Querer manter um modelo tradicional de monitoramento de tráfego, baseado na análise de pacotes, detecção de anomalias e inspeção de fronteiras, é desperdiçar um tempo precioso das equipes de TI. Isso acontece porque as técnicas avançadas vêm sendo cada vez mais desenvolvidas para evitar a detecção pelos sistemas clássicos, utilizando brechas que permanecem invisíveis às ferramentas de segurança baseadas apenas no tráfego de rede.
De fato, 72% dos respondentes em uma pesquisa global do World Economic Forum 2025, reportaram aumento nos riscos cibernéticos organizacionais, refletindo como as ameaças evoluem para se esconder das defesas tradicionais. Além disso, ataques fileless têm 10 vezes mais chances de sucesso do que ataques tradicionais de malware baseados em arquivos.
Os cibercriminosos deixaram de agir por tentativa e erro. Hoje, eles agem de forma precisa e que não deixa rastros. Utilizam fortemente ataques fileless, exploram ferramentas legítimas do sistema, como PowerShell e WMI, para executar comandos maliciosos sem levantar suspeita, e se movem lateralmente pela rede de forma silenciosa, como se já pertencessem ao ambiente.
Esse tipo de ofensiva é intencionalmente projetado para parecer legítimo, o tráfego não levanta suspeitas, as ferramentas não são desconhecidas e os eventos não seguem padrões comuns de ameaça. Nesse cenário, ainda de acordo com o relatório do World Economic Forum 2025, 66% das organizações acreditam que a inteligência artificial terá o impacto mais significativo na cibersegurança, tanto para defesa quanto para ataques, refletindo uma mudança de paradigma.
Soluções tradicionais, como firewalls, IDS e sistemas de correlação simples, deixam de oferecer a proteção necessária, especialmente porque 47% das organizações citam avanços adversários alimentados por IA generativa como sua principal preocupação. Somado a isso, 54% das grandes organizações apontam vulnerabilidades da cadeia de suprimentos como a maior barreira para a resiliência cibernética, ampliando a complexidade do desafio.
O papel da visibilidade granular
Diante desse cenário, a visibilidade granular surge como requisito fundamental para uma estratégia de cibersegurança eficaz. Trata-se da capacidade de observar, em detalhes, o comportamento de endpoints, usuários, processos, fluxos internos e atividades entre sistemas, de forma contextualizada e contínua.
Essa abordagem demanda o uso de tecnologias mais avançadas, como EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) e NDR (Network Detection and Response). Essas ferramentas coletam telemetria em diversas camadas, da rede ao endpoint, e aplicam análises comportamentais, inteligência artificial e correlação de eventos para detectar ameaças que passariam despercebidas em ambientes monitorados apenas por volume de tráfego.
Técnicas que exploram a invisibilidade
Entre as táticas mais comuns usadas em ataques invisíveis, destacam-se:
- DNS tunneling, encapsulamento de dados em consultas DNS aparentemente normais;
- Esteganografia digital, ocultação de comandos maliciosos em arquivos de imagem, áudio ou vídeo;
Canais criptografados de comando e controle (C2), comunicação segura entre malwares e seus controladores, dificultando a interceptação;
Essas técnicas não apenas burlam sistemas tradicionais, como também exploram falhas na correlação entre camadas de segurança. O tráfego pode parecer limpo, mas a atividade real está oculta por trás de operações legítimas ou padrões cifrados.
Monitoramento inteligente e contextual
Para lidar com esse tipo de ameaça, é essencial que a análise vá além dos indicadores de comprometimento (IoCs), e passe a considerar indicadores de comportamento (IoBs). Isso significa monitorar não só “o que” foi acessado ou transmitido, mas “como”, “quando”, “por quem” e “em que contexto” determinada ação ocorreu.
Além disso, a integração entre diferentes fontes de dados, como logs de autenticação, execuções de comandos, movimentações laterais e chamadas de API, permite detectar desvios sutis e responder a incidentes com mais rapidez e precisão.
O que tudo isso significa
A crescente sofisticação dos ciberataques exige uma reavaliação urgente das práticas de defesa digital. O monitoramento de tráfego ainda é necessário, mas não pode mais ser o único pilar de proteção. A visibilidade granular, com análise contínua, contextual e correlacionada, se torna essencial para detectar e mitigar ameaças invisíveis.
Investir em tecnologia de detecção avançada e em estratégias que considerem o comportamento real dos sistemas é, hoje, a única forma eficaz de enfrentar adversários que sabem como se esconder à vista de todos.
*Ian Ramone, Diretor Comercial da N&DC.
