Os ciberataques precisam de apenas 22 segundos para serem bem-sucedidos

Relatório do Google Group, apresentado no EXPAND 2026, evento da Redbelt Security, mostrou que o tempo médio entre o acesso inicial e a execução do ataque caiu para 22 segundos. Os vetores de entrada mais comuns são os exploits, phishing e ransomware.

Em junho passado, a Redbelt Security realizou a 5ª edição do EXPAND, que reuniu cerca de 130 CISOs e líderes de segurança para debater os temas que estão no centro da operação de proteção cibernética nas empresas. O EXPAND 2026 foi realizado no SP Hall, em Vila Olímpia, São Paulo. O evento teve como foco o uso de inteligência artificial (IA) e a governança de identidades.

Um dos palestrantes do evento foi David Stone, diretor do Office of the CISO do Google Group, referência global em inteligência de ameaças e em resposta a incidentes. Stone trouxe insights e números do M-Trends 2026, relatório com mais de 500 mil horas de investigações, que ajudam a dimensionar o estágio atual das ameaças.

Segundo o relatório, o tempo médio entre o acesso inicial e a execução do ataque caiu para 22 segundos. Atualmente, o vetor de entrada mais comum é o exploit (exploração de falhas sistêmicas), presente em 32% dos casos, que superou o phishing (e-mail ou mensagens suspeitas) suspeito.

O ransomware evoluiu e virou problema de resiliência, já que os atacantes focam também no backup e bloqueiam a capacidade de recuperação.

Segundo o especialista, uma das campanhas foi em torno das redes de telecomunicação na América Latina e em outros lugares, onde os criminosos estão acessando os sistemas de telecomunicação para conseguir rastrear e monitorar. “Rastreamos a exclusão de diferentes torres de telefone para contornar a autenticação multifator em aparelhos corporativos. As campanhas e os eventos que observamos seguem em expansão em diferentes áreas”, diz Stone.

No quesito do aumento significativo dos ataques direcionados a ambientes SaaS, com o objetivo de garantir múltiplos pontos de acesso e visibilidade dentro das redes, Stone comentou: “Uma das frentes que mais investigamos envolve APIs, especialmente plataformas como o GitHub e outras que concentram propriedade intelectual e repositórios de código-fonte, tornando-se altamente valiosas para os atacantes. Também observamos uma exploração massiva de dispositivos de rede, o que representa um grande desafio para a resposta a incidentes. Afinal, como conduzir uma resposta eficaz em um firewall ou em um switch de rede quando esses próprios equipamentos passam a ser usados como canais de comando e controle no ambiente?”

Governança de identidade, cibersegurança automotiva e falsos positivos de IA

Algumas palestras destacadas no EXPAND 2026 incluiram temas como a governança de identidade, a automação da cibersegurança em setores específicos — como o automotivo — e até mesmo a apresentação de estudos de caso sobre a implementação de projetos de inteligência artificial.

  • A governança de identidade ainda é tema de infraestrutura em muitas organizações. Mas o risco que ela representa é financeiro, operacional, reputacional. Durante o painel mediado por Nycholas Szucko, Co-Founder e CRO da Verta com os executivos, Mariana Werson, CISO na RD Saúde, Pedro Lohmann, CISO na L’Oréal Brazil e Paulo Principe, CISO no Banco Rendimento, eles discutiram sobre a identidade como um grande vetor de ataque e escalonamento, a proliferação de credenciais que ninguém contratou (como contas de serviço, APIs e agentes de IA), os riscos associados ao acesso de terceiros e o desafio de governar ambientes marcados por falhas de gestão do passado.
    Pedro Lohmann destacou um desafio adicional: a convergência entre os ambientes de TI e de OT. Se antes as redes de OT eram isoladas e havia uma sensação de segurança, a evolução para Indústria 4.0 e 5.0 trouxe maior conectividade e, consequentemente, mais riscos. “Esse cenário pressiona por agilidade, muitas vezes em conflito com as melhores práticas de segurança. Casos em que fornecedores tentam acessar remotamente por meios não controlados, como conexões próprias, por exemplo, 3G, representam um risco real. O desafio passa a ser equilibrar a continuidade operacional e a segurança, implementando controles rígidos de acesso remoto, monitoramento e governança, sem comprometer a produtividade da planta.”
  • Cibersegurança automotiva. Julio Padilha, CISO da Volkswagen e Audi na América do Sul, mostrou no EXPAND 2026 o que significa proteger um veículo moderno: sensores, ECUs, gateways, telemetria, conexão via 4G/5G, Wi-Fi e Bluetooth, integração com aplicativos e sistemas em nuvem. A cadeia de fornecedores é conectada, as atualizações são remotas e a superfície de ataque não para de crescer. Segurança automotiva virou segurança de sistemas críticos. O tema ganhou relevância global desde 2015, quando pesquisadores demonstraram que era possível assumir remotamente o controle de um carro. De lá para cá, os carros ficaram ainda mais conectados. Cada veículo envolve uma rede de fornecedores escrevendo seu próprio código, o que resulta em milhões de linhas de programação por automóvel. Com recursos de direção autônoma já operando em algumas cidades e a crescente integração entre veículos, aplicativos e sistemas de coleta de dados, a superfície de ataque se expandiu.
  • Estudo de caso: como o banco reduziu falsos positivos com IA. Humberto Guimarães, CISO do BMG, apresentou seu estudo de caso. Em um ano, o banco saiu do nível 1 para o nível 3 a pirâmide de maturidade de cibersegurança, que envolve detecção, resposta e convergência com fraudes, segundo métricas internas. Os números ilustram a transformação: o volume de alarmes caiu 70%, de 14.213 para 4.169, em grande parte pela eliminação de falsos positivos que antes consumiam tempo e atenção do time. A taxa de falsos positivos foi de 97,7% para 7,9%. O ruído em eventos de fraude despencou de 1.395 para 2 ocorrências por mês.
    Parte desse resultado veio da adoção da IARis 3.0, solução de inteligência artificial da Redbelt Security. Dos 4.169 alarmes, a ferramenta fechou automaticamente 1.075 em menos de 3 minutos, sem qualquer interação humana. Antes, esse número era zero. As otimizações seguem em andamento.
  • BLACKOUT: simulando o impacto de um ataque à infraestrutura crítica. O EXPAND também contou com a dinâmica BLACKOUT, uma experiência imersiva em que os participantes assumiram diferentes papéis executivos, como CEO e CISO, para enfrentar um ataque cibernético que paralisou uma infraestrutura crítica.
    Desenvolvida pela Redbelt Security, a simulação colocou os participantes diante de decisões complexas em um cenário realista, com impactos operacionais, regulatórios e reputacionais. Com desafios em tempo real e desdobramentos gerados por IA, a simulação evidenciou as consequências das escolhas feitas sob pressão e a importância de respostas rápidas e bem coordenadas.

Saiba mais sobre Gerenciamento de segurança