Recentemente, tive o que pensei ser uma onda cerebral única. Alerta de spoiler: não foi, mas por favor, continue lendo!

Como líder de marketing da ESET Reino Unido, parte do meu papel é comunicar como nossas soluções poderosas e abrangentes podem ser implementadas para proteger as empresas, de uma forma que ajude a esclarecer o caso de atualização para níveis mais altos de cibersegurança. E essa necessidade de clareza é agora mais urgente do que nunca.

Líderes e profissionais de cibersegurança, incluindo o National Cyber Security Centre (NCSC) do Reino Unido, costumam dizer que os ataques cibernéticos não são "uma questão de se, mas de quando". Portanto, talvez não seja exagero descrever cada organização como estando em um "estado pré-violação", ou uma condição em que as ameaças já podem estar presentes, mas permanecem fora do radar.

Isso nos remete ao gato de Schrödinger, o famoso experimento mental em que um gato dentro de uma caixa lacrada está, ao mesmo tempo, vivo e morto até que alguém olhe para dentro. A analogia pode parecer ousada, mas, em cibersegurança, muitas organizações vivem uma situação semelhante: estão comprometidas e não comprometidas ao mesmo tempo até que haja visibilidade. Sem essa observação, simplesmente não há como saber. E, quando a resposta finalmente aparece, o prejuízo pode já ter sido causado.

Aceitar essa realidade exige uma mudança de mentalidade e estratégia. De fato, para as organizações que não dispõem das ferramentas necessárias para a busca interna de ameaças e o monitoramento de comportamentos criminosos, pode-se argumentar que isso, na verdade, representa uma dualidade de estado encontrada na teoria quântica e, portanto, essas organizações estão em uma espécie de "estado de violação quântica".

Não foi nenhuma surpresa descobrir que essa mesma linha de raciocínio já havia ocorrido a outras pessoas, que também recorreram a essa analogia para explicar a nova realidade e estimular as organizações a revisarem suas estratégias de cibersegurança. Do ponto de vista egoísta, talvez haja uma ponta de frustração, mas ela logo se dissipa ao perceber que se trata de um pensamento que claramente ressoou com mais gente.

Mas agora vou fazer uma pequena analogia, na esperança de enfatizar a mensagem principal.

Aleatório e não tão aleatório

O experimento mental original, descrito pela primeira vez pelo físico austríaco Erwin Schrödinger há cerca de 90 anos, baseava-se na probabilidade aleatória de o decaimento radioativo de um elemento emitir uma partícula capaz de acionar um detector. Esse evento desencadearia a liberação de veneno dentro da caixa, levando à morte do gato. Trata-se, portanto, de um processo governado pelo acaso do decaimento quântico. Já no caso da cibersegurança, o momento da “detonação” de um malware dentro de uma organização raramente é aleatório, sendo, na maioria das vezes, cuidadosamente planejado por criminosos.

Acredita-se que o grupo criminoso de língua inglesa conhecido como Scattered Spider, responsável pelo vazamento de dados da Marks and Spencer (M&S), no Reino Unido, tenha se movimentado pelos sistemas da empresa por semanas sem ser detectado. O mesmo grupo também é apontado como autor do ataque à Jaguar Land Rover (JLR), frequentemente citado como um dos casos mais emblemáticos do país e que, segundo estimativas, teria causado um impacto superior a £2 bilhões, o equivalente a cerca de R$ 12 bilhões, à economia britânica, sendo considerado oficialmente o vazamento de dados mais caro da história do Reino Unido.

É razoável supor que estratégias semelhantes tenham sido adotadas, embora ainda não esteja claro por quanto tempo os cibercriminosos permaneceram nos sistemas da JLR. No caso da M&S, os atacantes passaram um longo período “vivendo da terra” (living off the land), até deflagrarem o ataque no início do fim de semana do feriado de Páscoa. Já o ataque contra a JLR ocorreu em 31 de agosto de 2025, às vésperas de uma data crucial para o setor automotivo do Reino Unido, comparável a um “Natal”: o dia do registro de novos veículos, conhecido como “dia da nova placa”, em 1º de setembro.

Aleatório? Acho que não.

Portanto, a analogia da violação quântica não se sustenta. Se eu fosse arriscar um palpite, a data foi cuidadosamente planejada para causar o máximo de interrupção - e funcionou espetacularmente bem para os invasores (e espetacularmente mal para a JLR, é claro).

Neste ponto, vale a pena lembrar algumas estatísticas. De acordo com o Relatório sobre o Custo de uma Vazamentos de Dados 2025 da IBM, o tempo médio global para identificar e conter um vazamento (ou seja, todo o ciclo de vida da violação) é de 241 dias, enquanto o tempo médio para identificar um vazamento é de 181 dias - estamos falando de números grandes de qualquer forma. A realidade incômoda é que muitas organizações sofrem vazamentos muito antes de se darem conta disso. E quanto mais longo for o tempo de permanência, mais prejudicial será a eventual "detonação" do ataque.

Soluções: Bloqueios e/ou SOCs

Se, a esta altura, você já aceitou a “teoria” de que sua organização vive em um estado de pré-violação, é possível começar a pensar em soluções. Uma delas costuma ser reforçar ou atualizar os controles de segurança, em outras palavras, implementar bloqueios mais robustos. Outra abordagem é ir direto ao ponto e adotar ferramentas como EDR ou XDR, combinadas com atividades de caça a ameaças. Esta última opção equivale a “abrir a caixa” e observar o que realmente está acontecendo.

Optar apenas pela primeira alternativa, investir em bloqueios cada vez maiores, não é necessariamente eficaz quando se considera o risco de ameaças internas, engenharia social e outras estratégias amplamente utilizadas por grupos de cibercrime, como o Scattered Spider, responsável pelos vazamentos da JLR e da Marks and Spencer. Independentemente da robustez do bloqueio, o roubo das chaves, ou o fato de elas serem voluntariamente entregues ao clicar em um link malicioso ou ao ser induzido a revelar ou redefinir uma senha, torna esses controles obsoletos.

Então, e quanto aos SOCs?

Para que isso funcione, é claro, primeiro é necessário criar algum tipo de SOC (Security Operations Center ou Centro de Operações de Segurança) e, em seguida, estruturá-lo com analistas de cibersegurança. Esse processo pode levar meses e custar centenas de milhares de reais ou dólares, mesmo no melhor dos cenários. Isso sem considerar a dificuldade de recrutar profissionais qualificados, em razão da amplamente divulgada escassez de talentos em cibersegurança. Diante desse cenário, a alternativa passa a ser “assumir o comando”, ou seja, fazer isso por conta própria.

Essa opção precisa ser considerada com cautela - a habilidade necessária para operar essas ferramentas poderosas não deve ser subestimada e, quando elas forem ativadas, muitas (a maioria/todas) as organizações acharão o grande volume de telemetria, alertas e alarmes tão esmagador que acabarão desativando muitas delas apenas para diminuir o ruído. Portanto, embora o "estado quântico" da violação tenha sido resolvido, ou seja, agora você está observando seus sistemas, isso pode criar uma situação pior e levar a uma falsa sensação de segurança. Agora você acha que está tudo bem, mas pode não estar, porque talvez não tenha as habilidades necessárias para analisar adequadamente o que está sendo observado.

Além disso, aqui na ESET, temos visto um número cada vez maior de apólices de seguro cibernético, compartilhadas por clientes, que insistem na implementação de soluções EDR para se qualificar para a cobertura, o que pode deixar os profissionais de segurança em um verdadeiro dilema. Forçados a usar ferramentas que exigem operadores altamente qualificados, sem a capacidade de usá-las corretamente para que a apólice permaneça aplicável no caso de uma violação (inevitável). Estresse é provavelmente uma das palavras mais usadas pelas equipes de cibersegurança em todo o mundo para descrever seu dia a dia, e não é de se surpreender.

Mas há uma terceira alternativa. Recorrer aos fabricantes que desenvolvem as ferramentas e oferecem serviços especializados para caçar, monitorar e remediar ameaças tem se tornado um caminho cada vez mais adotado por organizações de todos os portes. Os serviços de Detecção e Resposta Gerenciadas (MDR) resolvem esse dilema ao combinar especialistas operando as ferramentas, monitoramento contínuo, busca proativa por ameaças e resposta rápida a incidentes. Na prática, isso reduz a pressão sobre as equipes internas, elimina o “estado de violação quântica” e desarma a bomba cibernética antes que ela cause danos maiores. Além disso, contribui significativamente para o atendimento a requisitos de seguro e conformidade e, mais importante, mitiga o impacto de grupos de APTs e do cibercrime que conseguem permanecer ocultos nos ambientes por longos períodos.

A verificação da realidade

  • Você realmente não sabe se sofreu um vazamento de dados até observar a realidade em seus sistemas. Você sabe se não foi atacado?
  • A menos que você tenha as habilidades necessárias para caçar ameaças e corrigi-las, as ferramentas que você tenta usar por conta própria podem ser contraproducentes e criar mais ruído atrás do qual os cibercriminosos podem se esconder. Você tem as habilidades necessárias?
  • Mesmo que você tenha as habilidades internas para implantar soluções EDR/XDR, o tempo médio para detectar e responder (MTTD e MTTR) será centenas de vezes maior do que um fornecedor terceirizado pode alcançar (ou seja, MTTD da ESET < 1 minuto; MTTR < 6 minutos). Você sabe quais são seus próprios tempos de MTTD e MTTR?
  • É incrivelmente caro criar o SOC necessário e fornecer monitoramento 24 horas por dia, 7 dias por semana, 365 dias por ano - para a maioria das empresas, isso é proibitivo. Você tem tempo (e dinheiro) para criar um SOC e formar uma equipe?
  • Os serviços de MDR, oferecidos por meio de MSPs e MSSPs, podem ser implementados em organizações de qualquer porte, com modelos flexíveis que permitem a ativação a partir de um único assento ou funcionário.

Referências

  • "Schrödinger’s Cat in Cybersecurity: The Paradox of Uncertainty" - compara as vulnerabilidades ao destino do gato, enfatizando o monitoramento proativo. [linkedin.com]
  • "Schrödinger's Breach " - destaca o tempo de permanência e a ilusão de segurança até que se prove o contrário.
  • Cyber Strategy Institute - usa a analogia para explicar a confiança e o risco como estados duplos do tipo quântico. [cyberstrat...titute.com]