ser aplicadas em arquiteturas modernas ( NIST SP 800-207), e fornecedores de plataformas publicam guias para levá-las à prática ( Microsoft Zero Trust). No entanto, a adoção real tropeça com a complexidade técnica e com a fricção que a segurança pode introduzir no trabalho cotidiano.
Para que o Zero Trust funcione no campo de trabalho não basta autenticar utilizadores: as condições do endpoint e do ambiente devem ser continuamente verificadas. O estado de um dispositivo muda com frequência: configurações que deixam de ser seguras, controles de segurança desativados, adesivos pendentes. Se a verificação se limitar ao instante do login, a confiança perdura enquanto o risco do dispositivo pode aumentar muito depois. Por isso são cada vez mais comuns as soluções que estendem as decisões de acesso além da identidade e as mantêm durante toda a sessão.
Implementar essa verificação contínua não significa converter a segurança em um obstáculo. Ao contrário, as melhores aproximações buscam equilibrar proteção e usabilidade. Isso passa por permitir remediações direcionadas que o próprio usuário possa executar, políticas que graduem a resposta segundo o risco e controles que diferenciem entre endpoints corporativos, pessoais ou de terceiros. Desta forma, reduz-se a capacidade dos atacantes de aproveitar credenciais válidas a partir de dispositivos não confiáveis sem interromper o trabalho legítimo das pessoas.
A evidência prática indica que quando os controles de identidade e de endpoint se integram e se avaliam de maneira contínua, a resiliência melhora. Organizações e fornecedores estão construindo ferramentas que inspecionam o estado da equipe em tempo real e que podem limitar ou adaptar o acesso sem cortar completamente a produtividade. Por exemplo, existem plataformas que permitem aplicar restrições baseadas no cumprimento do dispositivo, oferecer passos de remediação automáticos e manter a verificação ao longo da sessão no Windows, macOS, Linux e móveis.
É importante também entender por que algumas áreas permanecem mais vulneráveis: protocolos obsoletos ou aplicações legadas que não são compatíveis com controles avançados continuam a representar vetores acessíveis para os atacantes. Da mesma forma, as técnicas como o abuso de tokens de sessão ou as campanhas de "MFA fatigue" demonstraram que o elo fraco nem sempre está na senha, mas como se aplica e mantém a confiança. Instituições como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) e organizações do sector publicam recomendações práticas para mitigar esses riscos e endurecer as defesas contra abusos de sessões e de autenticação ( CISA).
Para as empresas, a pergunta deixa de ser se devem confiar na identidade e passar a ser como articular essa confiança com sinais de dispositivo e contexto em tempo real. Nesse ponto aparecem soluções comerciais que integram ambas as dimensões e propõem políticas dinâmicas que se adaptam às condições. Um exemplo de provedor neste espaço é Specops, que integra capacidades de verificação contínua e controles baseados no estado do endpoint através de tecnologias como Infinipoint. Estas propostas visam aplicar a Zero Trust não só sobre quem é autenticada, mas também sobre onde e em que condições ( Specops, Infinipoint).
Como jornalista que segue a evolução da cibersegurança, vejo que a agenda para os próximos anos é clara: as organizações devem deixar de tratar a identidade como uma garantia absoluta e começar a projetar controles que considerem a saúde do endpoint e o contexto de acesso de forma contínua. Essa transformação exige investir em integração entre ferramentas, redefinir processos de suporte para oferecer remediações ágils e, sobretudo, comunicar às pessoas por que essas mudanças são necessárias. A segurança efectiva não consiste em travar o utilizador legítimo, mas sim em tornar o acesso legítimo também seguro.
Se a sua equipa estiver a reformular a estratégia de acesso, convém rever recursos de referência sobre o Zero Trust e a gestão de identidade, contrastar opções técnicas e considerar pilotos que prejudicam a segurança e a produtividade. Num ambiente em que iniciar sessão é muitas vezes mais simples do que forçar uma brecha, A questão relevante já não é "quem é?" mas "desde o que e com que nível de confiança?"
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...