O incidente da F5 Networks em 2025 virou um espelho incômodo para o setor. Não foi apenas mais uma falha técnica, mas o retrato de uma fragilidade estrutural que afeta praticamente todas as organizações no mundo digital.
Uma empresa especializada em segurança, responsável por infraestrutura crítica usada por agências governamentais e Fortune 500, teve seu código-fonte e informações sobre vulnerabilidades não divulgadas roubadas por um agente de ameaça patrocinado por um Estado-nação.
O problema não foi a ausência de controles ou ferramentas, mas a limitação na correlação entre ativos, acessos e exposições reais, como tudo estava integrado e quem tinha acesso ao quê. E como sempre, o invasor enxergava melhor do que a própria vítima o terreno onde operava.
Este cenário revela uma verdade que incomoda: empresas aceleraram a transformação digital, conectaram softwares, APIs, nuvem e terceiros, mas perderam o controle do que realmente está exposto, especialmente no que diz respeito a identidades, credenciais, APIs e integrações sem owner definido.
O resultado é uma sensação de segurança “por acúmulo”: mais agentes, mais dashboards, mais ferramentas, enquanto o risco cresce invisível em pontos que ninguém consegue enxergar: sistemas esquecidos, APIs sem autenticação adequada, credenciais expostas em repositórios públicos, integrações que ninguém mais monitora.
Um acontecimento que revela a incapacidade das empresas de ver riscos que estão à sua frente, mesmo que estejam operando há meses ou anos.
O perímetro “morreu”: agora existe apenas exposição contínua
Perímetro tradicional deixou de ser suficiente como principal mecanismo de controle, dando lugar a um modelo de exposição contínua.
Durante décadas, a segurança funcionava dentro de uma lógica de perímetro. Havia um “dentro” (controlado, seguro, onde você confiava nas pessoas e nos sistemas) e um “fora” (hostil, repleto de ameaças). Firewalls, VPNs e uma clara separação entre o corporativo e o externo sustentavam essa ilusão. Mas essa realidade desabou.
Hoje, a empresa moderna não tem perímetro , mas uma superfície de ataque que cresce exponencialmente: usuários acessam aplicações de qualquer lugar, nuvem híbrida com múltiplos provedores, APIs que conectam sistemas internos a parceiros, containers que nascem e morrem em minutos, IoT invisível aos radares, e uma cadeia de terceiros tão complexa que ninguém tem certeza do que está aonde.
Nesse novo mundo, perímetro não faz sentido. O que existe agora é exposição contínua. E quem não consegue mapear e priorizar o que está aberto acaba operando segurança “à mercê da sorte”.
De acordo com pesquisadores da Gartner e especialistas em Continuous Threat Exposure Management (CTEM), até 2026, as organizações que priorizarem seus investimentos em segurança com base em um programa de gerenciamento de exposição contínua terão três vezes menos probabilidade de sofrer uma violação.
Isso não é uma métrica teórica, e sim uma consequência prática de alguém finalmente enxergar os riscos antes que o atacante os explore.
As camadas invisíveis da exposição
A exposição não é homogênea, ela caminha em camadas, cada uma com sua própria invisibilidade:
– Ativos não descobertos: A maioria das organizações não tem um inventário preciso do que possuem. APIs documentadas convivem com APIs “fantasma” que cresceram organicamente. Instâncias em nuvem são criadas por times descentralizados e ninguém tira do ar. Servidores legados continuam rodando porque ninguém quer mexer no que “está funcionando”. A OWASP (Open Web Application Security Project) identificou que muitas organizações, ao fazerem mapeamento de superfície de ataque, descobrem que possuem 50% a 300% mais APIs do que acreditavam ter. Essas APIs ocultas frequentemente não têm autenticação adequada, estão mal configuradas ou simplesmente foram esquecidas.
Infraestruturas definidas como código (Terraform, CloudFormation, ARM) podem propagar exposições em escala quando erros de configuração são versionados e reutilizados. A visibilidade precisa incluir análise contínua de IaC para evitar que a exposição seja criada por design
– Vulnerabilidades sem contexto de risco: Ferramentas tradicionais de gestão de vulnerabilidades rastreiam milhares de CVEs, mas sem contexto de explorabilidade e impacto ao negócio. Mas qual é a prioridade real? Qual vulnerabilidade importa para o seu negócio? Qual é facilmente explorável? Qual requer acesso privilegiado que você já controlou? Contexto envolve criticidade do ativo, exposição real, identidade associada e existência de exploração ativa.
Resultado: equipes de segurança afogadas em alertas que não conseguem processar, enquanto o risco real permanece em algum lugar da pilha.
– Acessos que ninguém monitora: Credenciais privilegiadas, contas de serviço, APIs com tokens hardcoded, segredos armazenados em repositórios públicos do GitHub, a quantidade de “chaves digitais” flutuando por aí é assustadora. Pesquisadores de segurança encontram regularmente credenciais de acesso expostas em plataformas públicas, e o tempo médio entre exposição e exploração é medido em horas, não dias.
– Integrações de terceiros não governadas: Você conectou seu ERP à nuvem do fornecedor? Integrou um SaaS ao seu B.I? Deixou uma ferramenta RPA acessar seus bancos de dados? Cada integração é um ponto de confiança e, portanto, um ponto de risco. E quantas dessas conexões continuam ativas mesmo depois que o projeto terminou? Segundo estudos da Keeper Security e especialistas em IAM (Identity and Access Management), muitas organizações descobrem acessos de terceiros que permaneceram ativos por anos após o término do contrato.
– Movimentação lateral invisível: Mesmo que um invasor não consiga romper o perímetro “externo”, ele pode entrar por qualquer uma dessas brechas. Uma credencial roubada aqui, um acesso excessivo ali, uma confiança entre sistemas não validada mais adiante e, de repente ele está movimentando-se lateralmente pela sua infraestrutura, chegando aos dados mais sensíveis.
A maturidade do gerenciamento de exposição não está em identificar falhas isoladas, mas em compreender caminhos completos de ataque (attack paths): como uma exposição externa, combinada a uma identidade comprometida e permissões excessivas, pode levar a ativos críticos. Essa visão reduz drasticamente falsos positivos e orienta correções com impacto real.
O caso F5: quando a infraestrutura crítica não consegue se proteger
Em outubro de 2025, a F5 Networks divulgou um incidente que capturou toda essa complexidade. Um agente de ameaça patrocinado por um Estado-nação obteve acesso persistente aos ambientes internos da F5 desde agosto. O invasor baixou código-fonte e informações sobre vulnerabilidades não divulgadas do produto BIG-IP, uma solução usada por agências federais americanas e globalmente por empresas críticas.
O que torna esse incidente tão revelador não é a sofisticação do ataque, mas a clareza com que expõe o problema de visibilidade. A complexidade do ambiente dificultou a identificação rápida e precisa do escopo real dos acessos e da exposição. Levou semanas para investigação completa apenas para confirmar o escopo da exposição. E mesmo sendo uma empresa de segurança, com recursos que a maioria não possui, ela ficou vulnerável a um ponto cego.
De acordo com a CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA), o risco dessa vulnerabilidade “se estende a todas as organizações e setores que utilizam este produto”, porque uma vez que o código-fonte e as vulnerabilidades são expostos, o tempo até a exploração em massa é questão de dias.
A resposta da F5 ilustra bem a mudança de paradigma: parcerias com CrowdStrike para EDR e threat hunting, implementação de automação de inventário, fortalecimento de controle de acesso, e revisões contínuas de segurança. Ou seja, a F5 percebeu que detectar incidentes é necessário, mas insuficiente, era preciso enxergar continuamente o que estava exposto.
Gerenciamento de exposição: do ruído técnico à clareza operacional
É aqui que entra o Gerenciamento de Exposição Cibernética, a nova categoria que redefine como as empresas pensam sobre segurança. Não se trata apenas de “mais uma ferramenta”, é uma mudança de mentalidade: de “temos um SOC e alguns agentes de segurança” para “sabemos precisamente o que está exposto e estamos constantemente priorizando o que importa”.
Um programa de Gerenciamento de Exposição funciona em cinco estágios contínuos, conforme definido pelo Gartner e especialistas em CTEM:
1- Escopo: Definir o que precisa ser protegido. Isso envolve mapeamento de ativos internos e externos, identificação de dados críticos, e alinhamento com objetivos de negócio. Muitas empresas falham nessa etapa porque tratam “escopo” como projeto único, quando na verdade é contínuo: novos ativos surgem todo dia.
2. Descoberta: Identificação detalhada de vulnerabilidades, configurações incorretas, integrações expostas e comportamentos anômalos. Isso inclui varreduras de vulnerabilidade, análise de superfície de ataque externa, mapeamento de credenciais expostas, revisão de APIs e avaliação de acesso baseado em risco.
Em ambientes modernos, parte significativa da exposição nasce no ciclo de desenvolvimento. APIs, permissões excessivas e segredos expostos em pipelines CI/CD exigem integração direta entre CTEM, DevSecOps e controles de segurança como SAST, DAST, análise de IaC e gestão de segredos.
3. Priorização: Nem todo risco é igual. A verdadeira priorização une dados técnicos com contexto de negócio: qual vulnerabilidade afeta um ativo crítico? Qual é facilmente explorável? Qual pode impactar a conformidade regulatória? Essa é a diferença entre “1.000 vulnerabilidades” (assustador, paralisante) e “15 vulnerabilidades que importam” (acionável).
4. Validação: Testes contínuos para confirmar que as medidas de resposta funcionam. Isso inclui simulação de ataques, testes de penetração, e verificação de que as defesas realmente protegem contra as rotas que o invasor usaria.
5. Mobilização: Ação coordenada. Correções são aplicadas, acessos excessivos são revogados, integrações expostas são isoladas. E tudo é documentado, não para relatório anual, mas para alimentar o próximo ciclo contínuo.
A visibilidade como fator competitivo
Visibilidade, por si só, não protege ninguém. Quando não há contexto, ela apenas gera ruído: alertas demais, prioridades de menos e decisões tomadas no escuro. O que diferencia empresas maduras em segurança não é a quantidade de dados que coletam, mas a capacidade de entender onde estão expostas, por que essas exposições existem e qual impacto real elas representam para o negócio.
É essa clareza que separa organizações que “possuem segurança” daquelas que operam segurança. Em vez de acumular ferramentas isoladas, elas trabalham com correlação, inteligência e ação coordenada para transformar sinais dispersos em prioridades gerenciáveis.
A Asper materializa essa abordagem por meio do seu Cyber Fusion Center (CFC), um time especializado para reduzir exposição de forma contínua e acionável. O CFC integra monitoramento da superfície de ataque e priorização de vulnerabilidades com contexto de risco, detecção comportamental e resposta a ameaças, proteção de APIs e, principalmente, governança e controle de identidades e privilégios.
Em paralelo, SailPoint atua no eixo de governança, reduzindo acessos desnecessários e revisando continuamente privilégios que sustentam exposições invisíveis, enquanto CyberArk reforça o controle de acessos privilegiados e segredos, um ponto crítico onde muitos “pontos cegos” se transformam em crises quando uma credencial é abusada.
O resultado é um modelo operacional integrado, capaz de reduzir exposição de forma prática e orientada a risco, e não apenas aumentando volume de alertas.
Do invisível para a ação: o que fazer agora
Conquistar clareza sobre sua exposição não é um projeto de 12 meses e bilhões de reais. É disciplina contínua, começando hoje:
Imprevisibilidade é poder
A cibersegurança é sobre não ser pego de surpresa, uma mudança da mentalidade que substitui o velho impedir ataques. Quem conhece sua exposição não é invencível, mas é imprevisível para o inimigo. E no mundo digital, a imprevisibilidade é poder.
O caso F5 não precisa ser o caso da sua empresa e o incidente não precisa ser divulgado em uma coletiva de imprensa. A exposição não precisa se transformar em compromisso, mas para isso, é preciso sair da miopia digital: parar de acumular ferramentas e começar a operar visibilidade.
Na Asper, nosso compromisso é justamente oferecer essa transformação: de empresas vulneráveis e expostas em organizações seguras, maduras e preparadas para enfrentar ameaças com confiança. Transformamos a cibersegurança de um mal necessário em um diferencial estratégico, trazendo clareza para os ambientes que sustentam seu negócio.
Quem consegue mapear, priorizar e agir sobre sua exposição não apenas reduz risco, mas constrói resiliência, permitindo crescer sem medo em um mundo cada vez mais conectado.
Quer saber se sua empresa está enxergando realmente sua exposição? Fale com nosso time técnico. Uma simples conversa pode ser o primeiro passo para sair da miopia digital e blindar o que sustenta seu negócio com visibilidade real e ação contínua.
