Blog, Pitang.

O modelo tradicional de segurança foi construído sobre uma base

defensiva. Firewalls bloqueavam tráfego malicioso, antivírus

detectavam assinaturas conhecidas, SIEMs correlacionavam eventos para

gerar alertas. O objetivo era detectar ameaças e responder o mais

rápido possível. 

Durante muito tempo, essa abordagem funcionou. Os atacantes operavam

de forma mais ruidosa, os ambientes eram centralizados e o perímetro

de rede bem definido, mas essa realidade mudou. 

Segundo o relatório M-Trends 2025 da Mandiant, o

tempo mediano que atacantes permanecem em um ambiente antes

de serem detectados (dwell time) foi de 11 dias em 2024. Quando

a detecção depende de alertas externos, esse número sobe para 26 dias.

E quanto mais sofisticado o atacante, mais silenciosa e estratégica é a operação. 

Esse dado evidencia um problema estrutural: quando a segurança depende apenas de reação, o adversário quase sempre já está à frente.

O problema com a defesa que sempre chega tarde  

A lógica da segurança reativa é, por definição, defasada. Ela depende

de um evento já ter ocorrido para que uma ação seja iniciada. Enquanto

isso, atacantes operam de forma proativa: mapeiam o ambiente,

identificam fragilidades, testam limites e se movimentam lateralmente

até encontrar o caminho mais vantajoso. 

Defender apenas reagindo significa correr atrás do adversário. E, em cibersegurança, chegar depois normalmente significa chegar tarde demais. 

Três limites estruturais da segurança reativa 

Excesso de alertas, falta de contexto 

Ferramentas como SIEMs, EDRs e plataformas de monitoramento produzem

volumes massivos de dados. O desafio não é a ausência de informação,

mas o excesso de ruído.  

Times de segurança lidam diariamente com milhares de eventos. A

maioria são falsos positivos, já alguns são verdadeiros, mas

de baixo impacto. E, escondidos nesse volume, estão os alertas

realmente críticos. Sem contexto, analistas se desgastam investigando

eventos irrelevantes enquanto riscos reais passam despercebidos. Ter

muitos alertas não é sinônimo de visibilidade, mas sim, sobrecarga informacional. 

Perímetro fragmentado 

A segurança reativa foi desenhada para proteger fronteiras bem definidas. Hoje, aplicações estão distribuídas em múltiplas nuvens, colaboradores acessam sistemas de qualquer lugar, integrações com parceiros criam conexões diretas entre ambientes e APIs expõem funcionalidades antes restritas. 

O perímetro deixou de ser um limite fixo, ele está

fragmentado. Atacantes não precisam mais “entrar pela porta da

frente”, eles exploram APIs mal configuradas, credenciais vazadas ou

falhas internas já existentes. Defender apenas o perímetro é ignorar

que a batalha já acontece dentro de casa”  

Falta de visibilidade sobre encadeamentos de ataque

Ataques sofisticados raramente dependem de uma vulnerabilidade

crítica isolada. Eles exploram o encadeamento de pequenas falhas para

construir um caminho completo de

comprometimento: um endpoint esquecido, uma API sem autenticação

adequada, uma credencial com permissões excessivas. 

Ferramentas reativas tendem a analisar eventos isoladamente. Elas

detectam sintomas pontuais, mas não conectam os pontos nem identificam

o padrão de ataque se formando. Quando um alerta realmente crítico

surge, o atacante já percorreu várias etapas. Defender de

forma reativa é tratar sintomas, não resolver a causa. 

Velocidade do negócio x Velocidade da segurança

Organizações modernas operam em ciclos cada vez mais rápidos de inovação. Novos serviços são lançados com frequência, infraestruturas são ajustadas continuamente e integrações surgem para viabilizar demandas urgentes do negócio. 

A segurança reativa,

no entanto, não acompanha essa velocidade. Auditorias costumam ser anuais ou semestrais,

ferramentas demoram a

se adaptar a novos vetores e processos de resposta ainda dependem fortemente

de etapas manuais. Enquanto o negócio acelera, a segurança reage devagar, criando janelas de exposição que atacantes exploram com precisão. 

Como ir além da segurança reativa 

Esse cenário não é apenas teórico. Ele se manifesta diariamente em

ambientes reais, complexos e distribuídos. A Pitang identificou essa

mudança de paradigma e, crescente necessidade em

cibersegurança, atuando em projetos onde ferramentas defensivas

existiam, mas ainda assim riscos permaneciam invisíveis.  

Foi a partir dessa vivência que nasceu a REVL, unidade

de cybersecurity da Pitang, com foco em segurança ofensiva e

inteligência de ameaças. A premissa central de realizar controles

defensivos continuam sendo fundamentais, mas se tornam insuficientes

quando operados de forma isolada, sem contexto e sem antecipação.  

A abordagem da REVL complementa a defesa tradicional ao adotar a perspectiva do atacante, combinando:  

• Pentesting contextual: simulações que demonstram impacto real no negócio e revelam encadeamentos de falhas que scanners não detectam; 

• Gestão contínua de vulnerabilidades: priorização baseada em contexto, não apenas CVSS, considerando exposição real e criticidade de ativos; 

• Threat Intelligence aplicada: correlação entre indicadores externos e ambiente interno, antecipando vetores emergentes; 

• Visibilidade da superfície de ataque: mapeamento dinâmico de exposições em cloud, APIs e integrações. 

Essa combinação transforma segurança de centro de custo reativo e operacional em um habilitador estratégico, capaz de sustentar a inovação com responsabilidade. 

Segurança que acompanha a evolução do negócio 

A segurança puramente reativa teve seu papel. Mas, em um cenário onde ataques são mais rápidos, silenciosos e distribuídos, esperar o adversário agir para então responder é uma estratégia fadada ao atraso. 

A Pitang, por meio da REVL, atua para que organizações operem

com inteligência ofensiva, identificando riscos antes que se

materializem, priorizando com base em contexto real e respondendo de

forma estratégica. Segurança deixa de ser apenas reação a incidentes e

passa a ser visibilidade contínua e proteção, alinhada à velocidade do negócio. 

Quem só reage, sempre chega depois. Quem antecipa, define o jogo. 

Quer aprofundar essa abordagem no seu contexto? 

A REVL é a unidade de cibersegurança da Pitang, especializada em

segurança ofensiva, threat intelligence e gestão de vulnerabilidades.

Combinamos expertise técnica e visão estratégica para revelar riscos

invisíveis e proteger ambientes digitais modernos.