Sean Deuby | Tecnólogo Principal, Américas

Os CISOs são constantemente bombardeados com alertas alarmantes sobre a próxima ameaça crítica à infraestrutura da sua organização. E embora esses alertas sejam uma parte importante da inteligência contra ameaças, eles não ajudam você e a sua equipa de segurança a construir uma defesa viável. Você não precisa de mais uma análise alarmista sobre ransomware. Você precisa de informações com as quais possa agir — e de um plano que a sua diretoria apoie.

Ao longo do ano, os especialistas da Semperis realizam estudos intersetoriais para compreender e acompanhar os riscos globais de ransomware, a preparação para ameaças e a resposta a crises. Nesses estudos, encontrará pontos de contacto e insights que podem ajudá-lo a elaborar uma estratégia pragmática para criar não apenas planos de defesa contra ransomware, mas também uma verdadeira resiliência contra ataques dinâmicos e sofisticados de ransomware.


Risco de ransomware: o que observámos em 2025 (e por que isso é importante para 2026)

A partir da pesquisa deste ano, um facto é inconfundível: a maneira mais rápida de transformar um incidente cibernético em uma interrupção nos negócios é através do comprometimento da infraestrutura de identidade, especialmente o Active Directory (AD) e o Entra ID.

O nosso Relatório de Risco de Ransomware 2025 revela que 83% dos ataques de ransomware bem-sucedidos comprometeram a infraestrutura de identidade; no entanto, muitas organizações não possuem um plano de recuperação de AD testado e, mais ainda, não possuem recursos de backup específicos para AD.

Figura 1: Estudos da Semperis mostram que a infraestrutura de identidade é o alvo principal do ransomware, mas nem sempre é considerada no planejamento de recuperação.

Por que isso é um problema crítico? Porque a recuperação do Active Directory é complexa, confusa e extremamente demorada. 76% das vítimas de ransomware precisaram de muito mais do que um dia — e muitas até um mês — para retornar às operações normais.

Figura 2: Os participantes do estudo relataram um tempo prolongado necessário para retornar às operações normais após um ataque de ransomware.

Além disso, os agentes maliciosos — sempre oportunistas — programam as suas campanhas para momentos em que as empresas estão distraídas. No nosso Relatório de riscos de ransomware em feriados de 2025, os inquiridos relataram que 52% dos ataques de ransomware ocorreram num fim de semana ou feriado e 60% ocorreram após eventos corporativos importantes, como fusões e aquisições.

Entretanto, embora a maioria das empresas dos inquiridos mantenha um centro de operações de segurança (SOC), 78% delas reduzem o pessoal do SOC em mais de 50% durante os fins de semana e feriados — e 6% relatam que não há cobertura do SOC durante esses períodos.

Essa é uma lacuna de cobertura que pode ser preenchida.

Figura 3: Seja uma equipa reduzida durante as férias, fusões e aquisições ou uma oferta pública inicial, os ciberataques estão à espera que você relaxe a vigilância.

Para um CISO que combate ransomware em 2026, a resiliência cibernética eficaz requer não apenas defesas robustas contra ransomware, mas também um plano de resposta a crises que permita uma recuperação rápida para um estado confiável.


A armadilha do «temos um plano»

A maioria das empresas pode afirmar: «Temos um plano para crises cibernéticas». No nosso estudo sobre O estado da preparação para crises cibernéticas nas empresas, 96% das organizações afirmam ter um.

No entanto, 71% ainda sofreram pelo menos um incidente cibernético que interrompeu funções críticas dos negócios, e 90% ativaram equipas de crise nos últimos 12 meses.

A lacuna não é intencional, é execução: 90% das equipas relataram sérios obstáculos à resposta eficaz a incidentes cibernéticos.

Figura 4: Sistemas, comunicações e ferramentas fragmentados impedem a coordenação eficaz da resposta a incidentes.

A solução é centralização, coordenação — e muita prática.


A sua equipa de segurança deve estar equipada com recursos robustos de defesa e monitorização. Além disso, deve estar confiante no seu processo de recuperação de identidade. Ter um centro de comando fora da banda (como o Ready1 ), onde o seu pessoal, processo e tecnologia estão unificados, permite não só planear a sua resposta a incidentes, mas também treinar para isso.

Sem o envolvimento contínuo de profissionais experientes na resposta a incidentes, as equipas constroem frequentemente os seus planos com base em suposições e não em ameaças e tendências do mundo real. Essa lacuna torna-se dolorosamente óbvia durante um incidente real.

Jeff Wichman, Diretor de Resposta a Incidentes, Semperis

Por que o risco de recuperação de identidade deve estar no seu primeiro slide para a diretoria

Muitas vezes, as organizações concentram-se na proteção de dados e em backups, excluindo o planeamento de recuperação. Medidas defensivas são essenciais, sem dúvida, e podem reduzir a probabilidade de um ataque bem-sucedido de ransomware. Mas a defesa é apenas parte da equação. A identidade é o primeiro vetor de ataque e a primeira coisa que deve ser restaurada.

Vamos traduzir isso em termos comerciais. Todos os sistemas da sua empresa dependem da infraestrutura de identidade, desde aplicações até operações, pessoas, sistemas, serviços e recursos corporativos — em ambientes locais e na nuvem.

Se o sistema de identidade falhar, tudo o que depende dele falhará. Isso significa que a perda do sistema de identidade é um risco elevado para a empresa — e a recuperação do sistema de identidade é priorizada no plano de resposta a crises da empresa.


A recuperação com integridade — devolver o AD e o Entra ID a um estado confiável — é a pré-condição para restaurar rapidamente as aplicações, o acesso e as operações de receita.


A métrica a ser levada para 2026: tempo para limpar a recuperação da identidade do estado e a redução associada no tempo de inatividade.


Resiliência de identidade: melhorando a postura de segurança e a recuperação

Provavelmente adotou a deteção e resposta a ameaças de identidade (ITDR) em princípio. Mas as lacunas na execução são onde os invasores se aproveitam. Muitas organizações carecem de planos executáveis de recuperação de identidade e de um acompanhamento consistente das correções. Apenas:

  • 66% afirmam ter um plano de recuperação de AD
  • 55% têm um plano de recuperação de identificação Entra
  • 63% automatizam a recuperação do sistema de identidade
  • 45% têm procedimentos para remediar vulnerabilidades de identidade

Esses números são uma dádiva para qualquer adversário.

No que diz respeito à postura de segurança de identidade, o Purple Knight mostra por que razão as configurações incorretas persistem. A pontuação média inicial de segurança relatada em 2025 foi de 61 em 100 — uma nota quase reprobatória. Isso não é apenas um risco cibernético — é um risco à missão.

A boa notícia: as equipas que aplicaram as orientações de correção da ferramenta melhoraram em média 21 pontos, com melhorias máximas de 61 pontos — prova de que é possível mostrar um progresso mensurável trimestre após trimestre.


O que mudar para 2026: medidas pragmáticas e prontas para serem aprovadas pelo conselho

Não precisa de 30 prioridades. Precisa das cinco certas.

  • Reduza a sua superfície de ataque de identidade. Apesar de todo o alarido, a maioria dos atacantes usa um pequeno número de técnicas comprovadas para comprometer os sistemas de identidade e, portanto, limpá-los pode reduzir significativamente a sua exposição. Estabeleça uma cadência para detectar e remediar indicadores de exposição e comprometimento (IOEs e IOCs) em AD híbrido usando orientações priorizadas. Purple Knight mostram melhorias credíveis e reportáveis que os conselhos de administração compreendem.
  • Faça da recuperação da identidade em estado limpo a sua âncora de RTO. Documente, automatize e teste a recuperação do AD e do Entra ID para um estado confiável , não apenas para um estado operacional. Acompanhe o seu objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO) para identidade como métricas de negócios de primeira ordem; vincule-os diretamente ao tempo de inatividade evitado.
  • Mantenha-se alerta durante momentos de distração. Trate fins de semana, feriados e eventos corporativos importantes como períodos de risco elevado. Os dados indicam que os invasores já estão presentes durante esses momentos de menor cobertura. Pré-autorize limites de decisão, defina escalas de plantão e tenha comunicações fora da banda prontas.
  • Atualize os seus exercícios simulados. Envolva as equipas jurídicas, financeiras, de continuidade de negócios e de recuperação de desastres, pois elas serão fundamentais quando a situação for real. Lembre-se de que as equipas de crise foram ativadas em 90% das organizações no ano passado. Pratique como se fosse uma certeza, não uma possibilidade.
  • Transição do caos para o controlo. Os planos falham sob pressão quando as comunicações se fragmentam e as ferramentas se multiplicam — daí a lacuna na execução, mesmo entre organizações que «têm um plano». Centralize a coordenação da crise e a recolha de evidências. E estabeleça funções e responsabilidades claras.

Como colocar a pesquisa sobre ransomware em prática (neste trimestre)

Se você deseja obter tração imediata com a sua equipa de liderança:

  • Partilhe os gráficos executivos do Relatório de Risco de Ransomware 2025— especialmente os slides sobre comprometimento de identidade e tempo de recuperação — e fixe os compromissos de RTO e RPO de identidade.
  • Use o Relatório de Risco de Feriados contra Ransomware para definir uma cobertura temporária contra picos para a próxima onda de fins de semana e feriados e para reforçar a governança em torno de fusões e aquisições, IPOs e demissões.
  • Solicite uma análise rápida da postura de identidade com Purple Knight; mostre a sua pontuação atual e o plano de melhoria com datas e responsáveis. É uma maneira simples e credível de demonstrar impulso e ROI.
  • Atualize os seus exercícios de simulação de crise para incluir as partes interessadas não técnicas que realmente determinam a velocidade das decisões e a confiança regulatória. A comunicação entre equipas é um dos principais obstáculos; comece por identificar uma plataforma abrangente e fora da banda para gestão de crises, como o Ready1.

Mantenha-o humano — e mensurável

Sim, observámos melhorias modestas no sucesso dos ataques de ransomware este ano. Mas as verdades duradouras permanecem: o comprometimento da infraestrutura de identidade é o caminho mais rápido para um impacto significativo nos negócios, e a integridade da recuperação é o gargalo que determina a duração da sua interrupção.

O ponto central para 2026 não é mais de tudo; é um foco preciso na resiliência da identidade e nos momentos importantes em que os adversários continuam a vencer.

Você já lidera na linha de frente. As equipas que você protege fazem o seu melhor trabalho quando o caminho está claro e as métricas são honestas. Em 2026, isso significa: menos janelas de surpresa, menos backdoors de identidade, recuperação mais rápida do estado limpo e comunicações mais confiantes quando a pressão aumenta.

Essa é a resiliência que o seu conselho sentirá — e a sua empresa lucrará.


Recursos para partilhar com a sua equipa de liderança