Evolução das Ciberameaças e Estratégias de Defesa em um Cenário de Escalada de Conflitos Cibernéticos (2020–2025)
Análise detalhada das mudanças nos modelos de ciberataques e defesas cibernéticas na Rússia entre 2020 e 2025, destacando a transição de ataques públicos para operações furtivas e de longo prazo, impulsionada pela escalada de conflitos geopolíticos.
MundiX News·07 de julho de 2026·9 min de leitura·👁 1 views
Evolução das Ciberameaças e Estratégias de Defesa em um Cenário de Escalada de Conflitos Cibernéticos (2020–2025)
Introdução
Este artigo apresenta uma análise formalizada das mudanças na estrutura, objetivos e consequências de ciberataques observados no território da Federação Russa no período de 2020 a 2025. O marco divisor entre os períodos é a ocorrência de uma crise geopolítica internacional que levou a uma mudança no cenário político externo e na estrutura das ciberameaças. Aqui, consideramos duas coortes temporais principais: 2020–2023 (incluindo o período anterior à mudança no cenário geopolítico da segurança da informação global e o primeiro ano da fase aguda da crise internacional) e 2023–2025 (consolidação de novas tendências). Realizamos uma análise para identificar a mudança nos tipos dominantes de ciberameaças, os fatores que a causaram, bem como a evolução das abordagens para garantir a segurança da informação (SI) nos setores estatal e corporativo.
Neste período, ocorreu uma mudança fundamental de paradigma: de ataques demonstrativos com o objetivo de dano imediato e ressonância pública para operações ocultas e de longo prazo, visando criar canais sustentáveis para a obtenção de informações de inteligência. Analisamos sequencialmente três estágios da evolução das ciberameaças em cada uma das fases identificadas, analisando as razões para a diminuição do número de vazamentos de dados bem-sucedidos registrados e formulamos conclusões sobre o novo papel do Estado como organizador de ciberataques.
1. Mudança na Tendência Principal das Ciberameaças: Análise Comparativa dos Períodos "Antes/Depois" da Escalada
1.1 Período 2020–2022: Domínio de Ataques com Demonstração Pública
Em 2020–2022, observou-se uma estrutura qualitativamente diferente de incidentes cibernéticos em comparação com o período subsequente. A maior parte dos ataques provinha dos chamados "entusiastas de hacking" – atores não estatais agindo no âmbito do hacktivismo ou grupos de cibercrime com motivação financeira. As características deste estágio incluíam:
Alta frequência de defacement bem-sucedidos (substituição de conteúdo de recursos web) como ferramenta de autopromoção do grupo ou expressão de posição política/ideológica.
Pedidos públicos de resgate, acompanhados de ameaças de publicação de dados roubados (modelo de dupla extorsão).
Busca por dano operacional máximo – interrupção da disponibilidade de serviços (ataques DDoS, exclusão de backups) com comprometimento simultâneo da confidencialidade.
Em termos de motivação, o princípio "eu quebrei tudo" dominava – ênfase no fato do próprio hack e sua prova inquestionável para um público amplo. Vazamentos de dados, como regra, eram acompanhados de publicações em fontes abertas (canais Telegram, fóruns de dark web, Pastebin). O dano reputacional para a organização atacada era comparável ao financeiro e, em alguns casos, o superava.
1.2 Período 2023–2026: Transição para Operações Ocultas e Clandestinas
A partir de 2023, foi registrada uma mudança drástica na tendência dominante. A onda de ataques públicos e de alto perfil diminuiu, mas essa redução não esteve ligada ao aumento da segurança dos sistemas. Pelo contrário, houve uma mudança no modelo de alvo dos agressores. A nova tendência é caracterizada pelos seguintes sinais:
Presença de longo prazo de agressores, grupos APT (Advanced Persistent Threat), na infraestrutura do alvo, medida em meses e anos.
Profunda clandestinidade: minimização de ruído, uso de ferramentas de administração legítimas (living-off-the-land), canais de comunicação criptografados, ausência de defacements ou pedidos públicos.
Mudança de objetivo – não dano pontual, mas a criação de uma fonte sustentável de informações operacionais: coleta de inteligência, monitoramento de negociações, fluxo de documentos, processos tecnológicos.
A mudança chave na psicologia do atacante: o slogan "Eu quebrei tudo" transformou-se na doutrina "Nós sabemos tudo, mas o novo cliente paga mais". Muitos grupos APT começaram a procurar compradores para dados e infraestrutura comprometida, e agora a discrição se torna uma prioridade tática chave. A detecção de um ataque é vista pelo agressor como sua própria derrota. Ao contrário do estágio anterior, onde o objetivo era tornar o hack o mais visível possível, a nova fase exige que o fato do comprometimento nunca seja revelado, ou que seja revelado apenas após a conclusão de todos os objetivos operacionais (extração do volume máximo de dados ao longo de um longo período).
1.3 Causa da Mudança de Tendência: Gestão Estatal de Conflitos Cibernéticos
De acordo com dados de especialistas, a mudança descrita não é espontânea, mas determinada. A principal razão é a mudança no sujeito por trás da maioria dos ataques bem-sucedidos à infraestrutura de informação crítica e órgãos governamentais da Rússia. A partir de 2023, a proporção de ataques iniciados não por grupos privados, mas por estruturas estatais estrangeiras, tem aumentado. O conflito cibernético adquire características de confronto institucionalizado com a participação de estruturas estatais, onde os ataques:
São financiados por orçamentos estatais (ausência de motivação de extorsão).
São coordenados em nível interdepartamental (incluindo inteligência, exército, serviços especiais).
Seguem uma estratégia de presença de inteligência de longo prazo, em vez de táticas de efeito midiático.
Atores pró-governo agem de acordo com uma lógica oposta à dos hacktivistas: seu sucesso é diretamente proporcional à discrição e duração da operação. Assim, a mudança de tendência é uma consequência objetiva da mudança na composição dos atores atacantes.
2. Modelo de Percepção de Ameaças em Três Estágios: Evolução de 2020–2023 para 2023–2025
Para formalizar a mudança na vulnerabilidade das organizações e sua capacidade de detectar ataques, propomos dois modelos em três estágios, correspondentes aos dois períodos. Eles descrevem como o mercado e os serviços de segurança avaliam subjetivamente sua proteção, bem como as capacidades objetivas dos agressores.
2.1 Modelo 2020–2023
Estágio 1. "Você foi hackeado e todos sabem disso. RP e extorsão."
Neste estágio, a organização foi submetida a um ataque bem-sucedido com comprometimento público garantido. Causas: segmentação de rede insuficiente, monitoramento fraco, ausência de planos de resposta a incidentes. Perdas financeiras e de reputação foram máximas. Este estágio era o mais comum para médias e grandes empresas.
Estágio 2. "Você não foi hackeado porque o orçamento para o hack foi insuficiente."
A organização permaneceu não atacada (ou os ataques foram repelidos no perímetro) não por causa de sua própria defesa, mas porque os custos para realizar um ataque bem-sucedido excediam o benefício potencial para o agressor. Para grupos hacktivistas e de extorsão, um ataque a um alvo complexo, mas não público, não fazia sentido. Este status criava uma falsa sensação de segurança.
Estágio 3. "Você não foi hackeado porque você não é interessante."
A organização não representava valor material nem de reputação para ataques em massa. A ausência de interesse por parte dos agressores era a única razão para a ausência de incidentes. Qualquer ataque direcionado, mesmo de nível médio, teria sucesso.
2.2 Modelo 2023–2025
Com o início do conflito cibernético gerido pelo Estado, a estrutura dos estágios mudou. A mutação mais significativa é o primeiro estágio.
Estágio 1. "Você foi hackeado, mas você não sabe disso."
Esta é a nova realidade dominante para alvos críticos, órgãos governamentais, empresas de defesa e energia. A infiltração de grupos APT sob controle estatal ocorre de forma imperceptível. Os sistemas de segurança da organização podem não registrar a invasão, pois o agressor utiliza vulnerabilidades de dia zero (zero-day), métodos "fileless" e credenciais legítimas. A organização vive em estado de "luz verde", sem perceber que está completamente comprometida. A duração deste estágio pode chegar a 12–24 meses até o momento da detecção (frequentemente – acidental ou em resultado de notificação externa).
Estágio 2. "Você não foi hackeado porque o orçamento para o hack foi insuficiente."
Este estágio mantém sua importância, mas seu conteúdo muda. O orçamento insuficiente pertence não mais a um hacktivista comum, mas a um ator estatal no caso de a organização alvo ter proteção excepcional (por exemplo, sistemas fisicamente desconectados de redes externas, com verificação em várias camadas). No entanto, para a maioria das estruturas comerciais, os atores estatais não têm restrições orçamentárias – consequentemente, este estágio se aplica apenas a organizações com o mais alto nível de segurança.
Estágio 3. "Você não foi hackeado porque você não é interessante."
Pequenas empresas, esferas socioculturais, não relacionadas a segredos de estado ou encomendas de defesa, ainda podem não atrair a atenção das ciberguerras estatais. Seu risco está associado principalmente a grupos de cibercrime remanescentes. Este estágio agora é alcançado não pela ausência de capacidade de hackear, mas pela ausência de valor operacional do hack para o adversário estatal.
2.3 Análise Comparativa dos Modelos
A principal diferença entre os dois modelos é o deslocamento do foco da publicidade para a discrição. No primeiro modelo, a situação mais perigosa ("você foi hackeado") era óbvia. No segundo modelo, a situação mais perigosa tornou-se, por definição, não óbvia. Isso impõe requisitos adicionais aos sistemas de detecção: eles devem passar da análise de assinaturas para a análise comportamental, da resposta ao fato de vazamento para a busca de anomalias que indiquem presença de longo prazo.
3. Fatores de Redução no Número de Vazamentos de Dados Registrados em 2023–2025
Apesar da complexidade qualitativa das ameaças, estatísticas oficiais e relatórios de empresas de cibersegurança registram uma diminuição no número de vazamentos de dados bem-sucedidos (incidentes publicamente reconhecidos). Este fenômeno requer análise separada, pois não indica uma melhoria real na segurança. Dois vetores principais explicam essa redução:
3.1 Transição da Segurança "de Papel" para a Real
No período anterior a 2022, em muitas organizações russas, a segurança da informação era de natureza simulada. Documentos (políticas, regulamentos, instruções) existiam, mas não eram apoiados por financiamento suficiente, pessoal e meios técnicos. O principal estímulo para investimentos em SI eram os requisitos dos reguladores (FSTEC, Banco da Rússia) com sanções na forma de multas.
A partir do final de 2022 e especialmente em 2023–2025, ocorreu uma reavaliação radical dos riscos. A percepção das ciberameaças mudou de riscos regulatórios (multas) para riscos operacionais, incluindo a interrupção de processos e a perda de dados:
Para negócios – risco de paralisação completa dos processos de produção, destruição da base de clientes, perda de propriedade intelectual.
Para estruturas estatais – risco de vazamento de informações secretas que afetam o curso da Operação Militar Especial e a segurança nacional.
Em resposta, foram alocados orçamentos reais para SI, comparáveis em volume aos orçamentos para infraestrutura de TI. Começaram as aquisições de meios de proteção domésticos (NGFW, SIEM, XDR), começaram a pensar em exercícios cibernéticos regulares, e foram criados centros corporativos de SOC (Security Operation Center). Foi essa transição do "papel" compliance para a proteção de engenharia e técnica que permitiu prevenir muitos ataques que, no período anterior, teriam obrigatoriamente levado a vazamentos.
3.2 Ciclo Completo de Implementação de Medidas Descritas nas Políticas de Segurança da Informação
O segundo fator importante é a conclusão do ciclo de vida completo da implementação de medidas de SI. Um erro comum do período anterior era que as Políticas formais de SI (documentos de alto nível) eram desenvolvidas, aprovadas e até orçadas, mas não chegavam à fase de implementação real e, o mais importante, de operação.
No intervalo de 2023–2025, este ciclo foi concluído. Etapas:
Orçamentação (2021–2022) – fundos foram alocados.
Planejamento (2022) – roteiros detalhados.
Implementação (2023–2024) – implantação de meios de proteção, migração para plataformas seguras, implementação de processos de gerenciamento de vulnerabilidades.
Operação e monitoramento contínuo (2024–2025) – operação 24/7 de SOC, gerenciamento de incidentes, ajuste de políticas com base em ataques reais.
Assim, as organizações entraram na fase de maturidade operacional. Se antes, após a redação da Política, "simplesmente o tempo passou" sem mudanças reais, agora o lapso de tempo foi esgotado e as medidas começaram a funcionar. Isso levou objetivamente a um aumento na segurança e a uma redução no número de vazamentos bem-sucedidos (especialmente aqueles que levam à divulgação pública). No entanto, é importante enfatizar: ataques APT ocultos, descritos na parte 1, ainda podem existir, mas sua detecção tornou-se menos provável, e os vazamentos tornaram-se não públicos.
Conclusão
A análise formalizada realizada permite tirar as seguintes conclusões:
Mudança de Paradigma de Ameaças. No período de 2020 a 2025, o tipo dominante de ciberataques à infraestrutura russa evoluiu de ataques públicos, de extorsão e de imagem por parte de entusiastas independentes e grupos APT independentes para operações ocultas e de longo prazo sob o controle de estruturas estatais de países hostis.
Nova Realidade – Presença Oculta. Para a fase atual, o estado mais provável de muitas organizações criticamente importantes é descrito pela primeira etapa do modelo de três estágios: "Você foi hackeado, mas você não sabe disso". A detecção de tal hack requer métodos de monitoramento fundamentalmente diferentes daqueles que foram eficazes contra a geração anterior de ameaças.
Estatísticas Enganosas. O número de vazamentos de dados bem-sucedidos registrados publicamente diminuiu, mas isso não é resultado da ausência de ataques. É resultado de dois processos: (a) um aumento real na segurança devido à transição da segurança de papel para a prática e (b) a transição dos agressores para táticas ocultas, onde os vazamentos não são divulgados.
Maturidade dos Processos de SI. O ciclo completo de implementação das Políticas de Segurança da Informação foi concluído: do orçamento através do planejamento e implementação até a operação. Isso permitiu reduzir o número de incidentes relacionados a vulnerabilidades típicas, mas não eliminou a ameaça de grupos APT direcionados.
Recomendações. Com base na formalização, propõe-se ajustar os modelos de ameaças das organizações: excluir a suposição de que a ausência de vazamentos públicos é igual à ausência de comprometimento. Sistemas de análise comportamental, busca por anomalias no tráfego de rede e endpoints, bem como a implementação do princípio "zero trust" com verificação contínua de cada solicitação, tornam-se prioritários.
O material foi escrito com base na pesquisa da empresa "Gazinformservice". A versão completa pode ser vista no link.
Autores do artigo:
Alexey Maksimov, Chefe do Laboratório de Pesquisa em Cibersegurança da Gazinformservice
Alexander Tasyuk, Engenheiro Analista Líder do Laboratório de Pesquisa em Cibersegurança da Gazinformservice
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Evolução das Ciberameaças e Estratégias de Defesa em um Cenário de Escalada de Conflitos Cibernéticos (2020–2025)
Introdução
Este artigo apresenta uma análise formalizada das mudanças na estrutura, objetivos e consequências de ciberataques observados no território da Federação Russa no período de 2020 a 2025. O marco divisor entre os períodos é a ocorrência de uma crise geopolítica internacional que levou a uma mudança no cenário político externo e na estrutura das ciberameaças. Aqui, consideramos duas coortes temporais principais: 2020–2023 (incluindo o período anterior à mudança no cenário geopolítico da segurança da informação global e o primeiro ano da fase aguda da crise internacional) e 2023–2025 (consolidação de novas tendências). Realizamos uma análise para identificar a mudança nos tipos dominantes de ciberameaças, os fatores que a causaram, bem como a evolução das abordagens para garantir a segurança da informação (SI) nos setores estatal e corporativo.
Neste período, ocorreu uma mudança fundamental de paradigma: de ataques demonstrativos com o objetivo de dano imediato e ressonância pública para operações ocultas e de longo prazo, visando criar canais sustentáveis para a obtenção de informações de inteligência. Analisamos sequencialmente três estágios da evolução das ciberameaças em cada uma das fases identificadas, analisando as razões para a diminuição do número de vazamentos de dados bem-sucedidos registrados e formulamos conclusões sobre o novo papel do Estado como organizador de ciberataques.
1. Mudança na Tendência Principal das Ciberameaças: Análise Comparativa dos Períodos "Antes/Depois" da Escalada
1.1 Período 2020–2022: Domínio de Ataques com Demonstração Pública
Em 2020–2022, observou-se uma estrutura qualitativamente diferente de incidentes cibernéticos em comparação com o período subsequente. A maior parte dos ataques provinha dos chamados "entusiastas de hacking" – atores não estatais agindo no âmbito do hacktivismo ou grupos de cibercrime com motivação financeira. As características deste estágio incluíam:
Alta frequência de defacement bem-sucedidos (substituição de conteúdo de recursos web) como ferramenta de autopromoção do grupo ou expressão de posição política/ideológica.
Pedidos públicos de resgate, acompanhados de ameaças de publicação de dados roubados (modelo de dupla extorsão).
Busca por dano operacional máximo – interrupção da disponibilidade de serviços (ataques DDoS, exclusão de backups) com comprometimento simultâneo da confidencialidade.
Em termos de motivação, o princípio "eu quebrei tudo" dominava – ênfase no fato do próprio hack e sua prova inquestionável para um público amplo. Vazamentos de dados, como regra, eram acompanhados de publicações em fontes abertas (canais Telegram, fóruns de dark web, Pastebin). O dano reputacional para a organização atacada era comparável ao financeiro e, em alguns casos, o superava.
1.2 Período 2023–2026: Transição para Operações Ocultas e Clandestinas
A partir de 2023, foi registrada uma mudança drástica na tendência dominante. A onda de ataques públicos e de alto perfil diminuiu, mas essa redução não esteve ligada ao aumento da segurança dos sistemas. Pelo contrário, houve uma mudança no modelo de alvo dos agressores. A nova tendência é caracterizada pelos seguintes sinais:
Presença de longo prazo de agressores, grupos APT (Advanced Persistent Threat), na infraestrutura do alvo, medida em meses e anos.
Profunda clandestinidade: minimização de ruído, uso de ferramentas de administração legítimas (living-off-the-land), canais de comunicação criptografados, ausência de defacements ou pedidos públicos.
Mudança de objetivo – não dano pontual, mas a criação de uma fonte sustentável de informações operacionais: coleta de inteligência, monitoramento de negociações, fluxo de documentos, processos tecnológicos.
A mudança chave na psicologia do atacante: o slogan "Eu quebrei tudo" transformou-se na doutrina "Nós sabemos tudo, mas o novo cliente paga mais". Muitos grupos APT começaram a procurar compradores para dados e infraestrutura comprometida, e agora a discrição se torna uma prioridade tática chave. A detecção de um ataque é vista pelo agressor como sua própria derrota. Ao contrário do estágio anterior, onde o objetivo era tornar o hack o mais visível possível, a nova fase exige que o fato do comprometimento nunca seja revelado, ou que seja revelado apenas após a conclusão de todos os objetivos operacionais (extração do volume máximo de dados ao longo de um longo período).
1.3 Causa da Mudança de Tendência: Gestão Estatal de Conflitos Cibernéticos
De acordo com dados de especialistas, a mudança descrita não é espontânea, mas determinada. A principal razão é a mudança no sujeito por trás da maioria dos ataques bem-sucedidos à infraestrutura de informação crítica e órgãos governamentais da Rússia. A partir de 2023, a proporção de ataques iniciados não por grupos privados, mas por estruturas estatais estrangeiras, tem aumentado. O conflito cibernético adquire características de confronto institucionalizado com a participação de estruturas estatais, onde os ataques:
São financiados por orçamentos estatais (ausência de motivação de extorsão).
São coordenados em nível interdepartamental (incluindo inteligência, exército, serviços especiais).
Seguem uma estratégia de presença de inteligência de longo prazo, em vez de táticas de efeito midiático.
Atores pró-governo agem de acordo com uma lógica oposta à dos hacktivistas: seu sucesso é diretamente proporcional à discrição e duração da operação. Assim, a mudança de tendência é uma consequência objetiva da mudança na composição dos atores atacantes.
2. Modelo de Percepção de Ameaças em Três Estágios: Evolução de 2020–2023 para 2023–2025
Para formalizar a mudança na vulnerabilidade das organizações e sua capacidade de detectar ataques, propomos dois modelos em três estágios, correspondentes aos dois períodos. Eles descrevem como o mercado e os serviços de segurança avaliam subjetivamente sua proteção, bem como as capacidades objetivas dos agressores.
2.1 Modelo 2020–2023
Estágio 1. "Você foi hackeado e todos sabem disso. RP e extorsão."
Neste estágio, a organização foi submetida a um ataque bem-sucedido com comprometimento público garantido. Causas: segmentação de rede insuficiente, monitoramento fraco, ausência de planos de resposta a incidentes. Perdas financeiras e de reputação foram máximas. Este estágio era o mais comum para médias e grandes empresas.
Estágio 2. "Você não foi hackeado porque o orçamento para o hack foi insuficiente."
A organização permaneceu não atacada (ou os ataques foram repelidos no perímetro) não por causa de sua própria defesa, mas porque os custos para realizar um ataque bem-sucedido excediam o benefício potencial para o agressor. Para grupos hacktivistas e de extorsão, um ataque a um alvo complexo, mas não público, não fazia sentido. Este status criava uma falsa sensação de segurança.
Estágio 3. "Você não foi hackeado porque você não é interessante."
A organização não representava valor material nem de reputação para ataques em massa. A ausência de interesse por parte dos agressores era a única razão para a ausência de incidentes. Qualquer ataque direcionado, mesmo de nível médio, teria sucesso.
2.2 Modelo 2023–2025
Com o início do conflito cibernético gerido pelo Estado, a estrutura dos estágios mudou. A mutação mais significativa é o primeiro estágio.
Estágio 1. "Você foi hackeado, mas você não sabe disso."
Esta é a nova realidade dominante para alvos críticos, órgãos governamentais, empresas de defesa e energia. A infiltração de grupos APT sob controle estatal ocorre de forma imperceptível. Os sistemas de segurança da organização podem não registrar a invasão, pois o agressor utiliza vulnerabilidades de dia zero (zero-day), métodos "fileless" e credenciais legítimas. A organização vive em estado de "luz verde", sem perceber que está completamente comprometida. A duração deste estágio pode chegar a 12–24 meses até o momento da detecção (frequentemente – acidental ou em resultado de notificação externa).
Estágio 2. "Você não foi hackeado porque o orçamento para o hack foi insuficiente."
Este estágio mantém sua importância, mas seu conteúdo muda. O orçamento insuficiente pertence não mais a um hacktivista comum, mas a um ator estatal no caso de a organização alvo ter proteção excepcional (por exemplo, sistemas fisicamente desconectados de redes externas, com verificação em várias camadas). No entanto, para a maioria das estruturas comerciais, os atores estatais não têm restrições orçamentárias – consequentemente, este estágio se aplica apenas a organizações com o mais alto nível de segurança.
Estágio 3. "Você não foi hackeado porque você não é interessante."
Pequenas empresas, esferas socioculturais, não relacionadas a segredos de estado ou encomendas de defesa, ainda podem não atrair a atenção das ciberguerras estatais. Seu risco está associado principalmente a grupos de cibercrime remanescentes. Este estágio agora é alcançado não pela ausência de capacidade de hackear, mas pela ausência de valor operacional do hack para o adversário estatal.
2.3 Análise Comparativa dos Modelos
A principal diferença entre os dois modelos é o deslocamento do foco da publicidade para a discrição. No primeiro modelo, a situação mais perigosa ("você foi hackeado") era óbvia. No segundo modelo, a situação mais perigosa tornou-se, por definição, não óbvia. Isso impõe requisitos adicionais aos sistemas de detecção: eles devem passar da análise de assinaturas para a análise comportamental, da resposta ao fato de vazamento para a busca de anomalias que indiquem presença de longo prazo.
3. Fatores de Redução no Número de Vazamentos de Dados Registrados em 2023–2025
Apesar da complexidade qualitativa das ameaças, estatísticas oficiais e relatórios de empresas de cibersegurança registram uma diminuição no número de vazamentos de dados bem-sucedidos (incidentes publicamente reconhecidos). Este fenômeno requer análise separada, pois não indica uma melhoria real na segurança. Dois vetores principais explicam essa redução:
3.1 Transição da Segurança "de Papel" para a Real
No período anterior a 2022, em muitas organizações russas, a segurança da informação era de natureza simulada. Documentos (políticas, regulamentos, instruções) existiam, mas não eram apoiados por financiamento suficiente, pessoal e meios técnicos. O principal estímulo para investimentos em SI eram os requisitos dos reguladores (FSTEC, Banco da Rússia) com sanções na forma de multas.
A partir do final de 2022 e especialmente em 2023–2025, ocorreu uma reavaliação radical dos riscos. A percepção das ciberameaças mudou de riscos regulatórios (multas) para riscos operacionais, incluindo a interrupção de processos e a perda de dados:
Para negócios – risco de paralisação completa dos processos de produção, destruição da base de clientes, perda de propriedade intelectual.
Para estruturas estatais – risco de vazamento de informações secretas que afetam o curso da Operação Militar Especial e a segurança nacional.
Em resposta, foram alocados orçamentos reais para SI, comparáveis em volume aos orçamentos para infraestrutura de TI. Começaram as aquisições de meios de proteção domésticos (NGFW, SIEM, XDR), começaram a pensar em exercícios cibernéticos regulares, e foram criados centros corporativos de SOC (Security Operation Center). Foi essa transição do "papel" compliance para a proteção de engenharia e técnica que permitiu prevenir muitos ataques que, no período anterior, teriam obrigatoriamente levado a vazamentos.
3.2 Ciclo Completo de Implementação de Medidas Descritas nas Políticas de Segurança da Informação
O segundo fator importante é a conclusão do ciclo de vida completo da implementação de medidas de SI. Um erro comum do período anterior era que as Políticas formais de SI (documentos de alto nível) eram desenvolvidas, aprovadas e até orçadas, mas não chegavam à fase de implementação real e, o mais importante, de operação.
No intervalo de 2023–2025, este ciclo foi concluído. Etapas:
Orçamentação (2021–2022) – fundos foram alocados.
Planejamento (2022) – roteiros detalhados.
Implementação (2023–2024) – implantação de meios de proteção, migração para plataformas seguras, implementação de processos de gerenciamento de vulnerabilidades.
Operação e monitoramento contínuo (2024–2025) – operação 24/7 de SOC, gerenciamento de incidentes, ajuste de políticas com base em ataques reais.
Assim, as organizações entraram na fase de maturidade operacional. Se antes, após a redação da Política, "simplesmente o tempo passou" sem mudanças reais, agora o lapso de tempo foi esgotado e as medidas começaram a funcionar. Isso levou objetivamente a um aumento na segurança e a uma redução no número de vazamentos bem-sucedidos (especialmente aqueles que levam à divulgação pública). No entanto, é importante enfatizar: ataques APT ocultos, descritos na parte 1, ainda podem existir, mas sua detecção tornou-se menos provável, e os vazamentos tornaram-se não públicos.
Conclusão
A análise formalizada realizada permite tirar as seguintes conclusões:
Mudança de Paradigma de Ameaças. No período de 2020 a 2025, o tipo dominante de ciberataques à infraestrutura russa evoluiu de ataques públicos, de extorsão e de imagem por parte de entusiastas independentes e grupos APT independentes para operações ocultas e de longo prazo sob o controle de estruturas estatais de países hostis.
Nova Realidade – Presença Oculta. Para a fase atual, o estado mais provável de muitas organizações criticamente importantes é descrito pela primeira etapa do modelo de três estágios: "Você foi hackeado, mas você não sabe disso". A detecção de tal hack requer métodos de monitoramento fundamentalmente diferentes daqueles que foram eficazes contra a geração anterior de ameaças.
Estatísticas Enganosas. O número de vazamentos de dados bem-sucedidos registrados publicamente diminuiu, mas isso não é resultado da ausência de ataques. É resultado de dois processos: (a) um aumento real na segurança devido à transição da segurança de papel para a prática e (b) a transição dos agressores para táticas ocultas, onde os vazamentos não são divulgados.
Maturidade dos Processos de SI. O ciclo completo de implementação das Políticas de Segurança da Informação foi concluído: do orçamento através do planejamento e implementação até a operação. Isso permitiu reduzir o número de incidentes relacionados a vulnerabilidades típicas, mas não eliminou a ameaça de grupos APT direcionados.
Recomendações. Com base na formalização, propõe-se ajustar os modelos de ameaças das organizações: excluir a suposição de que a ausência de vazamentos públicos é igual à ausência de comprometimento. Sistemas de análise comportamental, busca por anomalias no tráfego de rede e endpoints, bem como a implementação do princípio "zero trust" com verificação contínua de cada solicitação, tornam-se prioritários.
O material foi escrito com base na pesquisa da empresa "Gazinformservice". A versão completa pode ser vista no link.
Autores do artigo:
Alexey Maksimov, Chefe do Laboratório de Pesquisa em Cibersegurança da Gazinformservice
Alexander Tasyuk, Engenheiro Analista Líder do Laboratório de Pesquisa em Cibersegurança da Gazinformservice
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.