Seja bem-vindo à edição de março de 2026 do Cloud CISO Perspectives. Hoje, abordamos os insights críticos do novo relatório Cloud Threat Horizons, trazendo uma análise direta sobre as mudanças táticas observadas pelos times de inteligência do Google Cloud, Mandiant e especialistas do Office of the CISO.
Cloud Threat Horizons: Da exploração rápida à prontidão forense
Por Bob Mechler, diretor, e Crystal Lister, conselheira de segurança, Office of the CISO
À medida que nos consolidamos na era da Inteligência Artificial, o tempo disponível para que as equipes de defesa mitiguem vulnerabilidades antes que sejam exploradas está encolhendo drasticamente. Dados coletados no segundo semestre de 2025 indicam que a janela entre a divulgação de um CVE e a exploração ativa caiu de semanas para poucos dias.
Essa aceleração tem nome e ferramenta: threat actors utilizando IA para realizar reconnaissance e automação de probing em aplicações não corrigidas. Para empresas brasileiras, isso significa que a segurança reativa e manual se tornou obsoleta. É preciso maturidade no gerenciamento de vulnerabilidades e automação na detecção.
A mudança no vetor de ataque: Vulnerabilidades de terceiros
Pela primeira vez desde 2021, observamos uma inversão tática: exploração de vulnerabilidades em software de terceiros superou o uso de credenciais fracas como vetor primário de acesso inicial. No segundo semestre de 2025, 44,5% dos incidentes envolveram exploração de software, contra 27,2% via credenciais — um salto expressivo frente ao início de 2025, onde esse índice não passava de 3%.
Essa mudança sugere que nossa estratégia de secure-by-default e proteções de identidade mais robustas estão fechando caminhos tradicionais, forçando o atacante a explorar vulnerabilidades de código de forma automatizada com IA.
Insights estratégicos para o seu ciclo de monitoramento em 2026:
- Colapso da janela de exploração: O incidente React2Shell demonstrou que threat actors podem implantar mineradores de criptomoedas menos de 48 horas após a divulgação do exploit. Não espere ciclos longos de patching; utilize Web Application Firewalls (WAF) e políticas de rede para neutralizar vetores no edge.
- Kubernetes como ativo visado: Threat actors (como o grupo UNC4899) estão abusando de devops workflows legítimos para realizar breakout de privileged containers. O foco aqui é isolamento estrito de runtime e governança de privilégios.
- CI/CD sob ataque: O uso de dependências comprometidas em package managers para obter privilégios de administrador via OIDC trust relationships é real. O principle of least privilege deve ser aplicado rigorosamente em pipelines de deploy.
- Táticas anti-forenses: Ataques de ransomware modernos não buscam apenas exfiltração; eles sabotam logs e core dumps. A implementação de logs de alta fidelidade e imutáveis não é mais uma sugestão de mercado, mas uma necessidade operacional e de conformidade.
Os anos de 2026 trazem incertezas geopolíticas e eventos globais de larga escala, o que aumenta o risco para infraestruturas críticas. A recomendação clara é investir em forensic readiness e controle baseado em identidade automatizado.
Artigo originalmente publicado por Crystal ListerSecurity Advisor, Office of the CISO em Cloud Blog.
