A lacuna entre as ameaças de ransomware e as defesas destinadas a detê-las está piorando, e não melhorando. O Relatório sobre o Estado da Segurança Cibernética de 2026 da Ivanti concluiu que a lacuna de preparação aumentou por uma média de 10 pontos ano após ano em todas as categorias de ameaça que a empresa rastreia. O ransomware atingiu a maior difusão: 63% dos profissionais de segurança classificam-no como uma ameaça alta ou crítica, mas apenas 30% dizem que estão “muito preparados” para se defenderem contra ele. Isso representa uma diferença de 33 pontos, acima dos 29 pontos do ano anterior.
O cenário de segurança de identidade de 2025 da CyberArk apresenta números para o problema: 82 identidades de máquina para cada ser humano em organizações em todo o mundo. Quarenta e dois por cento dessas identidades de máquinas têm acesso privilegiado ou confidencial.
A estrutura do handbook mais confiável tem o mesmo ponto cego
Orientação de preparação para ransomware do Gartner, nota de pesquisa de abril de 2024 “Como se preparar para ataques de ransomware” que as equipes de segurança corporativa fazem referência ao criar procedimentos de resposta a incidentes, destaca especificamente a necessidade de redefinir “credenciais de usuário/host impactadas” durante a contenção. O Ransomware Playbook Toolkit que acompanha as equipes percorre quatro fases: contenção, análise, remediação e recuperação. A etapa de redefinição de credenciais instrui as equipes a garantir que todas as contas de usuários e dispositivos afetados sejam redefinidas.
As contas de serviço estão ausentes. O mesmo acontece com chaves de API, tokens e certificados. A estrutura de handbook mais amplamente usada em segurança corporativa se limita às credenciais humanas e de dispositivos. As organizações que o seguem herdam esse ponto cego sem perceber.
A mesma nota de pesquisa identifica o problema sem conectá-lo à solução. O Gartner alerta que “práticas inadequadas de gerenciamento de identidade e acesso (IAM)” continuam sendo o principal ponto de partida para ataques de ransomware e que credenciais anteriormente comprometidas estão sendo usadas para obter acesso por meio de corretores de acesso inicial e despejos de dados da darkish internet. Na seção de recuperação, a orientação é explícita: atualizar ou remover credenciais comprometidas é essencial porque, sem essa etapa, o invasor recuperará a entrada. As identidades da máquina são IAM. As contas de serviço comprometidas são credenciais. Mas os procedimentos de contenção do handbook não abordam nenhum dos dois.
O Gartner enquadra a urgência em termos que poucas outras fontes correspondem: “O ransomware é diferente de qualquer outro incidente de segurança”, afirma a nota de pesquisa. “Isso coloca as organizações afetadas em uma contagem regressiva. Qualquer atraso no processo de tomada de decisão introduz riscos adicionais.” A mesma orientação enfatiza que os custos de recuperação podem ascender a ten vezes o próprio resgate e que o ransomware está a ser implementado no prazo de um dia após o acesso inicial em mais de 50% dos compromissos. O relógio já está a correr, mas os procedimentos de contenção não correspondem à urgência – não quando a classe de credenciais que mais cresce não é abordada.
O défice de preparação é mais profundo do que qualquer inquérito
O relatório da Ivanti rastreia a lacuna de preparação em todas as principais categorias de ameaças: ransomware, phishing, vulnerabilidades de software program, vulnerabilidades relacionadas a APIs, ataques à cadeia de suprimentos e até mesmo criptografia deficiente. Cada um deles aumentou ano após ano.
“Embora os defensores estejam otimistas sobre a promessa da IA na segurança cibernética, as descobertas da Ivanti também mostram que as empresas estão ficando ainda mais para trás em termos de quão bem preparadas estão para se defenderem contra uma variedade de ameaças”, disse Daniel Spicer, Diretor de Segurança da Ivanti. “Isso é o que chamo de ‘déficit de preparação para segurança cibernética’, um desequilíbrio persistente e crescente ano após ano na capacidade de uma organização de defender seus dados, pessoas e redes contra o cenário de ameaças em evolução.”
Pesquisa sobre o estado do ransomware em 2025 da CrowdStrike detalha como é esse déficit por indústria. Entre os fabricantes que se classificaram como “muito bem preparados”, apenas 12% recuperaram em 24 horas e 40% sofreram perturbações operacionais significativas. As organizações do sector público tiveram pior desempenho: recuperação de 12%, apesar de 60% de confiança. Em todos os setores, apenas 38% das organizações que sofreram um ataque de ransomware corrigiram o problema específico que permitiu a entrada dos invasores. O restante investiu em melhorias gerais de segurança sem fechar o ponto de entrada actual.
Cinquenta e quatro por cento das organizações disseram que pagariam ou provavelmente pagariam se fossem atingidas por ransomware hoje, de acordo com o relatório de 2026, apesar da orientação do FBI contra o pagamento. Essa disposição para pagar reflecte uma falta basic de alternativas de contenção, exactamente do tipo que os procedimentos de identificação das máquinas proporcionariam.
Onde os manuais de identidade de máquina são insuficientes
Cinco etapas de contenção definem a maioria dos procedimentos de resposta a ransomware atualmente. Faltam identidades de máquina em cada uma delas.
As redefinições de credenciais não foram projetadas para máquinas
Redefinir a senha de cada funcionário após um incidente é uma prática padrão, mas não impede o movimento lateral através de uma conta de serviço comprometida. O próprio modelo de handbook do Gartner mostra claramente o ponto cego.
A folha de contenção do exemplo do Ransomware Playbook lista três etapas de redefinição de credenciais: forçar o logout de todas as contas de usuários afetadas por meio do Energetic Listing, forçar a alteração de senha em todas as contas de usuários afetadas por meio do Energetic Listing e redefinir a conta do dispositivo por meio do Energetic Listing. Três etapas, todo Energetic Listing, zero credenciais não humanas. Sem contas de serviço, sem chaves de API, sem tokens, sem certificados. As credenciais da máquina precisam de sua própria cadeia de comando.
Ninguém inventaria identidades de máquinas antes de um incidente
Você não pode redefinir credenciais que você não sabe que existem. Contas de serviço, chaves de API e tokens precisam de atribuições de propriedade mapeadas antes do incidente. Descobri-los no meio da violação custa dias.
Apenas 51% das organizações têm uma pontuação de exposição à segurança cibernética, descobriu o relatório da Ivanti, o que significa que quase metade não poderia informar ao conselho a exposição da identidade da sua máquina se perguntada amanhã. Apenas 27% classificam a sua avaliação de exposição ao risco como “excelente”, apesar de 64% investirem na gestão da exposição. A lacuna entre o investimento e a execução é onde as identidades das máquinas desaparecem.
O isolamento da rede não revoga cadeias de confiança
Retirar uma máquina da rede não revoga as chaves de API emitidas para sistemas downstream. A contenção que pára no perímetro da rede pressupõe que a confiança é limitada pela topologia. As identidades das máquinas não respeitam esse limite. Eles autenticam através dele.
A própria nota de pesquisa do Gartner alerta que os adversários podem passar dias ou meses cavando e ganhando movimento lateral nas redes, coletando credenciais de persistência antes de implantar o ransomware. Durante essa fase de escavação, as contas de serviço e os tokens de API são as credenciais coletadas mais facilmente sem acionar alertas. Setenta e seis por cento das organizações estão preocupadas em impedir que o ransomware se espalhe a partir de um host não gerenciado em compartilhamentos de rede de pequenas e médias empresas, de acordo com a CrowdStrike. Os líderes de segurança precisam mapear quais sistemas confiam na identidade de cada máquina para que possam revogar o acesso em toda a cadeia, não apenas no endpoint comprometido.
A lógica de detecção não foi criada para o comportamento da máquina
O comportamento anômalo da identidade da máquina não aciona alertas da mesma forma que uma conta de usuário comprometida. Volumes incomuns de chamadas de API, tokens usados fora das janelas de automação e contas de serviço autenticadas de novos locais exigem regras de detecção que a maioria dos SOCs não escreveu. A pesquisa da CrowdStrike descobriu que 85% das equipes de segurança reconhecem que os métodos tradicionais de detecção não conseguem acompanhar as ameaças modernas. No entanto, apenas 53% implementaram a detecção de ameaças baseada em IA. A lógica de detecção que detectaria o abuso de identidade da máquina quase não existe na maioria dos ambientes.
Contas de serviço obsoletas continuam sendo o ponto de entrada mais fácil
Contas que não são alternadas há anos, algumas criadas por funcionários que saíram há muito tempo, são a superfície mais fraca para ataques baseados em máquinas.
A orientação do Gartner exige autenticação forte para “usuários privilegiados, como administradores de banco de dados e infraestrutura e contas de serviço”, mas essa recomendação está na seção de prevenção, e não no handbook de contenção, onde as equipes precisam dela durante um incidente ativo. As auditorias de contas órfãs e os cronogramas de rotação pertencem à preparação pré-incidente, e não às disputas pós-violação.
A economia torna isso urgente agora
A Agentic AI multiplicará o problema. Oitenta e sete por cento dos profissionais de segurança dizem que a integração da IA agente é uma prioridade, e 77% relatam conforto em permitir que a IA autônoma atue sem supervisão humana, de acordo com o relatório da Ivanti. Mas apenas 55% usam grades de proteção formais. Cada agente autônomo cria novas identidades de máquina, identidades que autenticam, tomam decisões e agem de forma independente. Se as organizações não puderem governar as identidades de máquina que possuem hoje, elas estão prestes a adicionar uma ordem de magnitude a mais.
O Gartner estima os custos totais de recuperação em 10 vezes o próprio resgate. A CrowdStrike estima o custo médio do tempo de inatividade do ransomware em US$ 1,7 milhão por incidente, com organizações do setor público em média US$ 2,5 milhões. Pagar não ajuda. De qualquer forma, 93% das organizações que pagaram tiveram seus dados roubados e 83% foram atacadas novamente. Quase 40% não conseguiram restaurar totalmente os dados dos backups após incidentes de ransomware. A economia do ransomware se profissionalizou a tal ponto que grupos adversários agora criptografam arquivos remotamente em compartilhamentos de rede SMB de sistemas não gerenciados, nunca transferindo o binário do ransomware para um endpoint gerenciado.
Os líderes de segurança que incorporam inventário de identidade de máquinas, regras de detecção e procedimentos de contenção em seus manuais agora não apenas preencherão a lacuna que os invasores estão explorando hoje – eles estarão posicionados para governar as identidades autônomas que chegarão a seguir. O teste é se essas adições sobreviverão ao próximo exercício de mesa. Se eles não resistirem lá, não resistirão em um incidente actual.
