Existe uma pergunta que nem sempre aparece nas reuniões de board, mas deveria: se a organização fosse atacada agora, em quanto tempo a equipe perceberia?A diferença entre essas duas formas de olhar o problema revela o limite do modelo de segurança baseado apenas em prevenção. Em 2026, insistir em construir muros cada vez mais altos, enquanto os atacantes já aprendem a entrar com credenciais legítimas, é uma estratégia frágil.
É nesse contexto que o Assume Breach ganha espaço: não como admissão de derrota, mas como uma postura operacional que parte de uma premissa realista: a de que a invasão pode já ter acontecido.
O modelo de perímetro já não sustenta a realidade das ameaças
Durante décadas, a lógica dominante em cibersegurança foi construída em torno de uma analogia simples: a empresa como fortaleza, o firewall como muro, e tudo dentro desse muro, como confiável. Esse modelo funcionou razoavelmente bem quando os perímetros eram fixos, os dispositivos eram corporativos e os usuários trabalhavam no escritório.
Hoje, esse perímetro desapareceu. A combinação de ambientes híbridos, identidades distribuídas, SaaS corporativo e acesso remoto dissolveu qualquer fronteira clara entre o que é interno e o que é externo. E o atacante moderno sabe disso.
De acordo com dados do relatório da Mandiant, o tempo médio de handoff (intervalo entre o acesso inicial e a escalada de privilégios) caiu para apenas 22 segundos em incidentes monitorados. Isso significa que, no momento em que uma credencial é comprometida, o atacante já está se movendo lateralmente antes que qualquer alerta seja acionado nos modelos tradicionais.
O IBM Cost of a Data Breach Report 2025 reforça a dimensão do problema: o tempo médio para identificar uma violação é de 181 dias, com outros 60 dias para contê-la, totalizando 241 dias de exposição. Durante esse período, o invasor está dentro do ambiente, explorando sistemas, escalando privilégios e se preparando para exfiltrar dados ou implantar ransomware. Cada dia adicional de dwell time custa, em média, mais de US$18 mil às organizações afetadas, segundo a mesma pesquisa.
É um cenário que expõe uma verdade estrutural: o problema não é apenas a entrada do atacante, mas o tempo que ele tem para agir depois disso.
O que significa adotar o Assume Breach
Assume Breach não é um produto nem um framework com selos e auditorias. É uma mentalidade operacional que reorganiza prioridades e muda o que a equipe de segurança considera como sucesso.
Na prática, significa aceitar que em algum momento uma credencial será roubada, um endpoint será comprometido ou uma vulnerabilidade será explorada antes de ser corrigida. A partir dessa premissa, o foco deixa de ser exclusivamente impedir a entrada e passa a ser detectar a presença do invasor o mais cedo possível, limitar sua capacidade de movimentação e conter o dano antes que ele se torne irreversível.
Isso implica uma mudança nas métricas que importam. O board deixa de perguntar apenas ‘quantos ataques foram bloqueados?’ e passa a acompanhar indicadores como o Mean Time to Detect (MTTD) e o Mean Time to Contain (MTTC). Segundo o IBM Cost of a Data Breach Report 2025, organizações que detectam violações em menos de 200 dias economizam em média US$1,14 milhão por incidente em comparação com aquelas que ultrapassam esse prazo.
O Assume Breach também parte de uma constatação sobre o vetor de ataque predominante. Conforme mapeado pelo Verizon Data Breach Investigations Report 2025, credenciais comprometidas continuam sendo um dos principais pontos de entrada em incidentes confirmados. O atacante, nesses casos, não precisa forçar a entrada: ele acessa o ambiente com uma identidade válida e opera com os mesmos privilégios do usuário legítimo.
Diante disso, a postura de Assume Breach reorienta três pilares operacionais: a detecção comportamental, que identifica anomalias mesmo em acessos aparentemente legítimos; o controle de identidade e privilégios, que limita o quanto um atacante pode avançar mesmo após comprometer uma conta; e a resposta orquestrada, que reduz o tempo entre a detecção e a contenção.
Detecção comportamental: ver o que as assinaturas não veem
Uma das principais razões pelas quais os invasores permanecem ocultos por tanto tempo é que eles não agem como malwares convencionais. Segundo dados da CrowdStrike referentes ao panorama de ameaças de 2025, 79% dos ataques detectados eram malware-free, conduzidos com ferramentas legítimas do próprio sistema operacional, sem arquivos maliciosos que ativassem assinaturas tradicionais.
Nesse cenário, a detecção por assinatura perde efetividade. O que passa a importar é a análise de comportamento: um processo que raramente acessa a rede inicia conexões externas; uma conta administrativa acessa sistemas críticos fora do horário habitual; um usuário autentica simultaneamente a partir de locais geograficamente distantes.
Esse tipo de análise exige visibilidade contínua e profunda dos endpoints, correlação de eventos em tempo real e capacidade de agir sobre alertas antes que o atacante conclua sua movimentação. É exatamente esse o papel do CrowdStrike Falcon Complete dentro da estratégia do Cyber Fusion Center (CFC) da Asper. A plataforma monitora comportamentos anômalos em endpoints, identifica técnicas mapeadas no framework MITRE ATT&CK e permite que a equipe isole um dispositivo comprometido em menos de 10 minutos, com remediação remota concluída em menos de 60 minutos, sem necessidade de reimagem e com impacto mínimo na operação.
Threat Hunting: caçando o que os algoritmos ainda não viram
Detecção automatizada é necessária, mas não suficiente. Ameaças avançadas, como grupos de espionagem ou operadores de ransomware sofisticados, frequentemente operam abaixo do limiar de detecção das ferramentas automatizadas, usando técnicas de living-off-the-land que se misturam ao tráfego legítimo da rede.
O Threat Hunting proativo existe para encontrar exatamente esses sinais fracos. Não é esperar o alerta aparecer; é partir de hipóteses sobre táticas conhecidas de atacantes, investigar rastros sutis no ambiente e identificar presença maliciosa antes que ela se manifeste como incidente.
O Cyber Fusion Center da Asper opera com equipes dedicadas de Threat Hunting que trabalham de forma complementar às ferramentas automatizadas. Enquanto o Falcon Complete monitora e responde a comportamentos identificados, os analistas do CFC caçam ativamente indicadores de comprometimento que ainda não geraram alertas, correlacionando eventos de fontes distintas para montar o quadro completo de uma possível intrusão antes que ela evolua.
Identidade como barreira: limitando o dano mesmo após o comprometimento
A premissa do Assume Breach reconhece que o invasor provavelmente já tem acesso a pelo menos uma conta válida. A questão estratégica, então, é: quanto dano ele consegue fazer com essa conta?
A resposta depende diretamente de como os privilégios são gerenciados. Se a conta comprometida tem acesso irrestrito a sistemas críticos, o caminho para um impacto catastrófico é curto. Se, ao contrário, os princípios de menor privilégio e segregação de funções são aplicados com rigor, o atacante encontra barreiras que tornam a escalada lenta, detectável e muito mais difícil.
O CyberArk, implementado e operado pela Asper, endereça diretamente esse ponto ao gerenciar contas privilegiadas com controles granulares. Sessões de alto impacto são monitoradas em tempo real, senhas são rotacionadas automaticamente e acessos a sistemas críticos passam por camadas adicionais de autenticação. Mesmo que um atacante obtenha credenciais de um usuário comum, as barreiras impostas pelo PAM impedem que ele escale para uma conta de administrador de domínio, o que na maioria dos incidentes de ransomware, é exatamente o que os operadores buscam antes de disparar a criptografia.
O SailPoint complementa essa camada ao garantir que cada identidade, humana ou não humana, tenha apenas os acessos estritamente necessários para sua função. Em um cenário de Assume Breach, isso significa que mesmo que um invasor comprometa uma identidade e passe despercebido por algum tempo, a superfície de movimentação lateral disponível para ele é significativamente menor. A detecção torna-se mais provável porque qualquer acesso fora do padrão da identidade comprometida representa uma anomalia imediata.
Os primeiros 10 minutos: onde o resultado de um incidente é definido
Os primeiros minutos após uma invasão costumam definir o desfecho do incidente. Quando a detecção demora, o atacante ganha espaço para avançar, escalar privilégios e dificultar a contenção.
Dados do M-Trends 2026 mostram que, nos ataques mais rápidos, o intervalo entre o acesso inicial e a escalada pode ser de apenas 22 segundos. A escalada pode levar ao comprometimento de controladoras de domínio em poucas horas. A partir daí, reverter o dano sem paralisar a operação torna-se exponencialmente mais difícil.
Uma estratégia de Assume Breach eficaz não espera que o incidente se desenvolva completamente para agir. Ela instrumenta o ambiente para que sinais de comprometimento sejam identificados o mais próximo possível do momento de entrada, e para que a resposta seja automática o suficiente para não depender da velocidade humana em um momento de crise.A orquestração do Cyber Fusion Center da Asper é construída para operar nessa janela crítica. Quando um comportamento anômalo é detectado seja pelo CrowdStrike Falcon Complete, pelo monitoramento de identidades via CyberArk ou pelos alertas de governança do SailPoint, playbooks automatizados de resposta são acionados em segundos. O dispositivo comprometido é isolado da rede, o usuário suspeito tem seu acesso revogado temporariamente e a equipe do CFC inicia a investigação com todo o contexto consolidado.
A pergunta certa para 2026
O muro, por si só, nunca foi suficiente. E em 2026, insistir em tratá-lo como linha final de defesa é uma vulnerabilidade estratégica.
Assume Breach não é pessimismo, é precisão. É a diferença entre um ambiente que percebe a invasão tarde demais e um que detecta a movimentação anômala em minutos e responde antes que o dano se consolide.
Essa postura se constrói com visibilidade comportamental nos endpoints, controle rigoroso de identidades e privilégios, Threat Hunting proativo e uma capacidade de resposta orquestrada que não depende de decisões manuais em momentos de crise. É uma postura sustentada por ferramentas integradas e por uma equipe que entende que segurança eficaz não é a ausência de incidentes, mas a capacidade de contê-los antes que se tornem catástrofes.
A sua organização sabe quanto tempo um invasor teria para agir, se entrasse agora? Se a resposta não for imediata, esse é o ponto de partida da conversa.
Fale com os especialistas do Cyber Fusion Center da Asper e descubra como estruturar uma postura de Assume Breach que proteja o que sustenta sua operação.
