O Relatório Global de Resposta a Incidentes da Unit 42 de 2026, publicado pela Palo Alto Networks com base em mais de 750 investigações conduzidas ao longo de 2025, revela uma aceleração sem precedentes nos ciberataques empresariais. O dado mais perturbador: os ataques mais rápidos já roubam dados em 72 minutos, quatro vezes mais depressa do que em 2024, quando o mesmo limiar era de 285 minutos. Para as equipas de segurança, a janela de resposta encolheu para menos de duas horas. Em mais de 90% dos incidentes documentados, a causa raiz foi uma lacuna de exposição evitável, não uma técnica de ataque sofisticada.
Os Quatro Pilares do Relatório Unit 42 2026
A Unit 42, a divisão de investigação e resposta a incidentes da Palo Alto Networks, identificou quatro forças convergentes que definem o panorama de ameaças em 2026: a inteligência artificial como multiplicador de força para os atacantes, a identidade como principal superfície de ataque, o risco da cadeia de abastecimento de software em expansão, e a adaptação tática dos atores ligados a estados-nação. Cada pilar é suportado por dados empíricos extraídos das mais de 750 intervenções de resposta a incidentes, abrangendo todas as grandes indústrias e mais de 50 países.
Em 87% dos incidentes analisados, os atacantes operaram em múltiplas superfícies de ataque em simultâneo, combinando endpoints, redes, infraestrutura cloud, aplicações SaaS e camadas de identidade. Quase metade dos casos, exactamente 48%, envolveu atividade com origem no navegador, reflectindo como os ataques intersectam cada vez mais os fluxos de trabalho quotidianos dos utilizadores. Esta fragmentação da superfície de ataque representa o principal desafio operacional para os centros de operações de segurança (SOC) modernos, obrigados a monitorizar múltiplos planos em simultâneo sem perder coerência na correlação de alertas.
Wendi Whitmore, Vice-Presidente Sénior e Responsável da Unit 42 na Palo Alto Networks, sintetizou a situação na apresentação pública do relatório: “Os nossos adversários fazem exatamente o que nós fazemos: recorrer à IA para automatizar partes do ataque. Nos casos mais rápidos, os atacantes já exfiltram dados em menos de uma hora.” A frase captura a natureza do problema central: a IA não é apenas uma ferramenta defensiva, mas um recurso que os atacantes adotaram operacionalmente antes de muitas organizações terem terminado as suas próprias avaliações de risco associadas à tecnologia.
Velocidade de Exfiltração: De 285 para 72 Minutos em Um Ano
A métrica mais citada do relatório é o tempo de exfiltração: o intervalo entre o comprometimento inicial e o roubo confirmado de dados. Em 2025, o quartil mais rápido de intrusões atingiu a exfiltração em 72 minutos, contra 285 minutos no ano anterior. Esta redução de 75% num único ano reflecte a automação crescente do ciclo de ataque, em grande parte impulsionada por ferramentas de IA integradas nas operações de grupos criminosos e estatais.
A aceleração não se limita aos ataques mais rápidos. A proporção de incidentes que atingem exfiltração em menos de uma hora subiu de 19% em 2024 para 22% em 2025. Numa simulação interna, analistas da Unit 42 usaram ferramentas de IA para reproduzir um ataque real e reduziram o tempo de exfiltração para 25 minutos, ilustrando o potencial ainda não totalmente explorado por grupos mais avançados. O tempo mediano de exfiltração, calculado sobre o conjunto total de incidentes, ficou nos dois dias, mas este valor médio mascara a cauda crítica de ataques extremamente rápidos que comprometem organizações inteiras antes de qualquer alerta chegar a um analista disponível.
Para o contexto europeu, incluindo Portugal, esta aceleração tem implicações directas para os planos de resposta a incidentes. Os SLA de resposta definidos ao abrigo do Regulamento DORA para o setor financeiro, ou da Directiva NIS2 para infraestruturas críticas, pressupõem janelas de deteção e contenção que a velocidade actual dos ataques torna obsoletas em muitos cenários práticos. Um ataque que completa a exfiltração em 72 minutos ultrapassa os tempos médios de deteção da maioria das organizações europeias de média dimensão, estimados pela indústria em várias horas para o primeiro alerta validado.
IA como Multiplicador de Força: O Ciclo de Ataque Comprimido
O relatório documenta a transição dos grupos de ameaça de uma fase experimental para uma fase operacional no uso de IA. Em 2025, os atacantes deixaram de testar ferramentas de IA para as integrar em fluxos de trabalho padrão. As principais aplicações observadas incluem: automação do reconhecimento de alvos nos minutos seguintes à divulgação pública de CVEs, paralelização de campanhas de reconhecimento contra centenas de alvos em simultâneo, personalização em escala de ataques de phishing, e automatização das operações de ransomware, incluindo fases de negociação e extorsão.
O relatório afirma directamente: “A IA tornou-se um multiplicador de força para os agentes de ameaça. Comprime o ciclo de ataque, do acesso ao impacto, introduzindo ao mesmo tempo novos vetores.” Esta compressão é quantificável: a velocidade de exfiltração dos ataques mais rápidos quadruplicou em 2025 face a 2024. A IA permite ainda que grupos com menor capacidade técnica conduzam operações que anteriormente exigiam equipas de especialistas, democratizando o acesso a técnicas de ataque avançadas e baixando substancialmente o custo de entrada para atores menos sofisticados mas financeiramente motivados.
Para as organizações, a resposta não pode continuar a depender de processos manuais. O relatório recomenda que os SOC adoptem automação de resposta capaz de funcionar à velocidade das máquinas, não dos humanos. Processos que hoje demoram horas de análise humana precisam de ser comprimidos para minutos de resposta automática, ou os atacantes completarão a missão antes de qualquer alerta chegar a um analista disponível. A automação de contenção, como isolamento automático de endpoint ou revogação de token ao primeiro sinal de comprometimento, deixa de ser uma funcionalidade avançada para passar a ser um pré-requisito operacional básico.
Identidade: O Novo Perímetro e o Principal Vetor de Entrada
A segunda grande conclusão do relatório é a centralidade da identidade como superfície de ataque. Em quase 90% das investigações da Unit 42, foram encontradas fragilidades de identidade com papel material no incidente. O relatório é explícito: “A identidade tornou-se o caminho mais fiável para o sucesso do atacante. Os atacantes acedem cada vez mais usando credenciais e tokens roubados, explorando estates de identidade fragmentados para escalar privilégios e mover-se lateralmente.”
Os dados de acesso inicial reforçam esta conclusão: 65% dos acessos iniciais documentados são baseados em identidade, com atacantes a usar credenciais comprometidas, bypass de autenticação multifactor (MFA) e configurações incorretas de IAM (Identity and Access Management) para ganhar entrada. O phishing e a exploração de vulnerabilidades partilham o segundo lugar, com 22% cada como vetores de acesso inicial. Esta mudança de paradigma, da exploração técnica para o uso indevido de identidade, exige uma resposta diferente das organizações: menos foco em firewalls de perímetro, mais foco em gestão de identidade, autenticação forte e monitorização de comportamento.
O modelo de perímetro de rede, já considerado obsoleto antes de 2020, torna-se ainda menos relevante quando o atacante simplesmente “entra” com credenciais válidas e gera tráfego que parece normal para todos os sistemas de monitorização que não analisam comportamento. A implementação de MFA resistente a phishing, a eliminação de privilégios administrativos permanentes e a monitorização contínua de identidades, tanto humanas como de máquina, são as prioridades operacionais identificadas pelo relatório para 2026.
Cadeia de Abastecimento de Software: O Risco das Integrações SaaS
O terceiro pilar do relatório aborda a expansão do risco na cadeia de abastecimento de software. A conclusão é que o problema já não se limita a código vulnerável em bibliotecas open-source. Segundo o relatório: “O risco da cadeia de abastecimento de software expandiu-se para além do código vulnerável para o uso indevido de conectividade de confiança. Os atacantes exploram integrações de SaaS, ferramentas de fornecedores e dependências de aplicações para contornar perímetros à escala.”
Na prática, isto significa que a confiança implícita concedida a integrações de terceiros, ferramentas de fornecedores com acesso privilegiado, e dependências transitivas de software open-source criou caminhos de ataque que os modelos de segurança tradicionais não contemplam. Um atacante que comprometa um fornecedor de software de gestão com acesso a dezenas de clientes empresariais pode mover-se de organização em organização usando esses acessos legítimos, sem precisar de explorar qualquer vulnerabilidade técnica nas redes das vítimas directas. O ataque à cadeia de abastecimento é, por definição, um ataque à confiança estabelecida.
Esta tendência é especialmente relevante para o mercado europeu após a entrada em vigor do Cyber Resilience Act, que estabelece requisitos de segurança para produtos digitais comercializados na UE. O CRA foca-se principalmente em fabricantes de hardware e software, deixando zonas cinzentas em relação a integrações SaaS e fluxos de dados entre plataformas. O relatório da Unit 42 sugere que os atacantes estão activamente a explorar estas zonas cinzentas regulatórias, onde a responsabilidade de segurança é difusa e a monitorização é frequentemente inexistente nas organizações mais pequenas.
Atores Estatais: Infiltração por Persona Sintética e IA Ofensiva
O quarto pilar do relatório documenta a evolução tática dos atores ligados a estados-nação. A Unit 42 observou que estes grupos estão a transitar para técnicas de maior furtividade e persistência, abandonando ataques destrutivos e visíveis em favor de comprometimentos silenciosos de longo prazo. O relatório regista “primeiros sinais de ferramentas de IA usadas para reforçar estas posições”, indicando que os estados mais avançados estão a integrar IA nas suas operações ofensivas de forma estruturada e rotineira.
Uma técnica documentada é a infiltração por persona: a criação de identidades sintéticas ou o uso de identidades comprometidas reais para infiltrar organizações-alvo como funcionários ou contratantes legítimos. Grupos ligados à Coreia do Norte têm sido associados a operações em que agentes se candidatam a posições técnicas em empresas de tecnologia ocidentais, com o objetivo de instalar acesso persistente ou exfiltrar propriedade intelectual de alto valor. O padrão de comprometimento de camadas de virtualização e infraestrutura de base permite a estes atores manter acesso mesmo após remediação de incidentes visíveis, criando persistência extremamente difícil de erradicar com métodos convencionais de resposta a incidentes.
A China foi identificada como actora na exploração de vulnerabilidades críticas em software empresarial amplamente utilizado, incluindo o caso documentado da exploração de falhas no Microsoft SharePoint em julho de 2025, que afectou agências governamentais dos EUA e empresas internacionais. Para Portugal, membro da NATO com infraestruturas críticas partilhadas com aliados, este vetor de ameaça estatal não é académico: é operacionalmente relevante, como foi explicitamente reconhecido no alerta do SIS sobre ataques a plataformas de comunicação de oficiais portugueses no início de 2026.
Tabela 1: Métricas-Chave de Ataque, 2024 vs 2025
| Métrica | 2024 | 2025 | Variação |
|---|---|---|---|
| Tempo de exfiltração (quartil mais rápido) | 285 minutos | 72 minutos | -75% |
| Tempo de exfiltração (simulação com IA) | N/D | 25 minutos | Novo registo |
| Tempo mediano de exfiltração | N/D | 2 dias | Referência |
| Incidentes com exfiltração em menos de 1 hora | 19% | 22% | +3 p.p. |
| Pedido mediano de resgate | $1,25 milhões | $1,5 milhões | +20% |
| Pagamento mediano de resgate | $267.500 | $500.000 | +87% |
| Casos de extorsão com encriptação | Acima de 90% | 78% | -12 p.p. |
Fonte: Palo Alto Networks Unit 42 Global Incident Response Report 2026
Tabela 2: Vetores de Ataque e Superfícies Comprometidas
| Vetor ou Superfície | Frequência | Observação |
|---|---|---|
| Fragilidades de identidade (qualquer papel) | ~90% das investigações | Fator material em quase todos os casos |
| Acesso inicial baseado em identidade | 65% | Credenciais roubadas, bypass MFA, IAM incorreto |
| Phishing como vetor de acesso inicial | 22% | Empatado com exploração de vulnerabilidades |
| Exploração de vulnerabilidades | 22% | Automação por IA acelera weaponization de CVEs |
| Intrusões em múltiplas superfícies | 87% | Endpoint, cloud, SaaS e identidade combinados |
| Atividade com origem no navegador | 48% | Browser como nova linha da frente empresarial |
| Roubo de dados em casos de extorsão | Mais de 50% | Mantido consistentemente ano após ano |
Fonte: Relatório Unit 42 2026, via KBI Media
Ransomware em 2025: Encriptação Já Não é Obrigatória
Uma das mudanças mais significativas documentadas no relatório é a redução do uso de encriptação em ataques de extorsão. Em 2025, a encriptação esteve presente em 78% dos casos de extorsão, contra mais de 90% em anos anteriores. Esta queda reflecte uma realidade operacional que os grupos de ransomware descobriram progressivamente: a ameaça de publicação de dados roubados é frequentemente mais eficaz, e mais lucrativa, do que encriptar sistemas inteiros.
A extorsão baseada exclusivamente em roubo de dados é mais rápida de executar e menos sujeita a disrução por ferramentas de decriptação gratuitas disponibilizadas por autoridades policiais e investigadores de segurança. Para organizações com backups robustos que minimizam o impacto operacional da encriptação, a ameaça de publicação pública de dados de clientes, registos de saúde ou informação financeira continua a ser um incentivo poderoso ao pagamento de resgate. Esta evolução do modelo de negócio dos grupos de ransomware está detalhada no artigo sobre ransomware sem encriptação, que analisa os padrões específicos observados em 2026.
O relatório da Unit 42 apela explicitamente a que os defensores assumam que os atacantes tratam a encriptação como opcional. Esta mudança de pressupostos afecta directamente como as organizações devem estruturar as suas defesas: backups robustos continuam a ser necessários para o componente de encriptação, mas o problema da exfiltração de dados requer controlos adicionais de segmentação de rede, monitorização de movimentação de dados e prevenção de perda de dados (DLP) que muitas organizações europeias ainda não implementaram de forma abrangente.
Resgates a $1,5 Milhões: O Custo Financeiro em 2025
Os dados financeiros do relatório pintam um quadro de escalada consistente. O pedido mediano de resgate subiu de $1,25 milhões em 2024 para $1,5 milhões em 2025. O pagamento mediano efectivo mais do que duplicou, passando de $267.500 em 2024 para $500.000 em 2025. Esta divergência entre pedidos e pagamentos reflecte uma estratégia de negociação bem estabelecida: os grupos pedem valores elevados, mas aceitam montantes inferiores quando as vítimas negociam activamente. A análise detalhada desta dinâmica de extorsão está no artigo sobre extorsão de dados e resgates medianos em 2026.
O roubo de dados foi registado em mais de metade dos casos de extorsão, confirmando que a exfiltração como alavanca de negociação é agora o padrão do sector, não a excepção. Os sectores mais visados continuam a ser os que combinam dados sensíveis com menor maturidade de segurança: saúde, educação, serviços jurídicos e administração local. Para o mercado português, onde vários municípios e hospitais sofreram ataques de ransomware nos últimos três anos com pagamentos ou custos de remediação significativos, estes dados representam um aviso claro sobre o nível de risco sistémico da infraestrutura pública nacional.
90% das Violações São Evitáveis: O Argumento da Exposição Evitável
Uma das conclusões mais importantes, e mais incómodas, do relatório é que mais de 90% das violações documentadas foram permitidas por lacunas de exposição evitáveis, não por técnicas de ataque avançadas e difíceis de controlar. A maioria dos incidentes graves poderia ter sido prevenida com controlos de segurança fundamentais devidamente implementados: MFA robusto, gestão de patches actualizada, configuração correcta de IAM, e monitorização de telemetria consolidada.
Esta conclusão tem implicações orçamentais directas para gestores de segurança que argumentam não ter recursos para investir em capacidades avançadas. O problema, segundo os dados da Unit 42, não é a falta de ferramentas sofisticadas: é a implementação deficiente de controlos fundamentais que existem, são bem compreendidos, e estão disponíveis a custo razoável. A Unit 42 recomenda que as organizações priorizem a redução da superfície de exposição antes de investir em capacidades de deteção e resposta mais complexas e onerosas.
Para Portugal e o mercado europeu, onde o Fórum Económico Mundial registou no seu Relatório Global de Cibersegurança 2026 que 64% das organizações globais já incorporam a geopolítica nos seus planos de gestão de risco cibernético, o contexto é de consciencialização crescente mas execução ainda insuficiente. Os dados da Unit 42 sugerem que o intervalo entre a consciencialização do risco e a implementação efectiva dos controlos básicos é, precisamente, o espaço onde os atacantes prosperam e onde os incidentes mais custosos acontecem com maior frequência.
Recomendações da Unit 42: Seis Prioridades Operacionais para 2026
O relatório estrutura as recomendações em três camadas: reduzir a exposição, limitar o impacto e responder à velocidade das máquinas. Segundo o sumário do RH-ISAC ao relatório, as seis prioridades operacionais identificadas são as seguintes.
- MFA resistente a phishing: eliminar autenticação baseada em SMS ou TOTP como único factor para contas privilegiadas e adoptar chaves de segurança hardware ou passkeys que não possam ser interceptadas por ataques de phishing sofisticados.
- Eliminação de privilégios permanentes: substituir contas administrativas com acesso contínuo por acesso just-in-time, reduzindo a janela de oportunidade para escalada de privilégios e movimentação lateral após comprometimento inicial.
- Monitorização contínua de identidades humanas e de máquina: incluir service accounts, tokens de API e certificados na monitorização de comportamento anómalo, não apenas contas de utilizadores humanos que normalmente recebem mais atenção.
- Consolidação de telemetria: agregar dados de endpoint, cloud, SaaS e rede numa plataforma única para correlação em tempo real, eliminando os pontos cegos que existem entre ferramentas de segurança isoladas que não comunicam entre si.
- Automatização de contenção: implementar playbooks de resposta automática para isolamento de endpoint, revogação de token e bloqueio de conta sem dependência de validação humana para cada acção individual de contenção.
- Inventário de integrações de terceiros: mapear todas as integrações SaaS e dependências de fornecedores com acesso privilegiado e rever periodicamente se esse acesso continua justificado e devidamente monitorizado.
Comparação com o DBIR 2026: Dois Relatórios, Uma Conclusão
O DBIR 2026 da Verizon, que documentou que 31% das fugas de dados resultaram de exploração de vulnerabilidades, partilha com o relatório da Unit 42 uma conclusão estrutural: os atacantes estão mais rápidos e exploram menos técnicas novas, preferindo reutilizar vectores conhecidos que não foram remediados pelas organizações visadas. A diferença metodológica é relevante: o DBIR analisa uma amostra mais alargada de incidentes reportados a autoridades, incluindo muitos de menor gravidade e impacto, enquanto a Unit 42 foca-se nas suas próprias intervenções de resposta a incidentes, que tendem a ser casos de maior complexidade.
Ambos os relatórios convergem na mensagem sobre identidade: o DBIR reportou que o uso de credenciais comprometidas foi o vector de acesso mais comum nos incidentes analisados, enquanto a Unit 42 documenta que 65% do acesso inicial foi baseado em identidade no conjunto das suas investigações. A consistência entre duas metodologias independentes, com amostras diferentes e equipas diferentes, reforça a credibilidade da conclusão: a identidade é o campo de batalha central da cibersegurança empresarial em 2025 e 2026, e as organizações que não priorizam a sua gestão estão a deixar a porta principal aberta.
Impacto para o Mercado Europeu e Portugal
Para Portugal e o mercado europeu mais amplo, o relatório chega num momento de pressão regulatória crescente. O NIS2, em vigor desde outubro de 2024, exige que organizações em sectores críticos reportem incidentes significativos em 24 horas e implementem planos de gestão de risco cibernético documentados. O DORA, aplicável ao sector financeiro desde janeiro de 2025, estabelece requisitos de teste de resiliência operacional. O Cyber Resilience Act começa a ter impacto progressivo nos fabricantes de produtos digitais comercializados na UE.
Neste contexto regulatório, os dados da Unit 42 são ao mesmo tempo uma referência de benchmarking e um sinal de alarme. Uma organização que leva mais de 72 minutos a detetar e conter um incidente pode já ter perdido dados antes de iniciar qualquer processo de resposta formalizado. Os requisitos de reporte do NIS2, com janelas de 24 horas para notificação inicial, tornam-se operacionalmente relevantes apenas se a organização tiver detetado o incidente dentro desse prazo. Um ataque que completa a exfiltração na primeira hora pode já ter causado dano significativo e irreversível antes de qualquer notificação regulatória ser sequer considerada.
Cinco Previsões para o Segundo Semestre de 2026
Com base nos dados do relatório e nas tendências observadas no primeiro semestre de 2026, é possível avançar com previsões fundamentadas para os próximos meses.
- O tempo de exfiltração continuará a cair, com grupos avançados a atingir menos de 45 minutos. Se a tendência entre 2024 e 2025 continuar, grupos bem equipados com IA atingirão exfiltração em menos de 45 minutos como norma no segundo semestre de 2026, tornando deteção pré-exfiltração ainda mais rara para organizações sem automação de resposta activa.
- Extorsão sem encriptação ultrapassará 30% dos casos documentados. A queda de acima de 90% para 78% em encriptação é uma tendência em aceleração. A extorsão baseada puramente em roubo de dados é operacionalmente mais simples e financeiramente comparável ao modelo tradicional, atraindo mais grupos para este modelo mais eficiente.
- Identidades de máquina tornar-se-ão o alvo preferencial em substituição das contas humanas. Com MFA humano a ganhar adoção progressiva nas organizações mais maduras, os atacantes focarão crescentemente nas service accounts, tokens de API e certificados, onde a monitorização de comportamento anómalo é ainda imatura na maioria das organizações europeias de média dimensão.
- A regulação europeia forçará mais investimento em plataformas SIEM e SOAR nos próximos 18 meses. Os requisitos de reporte do NIS2 e DORA criarão pressão regulatória para investimento em deteção e resposta que permita reconstruir timelines de incidentes com detalhe forense suficiente para satisfazer as exigências das autoridades de supervisão.
- Ataques a integrações SaaS e fluxos de trabalho de IA empresarial aumentarão de forma significativa. Com o crescimento rápido das plataformas SaaS e dos agentes de IA integrados em processos empresariais, e com a atenção de segurança ainda focada em endpoints e redes, os atacantes explorarão a confiança implícita entre plataformas como vetor de movimentação lateral não monitorizada.
Leituras Relacionadas
Cobertura Relacionada em Shattered.io
- DBIR 2026: 31% das Fugas de Dados por Vulnerabilidades
- Ransomware Sem Encriptação: 44% das Falhas em 2026
- Extorsão de Dados: Resgate Médio de $1,5M em 2026
- Cyber Resilience Act: Coima de €15M e Prazo de 11 de Setembro
- Hackers Russos Atacam WhatsApp e Signal: SIS Alerta Oficiais
Perguntas Frequentes
O que é o Relatório Unit 42 2026?
O Relatório Global de Resposta a Incidentes da Unit 42 2026 é um documento anual da Palo Alto Networks baseado em mais de 750 investigações de ciberataques reais conduzidas em 2025. Analisa tendências de ataque, vetores de acesso inicial, velocidade de exfiltração de dados, comportamento de grupos de ransomware e táticas de atores estatais, com recomendações operacionais para equipas de segurança empresarial.
Porque é que os ataques estão quatro vezes mais rápidos em 2025?
A principal razão é a adopção operacional de IA pelos grupos de ataque. As ferramentas de IA permitem automatizar reconhecimento, personalização de phishing, escalada de privilégios e exfiltração de dados de forma muito mais rápida do que operações manuais conduzidas por humanos. O relatório documenta que os grupos criminosos transitaram de experimentação para uso operacional rotineiro de IA durante 2025, comprimindo o ciclo de ataque de horas para minutos nos casos mais rápidos.
O que significa “acesso baseado em identidade” em 65% dos casos?
Significa que o atacante não explora uma vulnerabilidade técnica para entrar nos sistemas, mas usa credenciais válidas roubadas ou obtidas por phishing para aceder como se fosse um utilizador legítimo. Este método é mais difícil de detectar do que uma exploração técnica, porque gera menos alertas e o tráfego parece normal para sistemas de monitorização que não analisam comportamento. Por isso, a gestão de identidade e o MFA robusto são agora as prioridades máximas de defesa segundo o relatório.
O que é extorsão sem encriptação e porque está a crescer?
É um modelo de ransomware em que os atacantes roubam dados mas não encriptam os sistemas da vítima. A ameaça é a publicação dos dados roubados se o resgate não for pago. Esta abordagem é mais rápida de executar, imune a ferramentas de decriptação gratuitas disponibilizadas por autoridades, e não pode ser contrariada por backups de dados. Está a crescer porque é operacionalmente mais simples e financeiramente comparável ao modelo tradicional com encriptação de sistemas.
Como devem as organizações em Portugal responder a estes dados?
A Unit 42 recomenda seis medidas prioritárias: implementar MFA resistente a phishing para contas privilegiadas; eliminar acessos administrativos permanentes; monitorizar identidades de máquina como tokens e service accounts; consolidar telemetria de segurança numa plataforma única; automatizar respostas de contenção básicas sem depender de aprovação humana para cada acção; e auditar regularmente todas as integrações de terceiros com acesso aos sistemas da organização.
Qual a diferença entre o DBIR da Verizon e o relatório da Unit 42?
O DBIR analisa uma amostra mais alargada de incidentes reportados a autoridades (tipicamente acima de 10.000 casos), com foco em violações de dados confirmadas e comunicadas, incluindo muitos casos de menor complexidade. O relatório da Unit 42 baseia-se nas 750 investigações de resposta a incidentes conduzidas directamente pela equipa da Palo Alto Networks, tendencialmente casos de maior impacto e complexidade, com mais detalhe operacional sobre técnicas de ataque, velocidade de intrusão e comportamento dos atacantes após a entrada inicial.
Onde posso ler o relatório completo da Unit 42?
O relatório completo está disponível gratuitamente no site da Palo Alto Networks, com registo com email empresarial. Existe também uma versão executiva condensada para leitores com menos tempo disponível para o documento completo de dezenas de páginas.
