As credenciais roubadas continuam a ser uma das portas mais utilizadas pelos atacantes para entrar em redes corporativas: segundo o último relatório da Verizon, representam uma proporção significativa dos vectores de acesso inicial conhecidos (ver dados no DBIR). Essa realidade não é surpresa para ninguém que trabalhe em segurança: o verdadeiro problema não é apenas que as credenciais se percam, mas que, uma vez dentro, a arquitetura tradicional costuma entregar licenças demasiado amplas e uma visibilidade fragmentada, o que permite aos intrusos moverem-se e escalar privilégios com relativa liberdade.
Em teoria, a filosofia Zero Trust — que parte da premissa de não atribuir confiança implícita a nenhuma identidade ou dispositivo — deveria cortar de raiz este tipo de ataques. Na prática, porém, muitas organizações confundem adotar “controles Zero Trust” com implantar uma estratégia de identidade coerente. Quando as medidas se desdobram como elementos isolados — um MFA aqui, um firewall lá — aparecem lacunas entre elas que os adversários exploram. Para que a Zero Trust funcione de forma real e sustentável, a identidade deve ser o eixo central: governada com rigor, validada continuamente e visível em toda a pilha tecnológica.
Aplicar Zero Trust com a identidade no centro implica transformar a forma como os acessos são concebidos, não só somando novas ferramentas. Em vez de assumir que uma sessão autenticada equivale a autorização para mover-se livremente, é necessário decompor cada pedido de acesso em verificações sobre quem solicita, desde que dispositivo, em que contexto e durante quanto tempo. Essa mudança de paradigma reduz a superfície de ataque e limita o impacto de credenciais comprometidas.
Um dos pilares concretos é a aplicação estrita do princípio de menor privilégio. Em muitas empresas as licenças crescem como por arte mágica: mudanças de posto, projetos temporários e acessos esquecidos fazem com que contas legítimas acumulem direitos que já não precisam. Se um atacante comprometer uma dessas contas, herda essa sobrecapacidade. Limitar os acessos ao estritamente necessário e conceder privilégios temporários e just-in-time reduz drasticamente o dano potencial e torna a exploração interna muito mais cara para o atacante.
A autenticação também deve deixar de ser um evento pontual. Técnicas como o sequestro de sessões e o roubo de tokens permitem a um intruso sortear os controles iniciais e operar como se fosse um usuário válido. Por isso é cada vez mais necessário implantar mecanismos de autenticação contínua e context-aware que considerem a saúde do dispositivo, a geolocalização, o comportamento habitual do usuário e outros fatores de risco em tempo real. Atar identidades a dispositivos de confiança e verificar a conformidade do endpoint antes de permitir acesso é uma barreira adicional que dificulta o abuso de credenciais roubadas. Ferramentas e abordagens que integram verificação de postura do dispositivo ajudam a automatizar essas decisões e a mitigar o risco de acesso a ambientes não controlados.
Outra peça essencial é limitar o movimento lateral dentro da rede. Zero Trust não só restringe o acesso inicial, mas exige uma verificação para cada salto: segmentação granular, microsegmentação e políticas que exijam reatenticação ou escalado de verificação quando se tenta acessar recursos sensíveis. Esta contenção transforma incidentes que poderiam ter sido convertidos em lacunas corporativas em eventos isolados e manuseáveis, reduzindo o tempo e o custo da resposta.
O trabalho remoto e o acesso de terceiros multiplicaram os pontos de entrada e, consequentemente, os riscos. Tratar funcionários, empreiteiros e parceiros como “confiables por defeito” já não é viável. Zero Trust propõe tratar cada usuário e dispositivo como não confiável até demonstrar o contrário: acesso condicionado por identidade verificada, postura do dispositivo e contexto. Isso permite a aplicação de controlos consistentes independentemente de alguém se ligar do escritório, de sua casa ou de um fornecedor, e revogar privilégios imediatamente quando as condições mudam.
A complexidade cresce quando os ambientes se estendem por múltiplas nuvens, sistemas herdados e aplicações SaaS. Por isso é crítico centralizar a governança e o monitoramento de identidades. Um painel único para políticas de acesso, revisões de permissões, eventos de autenticação e análise comportamental permite detectar padrões anormais e responder rapidamente. A automação no ciclo de vida das identidades —provisão, mudanças de papel e desprovisão — reduz a acumulação de licenças desnecessárias e as janelas de exposição.
Como começar sem paralisar a organização? O caminho para Zero Trust é gradual e prático. Muitos equipamentos obtêm benefícios imediatos priorizando controles de alto impacto: introduzir mecanismos de autenticação resistentes ao phishing e verificar a saúde dos dispositivos costuma ser um ponto de partida com retorno claro. A partir daí, convém implantar acesso temporário a privilégios, auditorias periódicas de direitos, e uma camada de visibilidade que correlacione eventos de identidade com a telemetria de rede e endpoints.
Se você procura referências técnicas e marcos de trabalho reconhecidos, o guia de NIST sobre Zero Trust Architecture oferece um quadro conceitual sólido (NIST SP 800-207), a Microsoft publica material prático e guias para transferir a Zero Trust para ambientes reais (documentação da Microsoft), e a Agência de Segurança Cibernética dos EUA. EUA (CISA) fornece recomendações sobre a adoção de autenticação multifator resistente ao phishing (guia de CISA). Para compreender as técnicas de sequestro de sessões e roubo de tokens, convém rever recursos de OWASP sobre gestão de sessões (OWASP Session Management).
Existem fornecedores que oferecem ferramentas concretas para alguns destes desafios - por exemplo, soluções que integram verificação de dispositivo com políticas de acesso baseadas em identidade - e podem facilitar a implementação. Embora a tecnologia ajuda, o sucesso depende de design, governança e processos: automatizar o ciclo de vida das identidades, definir métricas de controle e realizar revisões periódicas são passos imprescindíveis para que Zero Trust deixe de ser uma coleção de controles e se torne uma estratégia efetiva centrada na identidade.
No final do dia, proteger identidades não é uma opção técnica isolada: é uma transformação que requer coordenação entre segurança, operações e negócio. Começar por controlos de alto impacto, medir resultados e evoluir para políticas mais sofisticadas e automatizadas permite reduzir rapidamente a superfície de ataque e transformar as credenciais roubadas numa ameaça muito menos perigosa.
Se você procura exemplos concretos ou demonstrações de soluções que combinam verificação de dispositivo e controle de identidades, você pode consultar fornecedores especializados e comparar abordagens antes de projetar um roteiro próprio. Informar-se com fontes oficiais e quadros reconhecidos ajuda a evitar improvisações que geram falsas sensações de segurança.
Fontes e leituras recomendadas: relatório da Verizon DBIR https://www.verizon.com/business/en-gb/resources/reports/dbir/, NIST SP 800-207 https://www.nist.gov/publications/zero-trust-architecture, guia Zero Trust da Microsoft https://learn.microsoft.com/en-us/security/zero-trust/, recomendações de CISA sobre MFA https://www.cisa.gov/publication/implementing-multi-factor-authentication e OWASP sobre gestão de sessões https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html. Para informações sobre soluções que unem identidade e verificação de dispositivos, você pode explorar recursos de fornecedores especializados como Specops e comparar com outras ofertas do mercado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...