Nas últimas semanas, o mercado brasileiro foi inundado por manchetes de incidentes cibernéticos: ataques a plataformas de concursos como a FGV, invasões a sistemas de hotéis de luxo onde hackers cobraram apenas 1 centavo para expor a falha, dados vazados de shoppings em Curitiba e interrupções em grandes eventos esportivos.
O que todas essas notícias têm em comum?
Em quase todos os casos, havia um firewall funcionando.
O problema é que o atacante não tentou derrubar a porta. Ele simplesmente entrou com a chave de alguém que já estava lá dentro.
E quando isso acontece, o firewall não falhou. A arquitetura falhou. E essa distinção custa caro, tanto financeiramente quanto na cadeira de quem assinou o relatório de aprovação do orçamento.
🏰 A História que a Indústria Ainda Conta (Mas Não Deveria)
Durante décadas, a cibersegurança operou sob o modelo Castelo e Fosso, e ele funcionou, porque o mundo corporativo era previsível: um escritório, servidores físicos na sala ao lado, colaboradores dentro da rede.
O cenário de 2026 não tem nada disso.
O trabalho remoto normalizou o acesso fora do perímetro. A fragmentação em multi-cloud tornou o dado ubíquo e difícil de rastrear. A explosão de APIs criou superfícies de ataque que sequer existiam no modelo anterior. O resultado prático: o perímetro está em todo lugar e em lugar nenhum ao mesmo tempo.
O firewall pode estar operando perfeitamente. O SIEM pode estar gerando alertas. O EDR pode estar ativo em todos os endpoints.
E ainda assim, o negócio para, porque o hacker utilizou credenciais legítimas para navegar livremente pela infraestrutura, sem disparar um único alerta.
O trabalho remoto, a fragmentação em multi-cloud e a explosão de APIs fizeram o perímetro estar em todo lugar e em lugar nenhum ao mesmo tempo. O firewall pode até estar operando perfeitamente, mas o negócio para quando o hacker utiliza credenciais legítimas para navegar livremente pela sua infraestrutura.
🔩 As 6 Premissas Quebradas da Cibersegurança Tradicional
A transformação digital não apenas modernizou os negócios. Ela destruiu os pilares que sustentavam o modelo de cibersegurança binário de “dentro versus fora”. Cada uma dessas premissas, que já foram verdades operacionais, hoje representa um ponto cego:
● 1. Escritório Único como Perímetro Físico: Cerca de 43% da força de trabalho atual opera remotamente ou em modelo híbrido. O colaborador que acessa dados sensíveis hoje pode estar em uma rede doméstica, em um aeroporto ou em um coworking em outro país. O endpoint saiu do seu controle físico há anos.
● 2. Datacenter como Centro de Gravidade dos Dados: Com 70% dos dados corporativos em ambientes de nuvem, o conceito de controle físico centralizado deixou de existir. O dado que precisa ser protegido não está mais atrás de uma porta com crachá de acesso. Ele está distribuído entre provedores, regiões e contratos de SLA.
● 3. Sistemas On-premises como Padrão: A migração massiva para SaaS e PaaS significa que o software crítico do negócio não reside mais na sua rede. O ERP, o CRM, a plataforma de RH, o sistema de pagamentos: todos operam em infraestrutura de terceiros, com políticas de acesso que você não controla integralmente.
● 4. Perímetro como Conceito Estável: APIs, dispositivos IoT e a proliferação de endpoints móveis criaram milhões de pontos de entrada que simplesmente ignoram o firewall tradicional. Cada integração nova é uma superfície potencial de ataque. Cada API sem autenticação robusta é uma porta sem chave.
● 5. Confiança Interna como Default: 68% dos breaches envolvem o fator humano, seja por erro, negligência ou comprometimento de credencial, segundo o Verizon DBIR 2024. Passar pelo portão, seja ele físico ou digital, não garante mais idoneidade. A confiança implícita baseada em localização de rede é um risco que os adversários exploram sistematicamente.
● 6. VPN como Camada de Cibersegurança: Túneis criptografados resolvem o problema de confidencialidade do tráfego. Mas após o comprometimento de uma credencial, a VPN se torna um corredor aberto para movimento lateral dentro da rede. O atacante entra criptografado, navega legitimamente e exfiltra com calma.
⚖️ O Paradoxo que Ninguém Quer Nomear
Vivemos uma contradição estrutural no setor.
Nunca investimos tanto em ferramentas de cibersegurança. O mercado global de soluções cresce consistentemente acima de dois dígitos ao ano. As equipes de SOC têm mais dashboards, mais alertas, mais integrações do que jamais tiveram.
E ainda assim, o custo médio de um breach atingiu US$ 4,88 milhões em 2024, segundo o relatório IBM Cost of a Data Breach. O ransomware cresceu 37% no mesmo período em que o EDR se tornou commodity de mercado, de acordo com o Verizon DBIR 2025.
O que está acontecendo?
Ficamos excepcionalmente bons em gerar telemetria e progressivamente piores em prevenção inline. O setor cometeu em escala global o mesmo erro histórico que diferencia IDS de IPS: detecção sem bloqueio automático reduz a eficácia da resposta de forma significativa.
Ter um sistema que avisa que o ataque entrou não é cibersegurança. É documentação de incidente.
Precisamos atualizar nossas arquiteturas de EDR/XDR para XDPR.
🪪 IFS Como o Novo Centro da Decisão: Identidade
Se o perímetro morreu como conceito operacional, a Identidade é o novo endereço do ataque.
E aqui está o dado que mais impressiona executivos quando apresentado de forma clara: para cada colaborador humano na sua empresa, existem hoje em média 144 identidades não-humanas em operação. APIs com tokens de acesso. Bots de automação. Pipelines de CI/CD. Conectores de integração entre plataformas.
Fonte: Entro Security, 2025 State of Non-Human Identities and Secrets in Cybersecurity.
Cada uma dessas identidades é um vetor potencial. E a maioria delas não tem governança, rotação de credencial ou monitoramento de comportamento.
Uma estratégia de Identity-First Security estruturada em verificação contínua, menor privilégio e visibilidade de identidades não-humanas não é uma tendência emergente. É o requisito mínimo para operar com responsabilidade no ambiente de 2026.
Se a sua arquitetura ainda trata identidade como um módulo do IAM e não como o centro da estratégia defensiva, você está com baixa visibilidade no vetor número um de ataque atual.
🔬 Security Chaos Engineering e HNDL: Testar o Colapso Antes que Ele Aconteça
Como saber se sua arquitetura funciona? Através do Security Chaos Engineering (SCE). Injetamos falhas para medir métricas reais, como o MTTD (Tempo Médio de Detecção) abaixo de 5 minutos, em vez de confiar em relatórios estáticos.
Você usa o conceito Blast Radius em sua estratégia de defesa cibernética para o IFS?
Além disso, enfrentamos o fenômeno Harvest Now, Decrypt Later (HNDL), onde dados roubados hoje são armazenados para serem quebrados por computadores quânticos em 2030. Se o tempo de vida dos seus dados somado ao tempo de migração for maior que a linha do tempo da ameaça (Teorema de Mosca), sua estratégia pode já estar defasada.
Uma das Perguntas Incômodas:
Sua estratégia é baseada na expectativa de que o firewall segure o ataque ou na certeza de que sua arquitetura de identidade e resiliência foi testada sob o caos?
Decidir é mais importante do que detectar, pois quem não decide a estratégia, decide a crise.
Se esse conteúdo foi relevante para você, compartilhe com um colega que está preparando a próxima apresentação para a Diretoria. A conversa sobre linguagem executiva em cibersegurança precisa acontecer com mais frequência no mercado brasileiro.
Aprofunde estes conceitos no meu webinar Sala Secreta 2026 – Arquitetura Defensiva Para Quem Decide.
Garanta sua vaga: adrianocyber.com.br/webinar-2026/
Até a próxima edição do Radar Cyber.
Adriano Oliveira
Head de Cybersecurity | CISO/CCYO
