Relatório de resposta a incidentes - 2026

4.1. Fatores contribuintes comuns: Por que os ataques são bem-sucedidos

O sucesso do atacante raramente se resume a explorações de dia zero. Em todos os incidentes aos quais respondemos em 2025, descobrimos que, em mais de 90% dos incidentes, lacunas evitáveis de cobertura e controles aplicados de forma inconsistente contribuíram diretamente para a intrusão.

Essas lacunas determinam a facilidade com que um atacante obtém acesso inicial, a rapidez com que ele se move lateralmente e se os defensores podem detectar e responder a tempo. Nas investigações deste ano, três condições sistêmicas apareceram repetidamente.

1. Lacunas de visibilidade: A falta de contexto atrasa a detecção

Muitas organizações não conseguem aproveitar a telemetria necessária para observar o comportamento do atacante em estágio inicial. Os indicadores críticos de acesso inicial e atividade precoce do atacante muitas vezes passam despercebidos porque o SOC não operacionalizou os sinais nas camadas de endpoint, rede, nuvem e SaaS. O resultado é a falta de contexto: os defensores podem ver eventos individuais, mas não têm a correlação necessária para reconhecer uma intrusão ativa.

Essa fragmentação força os respondentes a reconstruir manualmente os ataques a partir de ferramentas diferentes, criando atrasos que são explorados pelos atacantes. Em 87% dos incidentes, os investigadores da Unit 42 analisaram as evidências de duas ou mais fontes distintas para determinar o que aconteceu, sendo que em casos complexos foram utilizadas até 10. A falta de visibilidade unificada retardou consistentemente a detecção, permitindo que os adversários iniciassem o movimento lateral antes que os defensores pudessem ver o quadro completo.

2. Complexidade ambiental: a inconsistência cria o caminho de menor resistência

As linhas de base de segurança raramente são aplicadas universalmente. Com o tempo, as mudanças ambientais, impulsionadas por sistemas legados, adoção de tecnologia ou atividades de fusão e aquisição, dificultam a aplicação de um padrão consistente em toda a empresa.

Em várias investigações, controles críticos, como proteção de endpoint, foram totalmente implantados em uma unidade de negócios, mas estavam ausentes ou comprometidos em outra. Essa inconsistência cria um caminho de menor resistência. Mais de 90% das violações de dados foram possibilitadas por configurações incorretas ou lacunas na cobertura de segurança, em vez de novas explorações.

3. Identidade: O excesso de confiança leva a movimentos laterais

Em nossas investigações, os pontos fracos de identidade transformaram repetidamente um ponto de apoio inicial em um acesso mais amplo. A questão central era, muitas vezes, a confiança excessiva — privilégios e caminhos de acesso que eram muito permissivos ou permaneciam em vigor muito tempo depois de terem sido necessários.

Os atacantes aumentaram os privilégios usando indevidamente funções legadas não aposentadas e contas de serviço com permissão excessiva. Em vez de invadir, eles avançaram usando acesso válido onde a organização havia deixado muita confiança para trás.

Essas falhas refletem o desvio de identidade. À medida que as permissões se acumulam e as exceções persistem, os invasores encontram menos barreiras. Cerca de 90% dos incidentes são rastreados até um elemento relacionado à identidade como uma fonte crítica da investigação ou um vetor de ataque primário.

4.2. Recomendações para os defensores

As recomendações a seguir concentram-se em medidas práticas para abordar as condições sistêmicas descritas acima.

1. Capacite as operações de segurança para detectar e responder mais rapidamente

Com os ataques mais rápidos agora exfiltrando dados em aproximadamente uma hora, as operações de segurança devem se mover na velocidade das máquinas. Isso é possível ao capacitar o SOC com visibilidade abrangente em toda a empresa, IA para identificar o sinal no ruído e automação para impulsionar respostas e correções imediatas. A adoção desses seis recursos colocará seu SOC na melhor posição para ter sucesso:

• Ingira todos os dados de segurança relevantes. Os atacantes não operam em silos, mas os defensores frequentemente monitoram neles. Em 2025, as lacunas de visibilidade, especialmente nas camadas de SaaS, identidade na nuvem e automação, foram o principal fator de sucesso dos atacantes. A telemetria crítica geralmente existia, mas permanecia presa em sistemas diferentes, impedindo que os defensores correlacionassem as mudanças de identidade com resultados de automação ou artefatos armazenados no navegador, como tokens de sessão.

  Para detectar intrusões modernas, as organizações precisam ingerir e normalizar sinais de provedores de identidade, plataformas de nuvem e aplicativos SaaS em uma visão unificada. Essa consolidação fecha os pontos fracos que os atacantes exploram, permitindo que os defensores identifiquem as rotas de escalonamento com antecedência. Seja usando detecção baseada em regras ou IA, a qualidade do insight depende inteiramente da integridade dos dados que o alimentam.

• Previna, detecte e priorize ameaças com recursos orientados por IA. Altos volumes de alertas e ferramentas fragmentadas permitem que os atacantes se escondam espalhando a atividade pelos sistemas. Sem correlação, essas ações parecem não estar relacionadas, atrasando o escalonamento. Os recursos orientados por IA são essenciais para unir esses sinais díspares em uma visão operacional unificada.

  A análise comportamental ajuda a revelar anomalias sutis, como o uso incomum de tokens ou o movimento lateral por meio da automação da nuvem, que a detecção baseada em regras geralmente não consegue detectar.

  A IA fortalece a defesa ao correlacionar eventos em camadas de identidade, endpoint, nuvem e rede, priorizando incidentes de alta fidelidade em vez de ruído de fundo. Isso permite que as equipes de segurança distingam instantaneamente os ataques coordenados das atividades rotineiras, garantindo que os analistas concentrem seus esforços nas ameaças que representam o maior risco, em vez de perseguir falsos positivos.

• Permita a resposta a ameaças em tempo real com a automação. Os atrasos na contenção geralmente decorrem de uma propriedade pouco clara e de etapas de validação manual que não conseguem acompanhar o ritmo da automação do atacante. Uma resposta eficaz requer a atribuição de autoridade explícita para ações de contenção automatizadas, como a revogação de tokens ou o isolamento de cargas de trabalho, para que a execução possa prosseguir sem hesitação.

  Ao substituir o julgamento ad hoc por manuais padronizados e validados, as organizações garantem que a resposta siga uma sequência auditável. No entanto, para enfrentar o ritmo das ameaças modernas, a IA agêntica deve ser implantada como o acelerador de defesa definitivo. Esses sistemas autônomos investigam dinamicamente alertas complexos, correlacionando dados entre domínios na velocidade da máquina para obter um quadro completo.

  Uma vez validados, os agentes são autorizados a executar ações de contenção dinâmicas e cirúrgicas, desde o isolamento dos sistemas afetados por meio de microssegmentação até a revogação automática de credenciais comprometidas. Essa abordagem disciplinada e inteligente reduz drasticamente o desvio operacional, limita o tempo de permanência do atacante e evita que comprometimentos isolados se transformem em incidentes mais amplos.

• Transição da segurança reativa para a proativa. Para mudar da defesa reativa, as organizações devem ir além dos testes de penetração tradicionais e passar a realizar testes adversários contínuos. As auditorias pontuais raramente capturam a interação entre o desvio de identidade e as configurações incorretas da nuvem que os atacantes exploram em intrusões no mundo real. Os defensores precisam validar o desempenho dos controles em condições realistas, garantindo que os pipelines de telemetria e os fluxos de trabalho de resposta funcionem conforme o esperado.

  A proatividade se estende à recuperação. As organizações resilientes verificam se os sistemas estão livres de acesso residual, como credenciais comprometidas ou configurações alteradas, antes de restaurar os serviços. Garantir que a correção aborde as causas básicas, em vez de simplesmente restaurar instantâneos desatualizados, ajuda a evitar a reinfecção rápida e oferece suporte à resiliência de longo prazo.

• Amplie o SOC para obter resultados de alto desempenho. Durante incidentes ativos, a contenção inconsistente ou a propriedade pouco clara cria aberturas para que os atacantes restabeleçam o acesso. Os SOCs de alto desempenho eliminam essa variação, garantindo que as ações de resposta sejam aplicadas uniformemente, independentemente do analista ou da hora do dia.

  A consistência sob pressão é fundamental; ela evita que compromissos isolados se transformem em crises mais amplas.

  Para conseguir isso, é necessário eliminar os silos operacionais entre segurança, TI e DevOps. Os manuais devem refletir como os sistemas operam hoje, e não como foram originalmente projetados, para que as ações automatizadas se alinhem à lógica real dos negócios. Capacitar os analistas com responsabilidades mais amplas, como a resposta a incidentes de ponta a ponta, em vez de apenas a triagem de alertas, melhora a retenção, aumenta a versatilidade e gera resultados comerciais mensuráveis.

• Aprofunde seu banco com um retentor de RI. O retentor certo amplia seus recursos para além da resposta a emergências. Para se manterem à frente, as organizações devem testar e validar controles contra os comportamentos específicos que os atores de ameaça utilizam na prática. Avaliações recorrentes em segurança ofensiva, segurança de IA, processos de SOC e segurança na nuvem ajudam a confirmar que os pipelines de telemetria e os fluxos de trabalho de resposta operam conforme o esperado em condições de ataque realistas.

  Seu parceiro de retenção de RI deve fornecer acesso rápido a especialistas para verificações proativas de prontidão, engenharia de detecção e validação, garantindo que as melhorias defensivas sejam mantidas ao longo do tempo. Ao combinar testes contínuos com experiência retida, as organizações aumentam a resiliência.

Ao alinhar seu SOC com esses princípios fundamentais, você transforma sua defesa em um mecanismo de resposta de alta velocidade, capaz de superar os adversários e interromper as ameaças antes que elas aumentem.

2. Adote o Zero Trust para restringir a área de impacto

O Zero Trust é uma necessidade estratégica em um ambiente onde identidade se tornou a principal superfície de ataque. O objetivo é eliminar as relações de confiança implícita entre usuários, dispositivos e aplicativos e validar continuamente cada estágio de uma interação digital.

Na realidade, alcançar o zero trust é complexo. No entanto, mesmo pequenos ganhos reduzirão a superfície de ataque, restringirão o movimento lateral e minimizarão o impacto de qualquer acesso inicial ao seu ambiente. Ao remover a suposição de segurança dentro do perímetro, defensores forçam atacantes a trabalhar mais por cada avanço, desacelerando sua velocidade e criando mais oportunidades de detecção.

• Verifique continuamente os usuários, dispositivos e aplicativos. Atacantes exploram com frequência a confiança estática que persiste após um login inicial. Uma vez dentro, utilizam tokens de sessão roubados ou credenciais válidas para se passar por usuários legítimos, muitas vezes contornando completamente os controles de perímetro. Os pontos estáticos na “porta de entrada” já não são suficientes.

  A verificação contínua trata a confiança como dinâmica, com decisões reavaliadas à medida que as condições mudam durante a sessão. A validação, em tempo real, do contexto de identidade, da integridade do dispositivo e do comportamento da aplicação permite que as organizações detectem quando uma sessão legítima é sequestrada ou quando o comportamento do usuário foge do padrão esperado. Como resultado, contas ou dispositivos comprometidos permanecem úteis aos atacantes por apenas um período limitado, reduzindo as oportunidades de expandir acesso ou preparar dados para exfiltração.

• Aplique o privilégio mínimo para restringir o movimento do atacante. O excesso de permissões funciona como um multiplicador de força para os atacantes. Em muitos incidentes de 2025, invasores contornaram controles internos explorando a deriva de identidade, utilizando privilégios acumulados e funções não desativadas que as organizações deixaram de remover. Em vez de depender de exploits complexos, movimentaram-se lateralmente por meio de caminhos de acesso válidos, porém superprovisionados.

  A aplicação do princípio do menor privilégio reduz essa superfície de ataque ao limitar usuários, serviços e aplicações apenas ao acesso necessário para sua função. Isso deve se estender além de usuários humanos, incluindo identidades de máquina e contas de serviço, que frequentemente mantêm permissões amplas e pouco monitoradas. A remoção de direitos desnecessários elimina os caminhos de acesso simples com os quais os atacantes contam, forçando-os a usar técnicas mais visíveis e difíceis que são mais fáceis de serem detectadas pelos defensores.

• Aplique a inspeção consistente no tráfego confiável e não confiável. Aplique a inspeção consistente no tráfego confiável e não confiável. Os atacantes sabem que, embora o perímetro seja protegido, o tráfego interno “leste–oeste” entre cargas de trabalho muitas vezes passa sem inspeção. Eles exploram essa confiança utilizando conexões internas criptografadas para movimentação lateral e preparação de dados sem disparar alertas.

  Para obter uma análise consistente e abrangente das ameaças, as organizações devem consolidar toda a segurança da rede, da nuvem e da borda do serviço de acesso seguro (SASE) em uma única plataforma unificada. Essa malha unificada oferece inspeção consistente da Camada 7 em todos os lugares, aplicando automaticamente a política por meio de um plano de gerenciamento.

  Essa consolidação permite a mudança estratégica para serviços de segurança entregues na nuvem avançados. Essa mudança permite a análise em linha e em tempo real de todo o tráfego, incluindo a descriptografia e a inspeção cruciais do tráfego que se move entre cargas de trabalho internas. Essa capacidade elimina os pontos onde atacantes se escondem, bloqueando proativamente o phishing desconhecido, malware de dia zero e a atividade evasiva de comando e controle (C2).

• Controle o acesso e a movimentação de dados para reduzir o impacto. Os desfechos mais prejudiciais em muitos incidentes não ocorrem no comprometimento inicial, mas durante o acesso subsequente a dados, sua preparação e exfiltração. Os atacantes frequentemente procuram repositórios com controles fracos ou fluxos pouco monitorados para agregar silenciosamente informações sensíveis antes da detecção.

  Uma governança mais robusta sobre como dados são acessados, compartilhados e transferidos reduz essas oportunidades ao limitar para onde informações sensíveis podem se mover e sob quais condições. Quando os caminhos dos dados são rigidamente controlados e monitorados de forma consistente, os atacantes enfrentam menos opções para preparar ou extrair ativos valiosos, reduzindo a escala e a gravidade das possíveis perdas, mesmo quando ocorre um comprometimento.

Ao eliminar sistematicamente a confiança implícita, você tira dos atacantes a mobilidade da qual eles dependem, garantindo que um único ponto de comprometimento leve a um incidente contido em vez de uma crise em toda a empresa.

3. Bloqueie os ataques à identidade com um gerenciamento mais forte de identidade e acesso

A identidade é agora o perímetro de segurança, mas muitas vezes permanece mal protegida. Os pontos fracos de identidade foram um fator determinante em mais da metade das intrusões investigadas em 2025, principalmente porque os armazenamentos de identidade se expandiram mais rapidamente do que os controles destinados a governá-los.

Os atacantes sempre se moviam através das lacunas criadas por esse desvio de governança, explorando permissões herdadas e contas de serviço não monitoradas para contornar as defesas de perímetro. Para impedir isso, as organizações devem gerenciar a identidade não como uma lista estática de credenciais, mas como um ativo operacional dinâmico em todo o ciclo de vida.

• Centralize o gerenciamento de identidade para humanos e máquinas. Não é possível governar aquilo que não se vê. Quando os dados de identidade são fragmentados em diretórios legados, provedores de nuvem e ambientes SaaS, os atacantes aproveitam os pontos fracos resultantes.

  A centralização das identidades de usuários e máquinas em diretórios autorizados simplifica a autenticação e remove caminhos de acesso ocultos que são difíceis de monitorar de forma consistente. Essa consolidação também deve incluir integrações de terceiros e conectores de API para que todas as entidades que solicitam acesso, seja uma pessoa, uma conta de serviço ou um agente de IA, fiquem visíveis para as equipes de segurança. Com um plano de controle unificado em vigor, a IA defensiva pode correlacionar anomalias de login com atividades suspeitas, transformando a identidade em um sinal operacional ativo em vez de uma lista estática de credenciais.

• Combata o desvio de governança com o gerenciamento contínuo do ciclo de vida. O desvio de governança, em que as mudanças operacionais ocorrem mais rapidamente do que os controles criados para orientá-las, continuou contribuindo significativamente para a alavancagem do atacante.

  As transições de função, os ciclos rápidos de implantação e os atalhos cotidianos aumentaram a lacuna entre a política escrita e o acesso real. As permissões mantidas por ferramentas de fluxo de trabalho e conectores de serviço geralmente excediam o que a política pretendia. Isso criou caminhos de escalonamento que os atacantes exploraram por meio de permissões herdadas e contas de serviço não monitoradas. Tratar a identidade como um ciclo de vida, limitando a automação às necessidades atuais e retirando o excesso de acesso ao longo do tempo, ajuda a fechar essas lacunas e restringir o movimento do atacante após o acesso inicial.

• Detecte e responda a ameaças baseadas em identidade. A IA defensiva tem um desempenho mais eficaz em ambientes em que as identidades são gerenciadas como ativos operacionais em vez de credenciais estáticas. Em nossas investigações, as organizações com bases sólidas de identidade mostraram uma ligação anterior entre anomalias de login, atividade de automação e eventos de identidade periféricos, o que contribuiu para uma contenção mais rápida.

  Quando a governança era forte, os pipelines de detecção produziam indicadores mais claros e confiáveis que ajudavam as equipes a identificar o comportamento de escalonamento mais cedo. Por outro lado, a governança fraca criou ruídos que obscureceram esses sinais. As revisões regulares mantêm as permissões alinhadas aos requisitos reais, melhorando a precisão dos sinais de detecção e garantindo que os controles assistidos por IA operem de forma eficaz.

• Proteja a integridade da IA e da automação. À medida que as organizações incorporam agentes de IA e fluxos de trabalho automatizados aos processos principais, esses sistemas se tornam alvos atraentes para manipulação. Em nossas investigações, observamos contas de assistente implantadas com amplo acesso padrão e ferramentas de automação executadas sem validação de integridade.

  Para evitar que essas ferramentas se tornem vetores de ataque, as equipes de segurança devem aplicar aos sistemas de IA o mesmo rigor de governança que aplicam aos usuários humanos. Isso inclui a validação explícita das etapas de automação antes de entrarem em produção, a aplicação de verificações de integridade a fluxos de trabalho habilitados para IA e a garantia de que as contas de assistente sejam protegidas contra uso indevido.

Ao tratar a identidade como um sistema operacional dinâmico, em vez de um diretório estático, você elimina os caminhos ocultos dos quais os atacantes dependem e permite que as equipes de segurança detectem o uso indevido no momento em que ele ocorre.

4. Proteja o ciclo de vida do aplicativo, do código à nuvem

Proteger a empresa moderna requer mais do que apenas proteger a infraestrutura. É necessário proteger a fábrica que a constrói.

Em 2025, os atacantes visaram cada vez mais a cadeia de suprimentos de software e as APIs de nuvem para contornar os perímetros tradicionais, injetando vulnerabilidades no código ou explorando integrações fracas antes mesmo de chegarem à produção. Para combater isso, as organizações devem estender as proteções de segurança desde os primeiros estágios de desenvolvimento até o tempo de execução, tratando os modelos de IA, os pipelines de criação e o código de terceiros com o mesmo rigor dos sistemas internos.

• Evite que problemas de segurança cheguem à produção. A segurança deve operar na velocidade do desenvolvimento. Integrar proteções ao DevOps e aos pipelines de integração contínua e implantação contínua (CI/CD) ajuda a identificar e corrigir vulnerabilidades em códigos personalizados, componentes de código aberto e configurações de IA antes da implantação.

  A mesma abordagem se aplica aos sistemas de IA, em que a avaliação antecipada da segurança e da configuração do modelo reduz o risco downstream. O fortalecimento das ferramentas de desenvolvimento e o controle das dependências de código aberto ajudam a eliminar os pontos fracos que os atacantes exploram para herdar a confiança nos fluxos de trabalho comerciais.

• Proteja a cadeia de suprimentos de software e IA. Embora não seja o vetor de ataque mais comum, os comprometimentos da cadeia de suprimentos geram o maior impacto, especialmente para organizações maduras. As fraquezas nos sistemas de compilação, nos serviços de integração e nos repositórios relacionados à IA permitem que os atacantes alcancem ambientes downstream sem nunca interagir com um firewall.

  Para reduzir essa exposição, são necessárias verificações rigorosas de procedência. Os ambientes de compilação e os pipelines de implantação devem ter controles de identidade e proteções de integridade claros. As bibliotecas de software externas, os conectores de API e os componentes de IA devem ser avaliados quanto aos padrões de acesso e às práticas de atualização antes da adoção. A governança eficaz da cadeia de suprimentos fornece aos processos de detecção uma linha de base confiável, facilitando a identificação quando uma dependência confiável começa a se comportar de forma inesperada.

• Identifique e bloqueie ataques em tempo de execução. Quando os aplicativos estiverem ativos, o foco passa a ser a contenção. Os atacantes frequentemente tentam persistir e expandir o acesso usando indevidamente identidades legítimas na nuvem, APIs ou permissões de carga de trabalho.

  A detecção em tempo real, combinada com controles consistentes de tempo de execução, como monitoramento comportamental, limites claros de rede e limites de interações inesperadas de API, ajuda a interromper essas táticas. As mesmas proteções devem se estender aos ambientes de hospedagem de IA, onde o monitoramento de desvios de modelos e acesso não autorizado a dados limita o movimento do atacante mesmo após o comprometimento inicial.

• Automatize a detecção e a resposta à nuvem. Na nuvem, a velocidade é a única métrica que importa. Os atrasos no isolamento das cargas de trabalho afetadas ou na revogação de identidades mal utilizadas dão aos atacantes o espaço necessário para aumentar a escala.

  A automação permite que as equipes de SecOps detectem e respondam a ameaças baseadas na nuvem continuamente, usando controles nativos da nuvem para conter incidentes rapidamente. Ações como o isolamento de contêineres comprometidos ou a revogação de tokens de sessão suspeitos ajudam a evitar que problemas localizados se transformem em interrupções mais amplas ou perda de dados.

• Crie uma cultura de IA e desenvolvimento seguros. A IA agora é um ativo operacional, não apenas uma ferramenta. À medida que os assistentes e as solicitações automatizadas são incorporados aos fluxos de trabalho diários, eles introduzem riscos comportamentais que os controles técnicos, por si só, não conseguem resolver.

  Uma forte cultura de segurança trata os sistemas de IA com a mesma disciplina que a infraestrutura crítica. Isso inclui a revisão de como os assistentes são usados, evitando a exposição de dados confidenciais em prompts e validando o código gerado pela IA. Quando as equipes entendem que o julgamento humano continua sendo fundamental para o uso eficaz da IA, os controles de governança são reforçados em vez de contornados, garantindo que o impulso para a automação não supere a capacidade de supervisioná-la.

Ao incorporar a segurança na estrutura de seus ambientes de desenvolvimento e tempo de execução, você ajuda a garantir que a velocidade da IA e da inovação na nuvem impulsione o crescimento dos negócios, em vez de riscos sistêmicos.

5. Proteja a superfície de ataque e a interface humana

Proteger a organização agora requer um olhar além do laptop corporativo. A superfície de ataque moderna se expandiu para incluir dispositivos contratados não gerenciados, ativos de nuvem voltados para o público e o próprio navegador da Web, que se tornou o principal espaço de trabalho da empresa.

Como defensores, enfrentamos um desafio duplo. Devemos gerenciar rigorosamente as exposições externas que os atacantes procuram constantemente e, ao mesmo tempo, proteger a interface humana em que os usuários interagem com os dados, a IA e a Web aberta. Para proteger esse ambiente em expansão, a segurança deve estender seu alcance desde a borda externa até a sessão do navegador.

• Reduza a superfície de ataque com o gerenciamento ativo da exposição. A Unit 42 descobriu que as vulnerabilidades de software foram responsáveis por 22% do acesso inicial a incidentes neste ano, o que ressalta a necessidade urgente de ir além da simples descoberta e passar a priorizar ativamente os riscos. O gerenciamento eficaz da exposição preenche essa lacuna ao criar um inventário completo e contínuo da pegada digital, incluindo a infraestrutura oculta e as ferramentas de IA não autorizadas que as varreduras tradicionais deixam passar.

  Fundamentalmente, essa estratégia deve filtrar o ruído, usando inteligência de ameaças para priorizar apenas os ativos que estão sendo ativamente visados (como KEVs do CISA) e que carecem de controles compensatórios. Ao concentrar recursos limitados em riscos exploráveis e críticos para os negócios, as equipes podem fechar a janela de oportunidade antes que um atacante encontre uma porta aberta.

• Proteja a interface humana. O navegador é o novo endpoint e o novo desktop corporativo. É nesse local que os funcionários acessam os dados, onde os contratados realizam seu trabalho e, infelizmente, onde os ataques de engenharia social, como o phishing, são mais eficazes.

  A proteção dessa interface requer um navegador seguro de nível empresarial que estabeleça um espaço de trabalho corporativo totalmente isolado e protegido para dispositivos gerenciados e não gerenciados. Essa camada avançada impõe controles de dados em tempo real, independentemente do hardware subjacente. Ela pode desativar a função de copiar e colar em páginas confidenciais, impedir downloads de arquivos de fontes desconhecidas e identificar sites avançados de phishing que escapam aos filtros de e-mail padrão. Ao fortalecer o navegador, as organizações obtêm visibilidade granular do uso da IA sombra e evitam diretamente que dados corporativos confidenciais vazem para ferramentas GenAI não autorizadas.

• Proteja o acesso não gerenciado e de terceiros. O modelo rígido de envio de laptops corporativos para cada contratante ou alvo de aquisição não é mais sustentável nem seguro. As organizações precisam de uma maneira de impor o acesso de confiança zero em dispositivos não gerenciados sem o custo e a complexidade das soluções legadas de infraestrutura de desktop virtual (VDI).

  Ao proteger o espaço de trabalho por meio do navegador, as empresas podem conceder aos contratados e aos usuários de BYOD acesso seguro aos aplicativos corporativos e, ao mesmo tempo, manter os dados comerciais estritamente isolados dos ambientes pessoais. Essa abordagem acelera a integração de fusões e aquisições e a integração de contratados, ao mesmo tempo em que garante que um dispositivo pessoal comprometido não possa ser usado como um trampolim para a rede corporativa.

• Colete telemetria unificada e automatize a resposta. Para os endpoints que você gerencia, os dados são o combustível para a defesa. A detecção de ataques sofisticados depende da coleta de telemetria de alta fidelidade em processos, conexões de rede e comportamento de identidade e, em seguida, da unificação desses dados em uma plataforma central.

  Quando esses dados são analisados por mecanismos orientados por IA, as anomalias que seriam invisíveis isoladamente se tornam indicadores de comprometimento claros. No entanto, a detecção é apenas metade da batalha.

  Para minimizar os danos, os mecanismos de resposta devem ser automatizados. As equipes de segurança devem ser capacitadas para isolar endpoints comprometidos, iniciar varreduras forenses e corrigir ameaças na velocidade da máquina, garantindo que uma infecção localizada não se torne uma violação sistêmica.

Ao proteger o navegador como o espaço de trabalho principal e gerenciar rigorosamente a superfície de ataque externa, você protege os usuários e os ativos que os controles tradicionais de endpoint não conseguem mais alcançar.