Por Mikella Marley
24 de setembro de 2025
Toda violação de dados começa com o acesso inicial à rede — e os ataques baseados em identidade estão se tornando rapidamente o ponto de entrada favorito dos cibercriminosos. O mais preocupante é que os invasores não “invadem” mais — eles fazem login. Três em cada quatro ataques atualmente dependem de credenciais válidas. Mas a identidade não é apenas um vetor de acesso inicial; ela também é o meio pelo qual os atacantes se movem lateralmente e escalam privilégios, tudo isso enquanto evitam a detecção.
Para compreender o cenário em evolução da segurança de identidade, vamos analisar as táticas mais comuns, as tendências emergentes e as melhores práticas para aprimorar a proteção de identidades.
Ameaças à Identidade: Compreendendo as Táticas Mais Comuns
Os adversários utilizam uma variedade de técnicas para realizar ataques baseados em identidade, mas compartilham um mesmo objetivo: explorar brechas na segurança de identidade para obter acesso autorizado à rede, fingindo ser um usuário legítimo e movendo-se lateralmente sem acionar alertas.
Phishing
Uma das técnicas mais comuns de ataque à identidade, o phishing é uma forma de engenharia social em que os invasores se passam por entidades confiáveis para enganar usuários e fazê-los revelar suas credenciais.
O Relatório de Investigações de Violação de Dados da Verizon 2025 descobriu que ataques de engenharia social representam quase um quarto das violações externas de segurança — e 57% desses incidentes envolvem phishing.
E-mails, mensagens de texto, ligações telefônicas e até códigos QR podem servir como vetores de ataque, que se tornam cada vez mais convincentes à medida que os invasores passam a utilizar inteligência artificial (IA).
Credential Stuffing
O credential stuffing explora o uso repetido de senhas, partindo da premissa de que a maioria das pessoas reutiliza a mesma senha em diferentes sistemas. Após extrair credenciais, comprá-las de corretores de acesso ou usar ferramentas automatizadas para percorrer bancos de dados de credenciais roubadas, os invasores tentam acessar inúmeras contas em paralelo.
Ataques Adversary-in-the-Middle (AiTM)
Também conhecidos como attacker-in-the-middle ou man-in-the-middle, esses ataques não enganam diretamente o usuário para que ele revele suas credenciais. Em vez disso, o invasor se posiciona entre o usuário e o sistema, interceptando os dados transmitidos entre eles.
Essa forma de espionagem digital permite que os atacantes coletem silenciosamente credenciais e contornem proteções de MFA (autenticação multifator). Prova da eficácia dessa técnica: ataques AiTM aumentaram 146% no último ano.
Keberoasting
Nesse tipo de ataque, os invasores solicitam tickets de serviço para contas com acesso a sistemas desejados e tentam quebrá-los offline. Frequentemente, as contas de serviço são alvos fáceis — protegidas por senhas fracas e dotadas de permissões excessivas.
Ataques Golden Ticket e Silver Ticket
Duas variações dos ataques pass-the-ticket (PtT), essas técnicas exploram vulnerabilidades no protocolo de autenticação Kerberos. Elas permitem que atacantes usem tickets roubados para contornar a autenticação e acessar sistemas sensíveis.
No ataque Golden Ticket, o invasor rouba o ticket granting ticket, permitindo-lhe se passar por qualquer usuário. Já o Silver Ticket tem um escopo mais limitado, visando serviços específicos.
Password Spraying
Semelhante ao credential stuffing, o password spraying é uma técnica de força bruta em que os invasores tentam acessar várias contas simultaneamente usando senhas comuns. Após obter uma lista de nomes de usuário, testam repetidamente combinações de senhas populares em todos os logins.
Pass-the-Hash
Os ataques pass-the-hash (PtH) permitem que os adversários usem credenciais criptografadas (hashes) sem precisar descriptografá-las, iniciando novas sessões e se movimentando lateralmente como se fossem usuários legítimos — sem precisar quebrar a senha.
Tendências em Segurança de Identidade: Um Cenário de Ameaças em Transformação
Do crescimento explosivo de identidades de máquina ao aumento de infostealers, o panorama das ameaças à identidade está mudando rapidamente. Essas tendências tornam mais fácil do que nunca explorar vulnerabilidades de identidade — e mais difícil para os defensores acompanharem o ritmo.
A Mudança na Definição de Abuso de Credenciais
O relatório mais recente da Verizon mostra que a antiga visão de credenciais — como sendo apenas combinações de usuário e senha — tornou-se estreita demais. Hoje, muitos outros tipos de credenciais podem conceder acesso a invasores, incluindo:
- Infraestrutura de aplicações web
- Segredos de desenvolvimento e pipelines CI/CD
- Segredos de infraestrutura em nuvem
- Conexões de banco de dados
Muitas dessas credenciais são usadas por administradores e desenvolvedores, e às vezes acabam sendo publicadas acidentalmente em repositórios de código público, oferecendo um verdadeiro “buffet” de credenciais para os hackers explorarem.
A exposição mais comum ocorre na categoria de infraestrutura de aplicações web — com tokens JWT (JSON Web Tokens), amplamente usados para autenticação e controle de acesso, representando a maior parte dos vazamentos.
Pior ainda: o tempo médio para corrigir credenciais expostas em um repositório GitHub é de 94 dias, oferecendo uma ampla janela de exploração para atacantes.
Aumento dos Ataques à Cadeia de Suprimentos e do Vishing
À medida que muitas organizações adotam estratégias de segurança centradas em detecção — com ferramentas como EDR e SIEM — os invasores têm recorrido a táticas mais discretas em ataques baseados em identidade.
Na primeira metade de 2025, ataques à cadeia de suprimentos superaram o ransomware como vetor inicial de violação em incidentes publicamente divulgados.
Um exemplo marcante é o ataque à Snowflake, no qual os hackers supostamente roubaram credenciais de clientes da empresa ao invadir um provedor de serviços gerenciados (MSP) — e, a partir daí, comprometeram dados de organizações como AT&T e TicketMaster.
Essa campanha de grande alcance ressalta a importância urgente de limitar o acesso de parceiros e fornecedores terceirizados.
Da mesma forma, ataques de vishing (phishing por voz) estão em ascensão. Nesses casos, os atacantes ligam para as vítimas tentando enganá-las para baixar malwares, abrir sessões de suporte remoto ou fornecer credenciais em páginas falsas de phishing AiTM.
Entre o segundo semestre de 2024 e o primeiro de 2025, os ataques de vishing aumentaram 442%.
Identidades de Máquina Ultrapassam Usuários Humanos
As identidades de máquina — como contas de serviço e tokens de API — já representam mais de 70% das identidades conectadas à rede.
Esse é um dado preocupante, pois essas identidades costumam ter privilégios excessivos e pouca proteção. Apenas 2,6% das permissões de identidades de carga de trabalho são realmente utilizadas, e 51% estão totalmente inativas.
Além disso, quase metade dos sistemas comprometidos por infostealers no último ano eram dispositivos não gerenciados.
Como muitos desses ativos — sistemas legados, contas de serviço, dispositivos OT/IoT e bancos de dados — ficam fora do alcance das ferramentas tradicionais de controle, grandes partes das redes corporativas continuam vulneráveis a ataques baseados em identidade.
Infostealers e Corretores de Acesso em Ascensão
Infostealers são malwares criados para coletar dados valiosos, como credenciais, e depois empacotá-los em “logs” vendidos em mercados online.
O aumento desses programas alimentou o crescimento da indústria de acesso como serviço, com anúncios de corretores de acesso aumentando 50% em 2024.
Esse fenômeno explica por que o abuso de credenciais permanece o vetor de acesso inicial mais comum.
Dados indicam que a ascensão de infostealers e corretores de acesso também abriu caminho para a entrada de ransomware via identidades comprometidas: 54% das vítimas publicadas em sites de extorsão de ransomware também apareciam em logs de infostealers.
A Inteligência Artificial Dá Vantagem aos Adversários
Tanto atacantes quanto defensores estão adotando IA — mas com níveis de sucesso bem diferentes.
Mais de 70% dos líderes de segurança já adotaram ou estão avaliando IA para suas operações, mas apenas 20% se dizem confiantes na capacidade de proteger seus próprios modelos de IA.
Enquanto isso, 80% dos ataques de ransomware analisados em novas pesquisas do MIT usaram IA para impulsionar campanhas de phishing, engenharia social com deepfakes, quebra de senhas e muito mais.
Em outras palavras, os invasores estão explorando IA com eficiência crescente, enquanto as equipes de segurança ainda correm atrás do prejuízo.
Melhores Práticas de Proteção de Identidade: Protegendo o Novo Perímetro
Não é segredo que a identidade é o novo perímetro. Mas, como aponta Chris Boehm, Field CTO:
“A maioria das redes nunca foi projetada para tratar a identidade como uma fronteira de segmentação.”
Com o aumento das ameaças à identidade, as organizações precisam de controles proativos e em camadas para transformar a identidade de um passe livre em uma barreira de segurança robusta.
Proteja o Acesso com MFA Just-in-Time
O crescimento das identidades de máquina — somado ao uso crescente de infostealers e táticas avançadas de engenharia social — mostra que é hora de parar de apostar no acesso privilegiado.
Com MFA em nível de rede, as organizações podem exigir verificação em tempo real antes de conceder acesso a contas administrativas e de serviço, protegendo portas e protocolos privilegiados por padrão (como RDP, SSH, WMI, RPC e WinRM).
Segmente Identidades com Granularidade
Enquanto a MFA garante que apenas as pessoas certas acessem uma identidade, a segmentação de identidade assegura que cada usuário, dispositivo e aplicação tenha acesso apenas aos ativos e tipos de login previamente aprovados.
Ao rastrear atividades de login, comportamento de contas e padrões de acesso, as equipes de segurança podem criar políticas detalhadas que tornam credenciais roubadas inúteis.
Mais importante: a segmentação vai além do conceito de “firewall de identidade” — ela reformula o próprio modelo de acesso, fazendo com que cada identidade, humana ou de máquina, opere automaticamente sob o princípio do mínimo privilégio.
Construa uma Arquitetura Zero Trust
No cerne da segurança Zero Trust está o princípio “nunca confie, sempre verifique”.
Isso significa eliminar a confiança implícita e exigir verificação contínua de cada usuário, dispositivo e aplicativo na rede.
Para construir uma arquitetura Zero Trust eficaz, é necessário aplicar privilégio mínimo abrangente, limitando o acesso apenas ao necessário — e apenas pelo tempo estritamente necessário.
Bloqueie o Movimento Lateral com Microsegmentação
A microsegmentação protege contra ataques baseados em identidade ao restringir mais um eixo do tráfego de rede.
Ao isolar cada ativo dentro de seu próprio “microperímetro” de segurança, impede-se o movimento lateral, garantindo que, independentemente da tática, os invasores não consigam progredir.
Adapte Dinamicamente as Políticas de Acesso
Com a ajuda da IA e de táticas furtivas, os adversários estão se movendo mais rápido do que nunca.
Embora políticas granulares sejam fundamentais para bloquear ataques baseados em identidade, abordagens estáticas são frágeis demais.
A solução está na automação: manter as políticas sempre atualizadas conforme a rede evolui.
Combata Proativamente Ataques Baseados em Identidade com a Zero Networks
A Zero Networks torna a proteção de identidade proativa simples, escalável e sem impacto operacional.
Combinando segmentação de identidade, microsegmentação automatizada e MFA em nível de rede, a Zero cria controles de acesso adaptativos e granulares, capazes de bloquear movimento lateral e aplicar verificação em tempo real a logins privilegiados.
“Nós microsegmentamos as próprias identidades — usuários, contas de serviço, tudo. Mesmo que alguém tenha uma credencial roubada, será bloqueado se essa identidade não tiver direitos de acesso. Gerenciamos políticas de credenciais de forma rigorosa, e nosso sistema as aplica automaticamente.”
— Chris Boehm, Field CTO, Zero Networks
Essa abordagem em múltiplas camadas bloqueia invasores em cada estágio, transformando a exploração de identidades de um banquete em um jejum para hackers.
Segundo Chris Turek, CIO da Evercore:
“A combinação das capacidades de segmentação de rede e identidade da Zero redefine a arquitetura de privilégio mínimo, proporcionando um nível de proteção que o mercado nunca viu antes. É possível controlar a segmentação de dispositivos até o nível de porta e protocolo, e ainda aplicar controle completo sobre o acesso de login — seja ele de rede, local ou de serviço. Como se isso não bastasse, é possível adicionar autenticação multifator a qualquer um desses controles! Nenhuma outra plataforma hoje oferece isso.”
Conheça mais de perto como a Zero Networks fortalece e simplifica a proteção de identidade — solicite uma demonstração em cybergate.solutions.