- Ataques a redes corporativas estão mais frequentes; criminosos usam IA, mas humanos continuam sendo o elo mais fraco.
- Invasões costumam se dividir entre grupos que buscam ganho financeiro e grupos de espionagem que buscam persistência a longo prazo; o tempo médio de detecção é de 14 dias, com dwell time de até 122 dias em espionagem.
- As intrusões vêm principalmente de exploits, seguidas por engenharia social baseada em voz para contornar MFA; a IA é usada em reconhecimento e desenvolvimento de malware.
- Ransomware passou a visar a infraestrutura de virtualização e backups para inviabilizar recuperação.
- Defesas sugeridas: tratar plataformas de virtualização como ativos Tier-0; usar armazenamento imutável; desvincular backups do Active Directory e ampliar retenção de logs; auditar integrações de SaaS e centralizar autenticação via IdP; adotar detecção por comportamento e verificação contínua de identidade.
Um estudo da Mandiant, empresa de cibersegurança ligada ao Google Cloud, aponta que ataques a redes corporativas ficaram mais frequentes em 2025 e continuam evoluindo com uso de IA. Mesmo com automação, o fator humano segue como ponto fraco central, exigindo mudanças estruturais nas defesas.
Segundo o levantamento, atacantes adotam modelo de “divisão de trabalho” semelhante ao de redes corporativas, com uma primeira etapa de acesso por meio de anúncios maliciosos ou atualizações falsas, seguido por uma fase de acesso prático por equipes especializadas. O tempo de passagem entre as fases caiu de oito horas em 2022 para cerca de 22 segundos em 2025.
A pesquisa divide os invasores entre criminosos, que visam ganho financeiro com ransomware, e grupos de espionagem que buscam persistência de longo prazo. O tempo médio entre intrusão e detecção fica em 14 dias, mas incidentes de espionagem podem durar muito mais, com uma mediana de 122 dias.
Onde ocorrem as intrusões
Dados da Mandiant apontam mais de 16 setores-alvo, com setor de tecnologia representando 17% e financeiro 14,6% das ocorrências. Exploração de vulnerabilidades é a principal via de ataque, seguida por técnicas de engenharia social por meio de canais de suporte técnico para driblar MFA e acessar ambientes SaaS.
A IA aparece como ferramenta de reconhecimento, engenharia social e desenvolvimento de malware, embora ainda tenha papel secundário. Relatórios indicam uso de comandos para localizar arquivos de configuração e tokens em plataformas públicas, como GitHub e NPM.
Como se defender
Especialistas enfatizam a necessidade de mudanças na infraestrutura de TI. Entre as recomendações destacam-se tratar plataformas de virtualização como ativos de alto nível, isolar ambientes de backup de diretórios corporativos, adotar armazenamento imutável e ampliar detecção de ameaças com retenção de logs além de 90 dias.
Outra orientação envolve auditorias regulares de integrações SaaS e redirecionar aplicações SaaS por meio de um provedor de identidade central. Modelos de detecção baseados em comportamento também são sugeridos para identificar desvios de padrões.
O conceito de identidade
Ao concluir, o estudo aponta que identidade é o novo perímetro. Simples troca de senhas e MFA não basta mais; reforçar controles de identidade e verificação contínua se torna essencial, especialmente em relação a fornecedores terceirizados.
Entre na conversa da comunidade