O muro caiu: você está pronto para os primeiros 10 minutos de uma invasão?
Existe uma pergunta que nem sempre aparece nas reuniões de board, mas deveria: se a organização fosse atacada agora, em quanto tempo a equipe perceberia?A diferença entre essas duas formas de olhar o problema revela o limite do modelo de segurança baseado apenas em prevenção. Em 2026, insistir em construir muros cada vez mais altos, enquanto os atacantes já aprendem a entrar com credenciais legítimas, é uma estratégia frágil. É nesse contexto que o Assume Breach ganha espaço: não como admissão de derrota, mas como uma postura operacional que parte de uma premissa realista: a de que a invasão pode já ter acontecido. O modelo de perímetro já não sustenta a realidade das ameaças Durante décadas, a lógica dominante em cibersegurança foi construída em torno de uma analogia simples: a empresa como fortaleza, o firewall como muro, e tudo dentro desse muro, como confiável. Esse modelo funcionou razoavelmente bem quando os perímetros eram fixos, os dispositivos eram corporativos e os usuários trabalhavam no escritório. Hoje, esse perímetro desapareceu. A combinação de ambientes híbridos, identidades distribuídas, SaaS corporativo e acesso remoto dissolveu qualquer fronteira clara entre o que é interno e o que é externo. E o atacante moderno sabe disso. De acordo com dados do relatório da Mandiant, o tempo médio de handoff (intervalo entre o acesso inicial e a escalada de privilégios) caiu para apenas 22 segundos em incidentes monitorados. Isso significa que, no momento em que uma credencial é comprometida, o atacante já está se movendo lateralmente antes que qualquer alerta seja acionado nos modelos tradicionais. O IBM Cost of a Data Breach Report 2025 reforça a dimensão do problema: o tempo médio para identificar uma violação é de 181 dias, com outros 60 dias para contê-la, totalizando 241 dias de exposição. Durante esse período, o invasor está dentro do ambiente, explorando sistemas, escalando privilégios e se preparando para exfiltrar dados ou implantar ransomware. Cada dia adicional de dwell time custa, em média, mais de US$18 mil às organizações afetadas, segundo a mesma pesquisa. É um cenário que expõe uma verdade estrutural: o problema não é apenas a entrada do atacante, mas o tempo que ele tem para agir depois disso. O que significa adotar o Assume Breach Assume Breach não é um produto nem um framework com selos e auditorias. É uma mentalidade operacional que reorganiza prioridades e muda o que a equipe de segurança considera como sucesso. Na prática, significa aceitar que em algum momento uma credencial será roubada, um endpoint será comprometido ou uma vulnerabilidade será explorada antes de ser corrigida. A partir dessa premissa, o foco deixa de ser exclusivamente impedir a entrada e passa a ser detectar a presença do invasor o mais cedo possível, limitar sua capacidade de movimentação e conter o dano antes que ele se torne irreversível. Isso implica uma mudança nas métricas que importam. O board deixa de perguntar apenas ‘quantos ataques foram bloqueados?’ e passa a acompanhar indicadores como o Mean Time to Detect (MTTD) e o Mean Time to Contain (MTTC). Segundo o IBM Cost of a Data Breach Report 2025, organizações que detectam violações em menos de 200 dias economizam em média US$1,14 milhão por incidente em comparação com aquelas que ultrapassam esse prazo. O Assume Breach também parte de uma constatação sobre o vetor de ataque predominante. Conforme mapeado pelo Verizon Data Breach Investigations Report 2025, credenciais comprometidas continuam sendo um dos principais pontos de entrada em incidentes confirmados. O atacante, nesses casos, não precisa forçar a entrada: ele acessa o ambiente com uma identidade válida e opera com os mesmos privilégios do usuário legítimo. Diante disso, a postura de Assume Breach reorienta três pilares operacionais: a detecção comportamental, que identifica anomalias mesmo em acessos aparentemente legítimos; o controle de identidade e privilégios, que limita o quanto um atacante pode avançar mesmo após comprometer uma conta; e a resposta orquestrada, que reduz o tempo entre a detecção e a contenção. Detecção comportamental: ver o que as assinaturas não veem Uma das principais razões pelas quais os invasores permanecem ocultos por tanto tempo é que eles não agem como malwares convencionais. Segundo dados da CrowdStrike referentes ao panorama de ameaças de 2025, 79% dos ataques detectados eram malware-free, conduzidos com ferramentas legítimas do próprio sistema operacional, sem arquivos maliciosos que ativassem assinaturas tradicionais. Nesse cenário, a detecção por assinatura perde efetividade. O que passa a importar é a análise de comportamento: um processo que raramente acessa a rede inicia conexões externas; uma conta administrativa acessa sistemas críticos fora do horário habitual; um usuário autentica simultaneamente a partir de locais geograficamente distantes. Esse tipo de análise exige visibilidade contínua e profunda dos endpoints, correlação de eventos em tempo real e capacidade de agir sobre alertas antes que o atacante conclua sua movimentação. É exatamente esse o papel do CrowdStrike Falcon Complete dentro da estratégia do Cyber Fusion Center (CFC) da Asper. A plataforma monitora comportamentos anômalos em endpoints, identifica técnicas mapeadas no framework MITRE ATT&CK e permite que a equipe isole um dispositivo comprometido em menos de 10 minutos, com remediação remota concluída em menos de 60 minutos, sem necessidade de reimagem e com impacto mínimo na operação. Threat Hunting: caçando o que os algoritmos ainda não viram Detecção automatizada é necessária, mas não suficiente. Ameaças avançadas, como grupos de espionagem ou operadores de ransomware sofisticados, frequentemente operam abaixo do limiar de detecção das ferramentas automatizadas, usando técnicas de living-off-the-land que se misturam ao tráfego legítimo da rede. O Threat Hunting proativo existe para encontrar exatamente esses sinais fracos. Não é esperar o alerta aparecer; é partir de hipóteses sobre táticas conhecidas de atacantes, investigar rastros sutis no ambiente e identificar presença maliciosa antes que ela se manifeste como incidente. O Cyber Fusion Center da Asper opera com equipes dedicadas de Threat Hunting que trabalham de forma complementar às ferramentas automatizadas. Enquanto o Falcon Complete monitora e responde a comportamentos identificados, os analistas do CFC caçam ativamente indicadores de comprometimento que ainda não geraram alertas, correlacionando
