Análises de 2026 mostram que quase todo incidente relevante do ano nasce de uma identidade abusada. Controlar o acesso privilegiado não basta; é preciso detectar, em tempo real, quando a credencial legítima já está nas mãos erradas.
Quando a onda de extorsão do grupo ShinyHunters expôs dezenas de milhões de registros em maio, repeti para mais de um cliente a mesma frase: o problema raramente foi uma vulnerabilidade exótica de software. Foi uma credencial válida usada por quem não deveria tê-la. Os relatórios de mercado de 2026 convergem nesse ponto incômodo: quase toda violação significativa do ano pode ser rastreada até identidades abusadas, permissões excessivas ou acessos privilegiados mal governados. O atacante moderno não arromba a porta, ele entra com a chave. E quando entra com a chave, a maior parte das defesas tradicionais simplesmente não percebe.
É exatamente essa lacuna que o ITDR (Identity Threat Detection and Response) veio fechar. A lógica é a mesma que o EDR trouxe para o endpoint e o XDR para a telemetria cruzada, agora aplicada ao sinal de identidade: monitorar continuamente o Active Directory, o Entra ID e os provedores de nuvem para detectar autenticação anômala, movimentação lateral e escalonamento de privilégio no instante em que acontecem. No portfólio que atuamos, usamos como referência o SentinelOne Singularity Identity, que protege controladores de domínio on-premises e na nuvem, identifica padrões de acesso suspeitos, integra técnicas de deception para enganar o invasor dentro do próprio AD e aciona remediação automática, desabilitando a conta comprometida e forçando troca de senha antes que o dano se materialize. O diferencial é a correlação: o sinal de identidade conversa com o que o EDR vê no endpoint, numa única console.
Nas investigações forenses e nos processos de recuperação que conduzimos na Gruppen, o padrão se repete com uma constância quase entediante. O acesso inicial vem de uma credencial vazada ou capturada por phishing. O invasor permanece dormente, faz reconhecimento do diretório, encontra uma conta de serviço com privilégio excessivo e se move lateralmente sem disparar um único alerta. Quando a empresa percebe, em geral porque os arquivos já foram cifrados ou os dados publicados, o atacante já circulava no ambiente havia dias ou semanas. Não faltava firewall nem antivírus. Faltava alguém, ou algo, vigiando o comportamento das identidades em tempo real.
Nossos projetos de pentest apontam na mesma direção, e isso deveria preocupar mais gente. Na maioria dos exercícios, não chegamos a administrador de domínio explorando uma falha de dia zero. Chegamos por caminhos de identidade: credenciais reaproveitadas, contas de serviço com senha fraca e privilégio perpétuo, Kerberoasting, permissões herdadas que ninguém revisou. São as mesmas portas que o adversário real usa. Já abordei aqui no Café com Bytes que PAM deixou de ser cofre de senhas e virou plataforma de governança de acesso privilegiado. O ITDR é o complemento natural dessa tese: o PAM controla e limita quem recebe a chave, enquanto o ITDR vigia o que acontece quando a chave, inevitavelmente, cai em mãos erradas. Um previne, o outro detecta e responde. Tratar identidade como perímetro exige os dois, costurados por um SIEM que correlacione os eventos e sob um modelo de Zero Trust que nunca confie por padrão.
A recomendação concreta que deixo é simples: assuma que uma credencial sua já está comprometida e pergunte quanto tempo levaria para você perceber. Se a resposta honesta for “dias”, “semanas” ou “só quando o pedido de resgate chegar”, você tem um problema de visibilidade de identidade, não de muro. Comece mapeando contas privilegiadas com acesso permanente, elimine o que for dormente, e instrumente o ambiente para que comportamento anômalo de identidade vire alerta acionável.
Se um atacante entrasse hoje com uma credencial legítima da sua empresa, quanto tempo ele circularia antes de ser notado? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
Singularity Identity — SentinelOne
Real-time Identity Threat Detection & Response: Singularity Identity (Datasheet) — SentinelOne
Identity Security Trends 2026: 7 Shifts CISOs Must Prepare For — Airitos
PAM Strategy 2026: 8 Steps for Modern Privileged Access — Segura Security
