Fale conoscoSuporteCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês
Segurança de Dados
Governança de AlGestão da Postura de Segurança de DadosGovernança de Acesso a DadosPrevenção de Perda de DadosDescoberta e Classificação de Dados
Segurança de Identidade
Detecção e Resposta a Ameaças de IdentidadeGovernança e Administração de IdentidadeGestão da Postura de Segurança de IdentidadeGerenciamento de Acesso PrivilegiadoSegurança do Diretório

O futuro da segurança dos dados

A Plataforma Netwrix 1Secure™

Explorar
Soluções
Casos de Uso em Destaque Ver todos os casos de uso
Segurança do Active DirectoryDefesa de Identidade Não HumanaProntidão do CopilotImplantação LocalDetecção e Análise de Risco de IdentidadeProvedores de Serviços GerenciadosFusões, Aquisições e DesinvestimentosConformidade RegulamentarSegurança do Microsoft 365Zero TrustSegurança dos Serviços de Certificados ADSegurança de IA Shadow
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint ProtectorNetwrix Privilege SecureGerenciador de Identidade Netwrix

O checkout self-service está disponível para organizações com até 150 funcionários

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Compre Agora Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinarsMicrosoft Alliance
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Mitos e o custo de atacar

Mitos e o custo de atacar

Apr 24, 2026

Por vinte anos, a defesa em cibersegurança baseou-se em uma ideia simples: tornar o ataque tão caro que os adversários desistam e sigam em frente. IA barata e capaz quebra essa economia. Reconhecimento, desenvolvimento de exploits, phishing e infraestrutura de comando e controle agora funcionam na velocidade do modelo e a custo de centésimos por milhão de tokens. A doutrina de detectar e responder tem dificuldades quando o ciclo OODA do atacante se comprime de semanas para segundos. O nível de prevenção precisa subir de bloquear o conhecido como ruim para prever a intenção a partir do comportamento.

Por que o custo ainda importa na era da inteligência barata

Há duas semanas, a Anthropic anunciou o Projeto Glasswing e deu a um pequeno grupo de parceiros de lançamento, incluindo Microsoft, Google e CrowdStrike, junto com cerca de quarenta outras organizações de infraestrutura crítica, acesso antecipado a um modelo chamado Claude Mythos Preview. A Anthropic disse que o Mythos era perigoso demais para ser lançado publicamente. Nas semanas que antecederam o anúncio, já havia descoberto milhares de vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores, incluindo um bug de 27 anos no OpenBSD.1 O mercado reagiu da forma como os mercados reagem a notícias existenciais: as ações dos principais fornecedores de cibersegurança caíram até dez por cento com o medo de que a descoberta de vulnerabilidades em escala de IA torne o trabalho das ferramentas tradicionais de segurança uma mercadoria.2 No mesmo dia, a Secretária do Tesouro Bessent e o presidente do Fed Powell reuniram os CEOs dos maiores bancos dos EUA para conversar sobre isso.3

Então: Mythos é o fim da indústria de cibersegurança, o começo de uma nova ou uma peça bem executada de relações públicas da Anthropic? Acho que não é nenhuma dessas. Para entender por quê, ajuda voltar vinte anos no tempo.

A ideia mais antiga em defesa

Em meados dos anos 2000, eu fazia parte da equipe de segurança da General Electric, defendendo o que na época era um dos maiores fornecedores da base industrial de defesa do país. Falávamos constantemente sobre uma ideia, e isso moldou tudo o que fizemos: aumentar o custo de nos atacar.

Essa ideia pertencia a uma geração de defensores, pessoas como meus colegas Richard Bejtlich e David Bianco, e a equipe Mandiant que eu viria a integrar, que argumentavam que a prevenção perfeita era impossível, mas que a defesa ainda era um jogo que você podia vencer se tornasse o ataque caro o suficiente para que seu adversário desistisse e seguisse em frente.4 A Pirâmide da Dor de Bianco5 formalizou a intuição. Alguns indicadores de comprometimento custam quase nada para os atacantes contornarem; um hash de arquivo, por exemplo, muda com um único byte. Outros custam caro, forçando-os a refazer ferramentas, re-treinar ou reconstruir infraestrutura. Quanto mais você os empurrava para cima na pirâmide, mais doloroso e, portanto, mais raro o ataque se tornava.

Aumentar os custos assumiu várias formas. Publicar indicadores de alta fidelidade que forçaram os atacantes a trocar de ferramentas. Expor famílias de malware para que os adversários tivessem que escrever novas. Queimar infraestrutura para que o comando e controle tivesse que ser reconstruído. O melhor exemplo foi o relatório APT1 de 2013 na Mandiant, que nomeou e expôs publicamente um grupo patrocinado pelo estado chinês, de modo que eles tiveram que basicamente refazer tudo do zero. Por anos depois, APT1 foi um caso clássico de defesa como economia.

Todo o modelo, detectar rápido, responder bem, fazer o atacante pagar para voltar, baseava-se em uma suposição tácita: que o trabalho do atacante era lento e humano. O reconhecimento levava semanas. O desenvolvimento do exploit levava meses. A infraestrutura custava dinheiro e habilidade. Se você pudesse tornar qualquer uma dessas coisas mais cara, você ganhava.

O que Mythos realmente muda

Mythos (e, francamente, todos os modelos capazes dos últimos dezoito meses) faz o oposto de aumentar os custos. Ele os reduz drasticamente. Analisar o software de um alvo em busca de vulnerabilidades, sondar um aplicativo web para entradas não sanitizadas, montar infraestrutura de comando e controle, escrever a isca de phishing: cada etapa do ciclo de vida do atacante que antes custava tempo e talento especializado agora funciona na velocidade do modelo.

Embora Mythos esteja recebendo atenção, a empresa de segurança Aisle testou as vulnerabilidades apresentadas por Mythos contra modelos pequenos, baratos e de pesos abertos, e descobriu que a maior parte da análise subjacente era repetível. Todos os seis modelos que testaram detectaram a exploração principal do FreeBSD em pelo menos um dos três testes, incluindo um com 3,6 bilhões de parâmetros a cerca de cinco centavos por milhão de tokens. O argumento deles é que a capacidade de cibersegurança da IA é irregular; ela não escala suavemente com o tamanho do modelo, e o verdadeiro fosso é o sistema e a expertise em torno do modelo, não o modelo em si.6Mythos não é um ponto de inflexão tanto quanto uma confirmação de que a inflexão já aconteceu, silenciosamente, ao longo de uma geração de modelos mais baratos.

Acho que isso também está começando a aparecer nos dados. O relatório Mandiant M-Trends 2026, baseado em mais de 500.000 horas de trabalho de resposta a incidentes em 2025, documenta o aumento do tempo médio global de permanência de 11 para 14 dias, o primeiro aumento significativo após uma década de compressão constante desde 146 dias em 2015.7 Mais impressionante, o tempo médio entre um corretor de acesso inicial comprometer um ambiente e entregá-lo a um ator de ameaça secundário (normalmente um operador de ransomware) caiu de mais de oito horas em 2022 para 22 segundos em 2025. Vinte e dois segundos não são tempo suficiente para um analista SOC ler o alerta, muito menos agir sobre ele. Exploits continuam sendo o principal vetor de infecção inicial pelo sexto ano consecutivo, representando 32% das intrusões, e também documentaram famílias de malware como PROMPTFLUX e PROMPTSTEAL que consultam grandes modelos de linguagem durante a execução para evitar a detecção. O ladrão de credenciais QUIETVAULT até escaneia máquinas comprometidas em busca de ferramentas locais de IA para usar contra seus proprietários. Para crédito da Mandiant, eles não culpam a IA por tudo isso. Eles dizem explicitamente que a maioria das violações ainda vem de falhas humanas e sistêmicas, não da capacidade da IA. Mas a linha de tendência está começando a se mover, à medida que o custo da violação continua a cair.

Estes modelos estão amplamente disponíveis há dezoito meses, mas os atacantes são organizações humanas; eles se adaptam em cronogramas humanos. Os manuais precisam ser reescritos, as técnicas precisam ser testadas, os operadores precisam ser treinados. Os próximos anos, não os últimos dezoito meses, são quando veremos o que acontece quando um adversário maduro internaliza completamente essas ferramentas.

Os defensores também podem usar essas ferramentas, e eles o fazem. A leitura otimista é que os defensores realmente têm a vantagem: eles possuem seu ambiente, sua telemetria, suas linhas de base e podem executar modelos continuamente contra um estado conhecido como bom. Essa é a verdade, e é por isso que não acho que Mythos acabe com nossa indústria. Mas isso subestima a assimetria estrutural que sempre esteve presente na cibersegurança – o atacante só precisa de um caminho para ter sucesso; o defensor deve fechar todos eles. Inteligência barata torna a busca por caminhos dramaticamente mais barata, enquanto fechá-los ainda requer mudanças coordenadas entre pessoas, processos e tecnologia. A curva de custo do atacante cai mais rápido que a do defensor.

Mas a assimetria mais profunda não é apenas sobre quem tem o modelo mais rápido. É sobre quem pode praticar, iterar e aprender, as coisas em que os LLMs são realmente bons. Um atacante com inteligência barata e rápida pode iterar mil vezes por dia. Pode tentar uma variante de phishing, ajustá-la, tentar novamente, sondar um caminho de identidade diferente, tentar de outro ângulo e continuar a custo de máquina sem gargalo humano. Eles têm praticamente tentativas ilimitadas. O defensor, por outro lado, aprende principalmente com incidentes reais e simulações limitadas. Eles não podem executar milhares de ataques realistas contra seu próprio ambiente com a mesma fidelidade, e ainda assim frequentemente encontram as falhas do jeito que sempre encontraram, depois que o atacante o fez. Essa lacuna, entre o ciclo de iteração do atacante e o ciclo de aprendizado do defensor, é o que a IA mais amplia.

O ponto de inflexão

Durante a maior parte da minha carreira, o consenso em nossa indústria tem sido alguma versão de: o compromisso é inevitável, então invista em detecção e resposta rápida. É uma boa doutrina. Ela construiu empresas como CrowdStrike e Mandiant, e salvou organizações de muito dinheiro e reputação.

Mas eu acho que essa doutrina está chegando ao seu limite. Quando o ciclo OODA do atacante se comprime de semanas para segundos, "detectar e responder" se torna uma corrida que o defensor não pode vencer de forma confiável. Não porque as ferramentas sejam ruins, mas porque o tempo acaba antes que um humano possa tomar uma decisão. Para ser claro, a prevenção sempre foi uma grande categoria: EDR, segurança de e-mail, WAF, MFA, gerenciamento de patches. A alegação não é que a indústria a ignorou. A alegação é que o nível de prevenção precisa avançar, de bloquear assinaturas conhecidas como maliciosas para prever a intenção do atacante a partir do comportamento, e isso é um problema de engenharia diferente do que qualquer um em nossa categoria resolveu completamente.

Como isso impacta o que estamos construindo

Na Netwrix, focamos na prevenção com a melhor suíte de soluções de dados e identidade do setor: governança de identidade, acesso privilegiado, segurança de diretórios e gerenciamento da postura de segurança de dados. O que está mudando agora é como usamos a telemetria que esses produtos coletam. Estamos apostando forte na predição.

É assim que isso se apresenta na prática. Nossa plataforma DSPM classifica os dados sensíveis no ambiente de um cliente: o que existe, o que está exposto, quem tem acesso e quais identidades realmente o tocaram. Em um modelo tradicional, exibimos esse inventário e sinalizamos violações de políticas após o fato.

O que estamos construindo é diferente. Quando um arquivo contendo PII regulamentada ou credenciais é acessado por uma conta que nunca tocou nessa classe de dados antes, esse acesso se destaca. Adicione uma permissão recentemente escalada, ou uma identidade cujo papel não tem motivo para acessar esses dados, e a combinação vale a pena ser interrompida antes que se torne exfiltração. Cada sinal isoladamente pode ser permitido, mas juntos descrevem uma intenção.

O tipo de ator é quase secundário. Uma sessão de administrador privilegiada, uma conta de serviço comprometida e um agente de IA que recebeu mais alcance do que seus proprietários pretendiam podem todos produzir o mesmo padrão comportamental contra um conjunto de dados sensíveis. Nosso trabalho é reconhecer esse padrão e agir antes que algo saia.

Esse é o tipo de sinal que acreditamos que a previsão deve significar nesta era. Entregá-lo bem significa usar o modelo certo para o trabalho certo. LLMs de uso geral são extraordinários em raciocinar sobre contextos confusos, e contamos muito com eles onde isso importa. Junto a eles, nossa equipe de P&D está criando modelos feitos sob medida para os casos de uso específicos que fazemos melhor. Classificar se um acesso a dados sensíveis se encaixa no padrão estabelecido de uma identidade, pontuar comportamentos anômalos contra uma linha de base aprendida, decidir em milissegundos se revogar um token. Essas são tarefas onde latência, determinismo e os dados de treinamento certos importam mais do que o conhecimento geral do mundo. Ambos os fluxos de trabalho estão em andamento.

Vinte anos depois

Mythos não mudou o que é defesa, mas mudou os preços. As coisas que antes eram caras para um atacante, encontrar uma vulnerabilidade, escrever o exploit, criar a isca, agora são baratas. As coisas que antes eram proibitivamente difíceis para um defensor, ler a intenção a partir do comportamento antes que o dano seja feito, finalmente estão se tornando possíveis. Nosso trabalho, o trabalho de toda a indústria, é garantir que a segunda curva acompanhe a primeira.

Referências

1. Anthropic, “Projeto Glasswing: Protegendo software crítico para a era da IA,” abril de 2026.

2. Fortune, “Anthropic está dando a algumas empresas acesso antecipado ao Claude Mythos para reforçar as defesas de cibersegurança,” 7 de abril de 2026.

3. The Hill, “O Mito da Anthropic coloca DC e Wall Street em alerta máxima,” abril de 2026.

4. Richard Bejtlich, “Divulgação completa para ferramentas de atacantes,” TaoSecurity, junho de 2010. https://taosecurity.blogspot.com/2010/06/full-disclosure-for-attacker-tools.html

5. David Bianco, “A Pirâmide da Dor,” Enterprise Detection & Response, março de 2013.https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

6. Stanislav Fort, “Cibersegurança de IA após Mythos: A Fronteira Irregular,” AISLE, 7 de abril de 2026. https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier

7. Mandiant, “M-Trends 2026,” abril de 2026.

Compartilhar em

Saiba Mais

Sobre o autor

Um homem de terno e camisa branca sorri para a cmera

Grady Summers

Diretor Executivo

Grady Summers traz mais de 20 anos de experiência em cibersegurança e um histórico comprovado de liderança em inovação de produtos e crescimento transformacional. Ele ocupou cargos de liderança em empresas pioneiras como SailPoint, FireEye, GE e Mandiant, onde impulsionou a transformação em SaaS e a expansão do portfólio. Com experiência prática em mercados globais e funções voltadas para o cliente, Grady combina estratégias de sala de reuniões com percepções práticas do campo. Embora seja reconhecido como líder da indústria em cibersegurança, Grady mantém sua conexão com a natureza, passando seu tempo livre plantando árvores em sua fazenda na Pensilvânia. Ele possui um MBA pela Columbia University e um bacharelado em gestão de sistemas de computadores pelo Grove City College.

Saiba mais sobre este assunto

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Cultura de Inovação da Netwrix – Desencadeando a IA

Netwrix Innovation Week: Inovações em ITDR – Novos Avanços para Proteger Contra Ameaças de Identidade

O que vem a seguir para os usuários do Microsoft Identity Manager?

O Futuro da Segurança: IA e Netwrix Access Analyzer Trabalhando Juntos

Últimos blogs

Seu navegador não é um cofre. Por favor, pare de dar as chaves a ele.

Ferramenta de benchmark CIS: o que é, como funciona e por que o monitoramento contínuo é importante

Você gostaria de não usar senhas. Mas não é assim.

Meu dia favorito do ano: Dia da Senha

Você ainda tem senhas. Agora, faça-as cumprir.

10 alternativas ao Cyera para segurança de dados e conformidade em 2026

As 10 principais ferramentas ITDR para segurança centrada na identidade em 2026

Melhores plataformas de automação de conformidade para organizações de médio porte em 2026

Soluções de monitoramento da integridade de arquivos: Principais ferramentas comparadas em 2026

Uma dupla vitória no Cas d'Or 2026: como é o sucesso da governança de identidade no setor público

Nossos principais artigos

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Baixe e instale o PowerShell 7

Uma visão geral do ataque cibernético da MGM

Variáveis de Ambiente do PowerShell

Powershell Delete File If Exists

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como executar um script PowerShell

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como instalar e usar o Active Directory Users and Computers (ADUC)?

O que é SPN e qual é o seu papel no Active Directory e na Segurança