Quando falamos de segurança de tecnologia operacional, existe um ponto que diretores e líderes de tecnologia não podem mais ignorar: o risco não está apenas no ataque em si, mas na velocidade com que uma exposição pode virar acesso.
O relatório da Fortinet mostra que o cibercrime passou a operar como um sistema industrializado. Ou seja, os atacantes não dependem apenas de campanhas isoladas ou ações manuais. Eles usam reconhecimento contínuo, abuso de credenciais, exploração automatizada e infraestrutura persistente de comando e controle.
Na prática, esse cenário muda a forma como as empresas precisam olhar para ambientes operacionais, infraestrutura crítica, serviços expostos, dispositivos de borda, IoT, interfaces administrativas e recursos conectados. Portanto, não basta reagir depois do incidente. A empresa precisa reduzir a exposição antes que ela se transforme em acesso.
A seguir, veja cinco melhores práticas que fazem sentido para líderes que precisam proteger ambientes cada vez mais conectados.
1. Trate a exposição como risco ativo
A exposição deixou de ser apenas uma falha visível. Segundo o relatório, agentes de ameaça coletam, validam, embalam e reutilizam credenciais, caminhos de acesso, serviços vulneráveis e configurações incorretas.
Isso significa que um serviço exposto hoje pode já fazer parte de um inventário criminoso. Além disso, o atacante pode usar esse dado depois, com mais velocidade e menos esforço.
Por isso, a segurança de tecnologia operacional precisa começar pela visibilidade da superfície de ataque.
Para mim, esse é um dos pontos mais importantes: não dá para proteger aquilo que a empresa não consegue enxergar. E, em ambientes operacionais, essa visibilidade precisa acontecer de forma contínua.
2. Reduza a dependência de processos manuais
O relatório reforça que os atacantes operam em velocidade de máquina. Em 2025, a telemetria da Fortinet registrou 640 bilhões de eventos de reconhecimento, 67,65 bilhões de tentativas de força bruta e 121,99 bilhões de tentativas de exploração.
Esse cenário deixa uma mensagem muito clara para líderes de TI: processos manuais não acompanham ameaças automatizadas.
Quando o reconhecimento, a força bruta e a exploração acontecem de forma contínua, a resposta também precisa ganhar velocidade. Além disso, os times precisam correlacionar sinais, priorizar riscos e agir com mais automação.
3. Priorize vulnerabilidades pela prontidão de exploração
Nem toda vulnerabilidade representa o mesmo nível de risco no mesmo momento. O relatório aponta que o impacto não depende apenas da gravidade, mas também da rapidez com que uma vulnerabilidade fica pronta para automação.
Em 2025, 53,86% das vulnerabilidades observadas sob exploração ativa tinham código de prova de conceito disponível publicamente. Além disso, 31,18% tinham código de exploração totalmente funcional.
Ou seja, para ambientes operacionais, priorizar apenas por volume de backlog ou classificação genérica pode não ser suficiente. A empresa precisa olhar para o que os atacantes já exploram, para o que já possui material pronto e para o que pode gerar impacto mais rápido.
4. Fortaleça identidade e credenciais
A identidade se tornou um dos principais pontos de atenção. O relatório mostra que a FortiRecon observou 4,62 bilhões de registros de roubo de identidade ou compartilhados na darknet, um aumento de 79,07% em comparação com 2024.
Em ambientes conectados, credenciais válidas podem abrir portas críticas. Portanto, a proteção de identidade precisa fazer parte da estratégia de segurança operacional.
Isso envolve acompanhar autenticação, revogar credenciais comprometidas, monitorar exposição de acessos, identificar tentativas de força bruta e analisar comportamentos anômalos. Além disso, a empresa precisa medir a velocidade para revogar confiança como indicador de risco.
5. Monitorar sinais de pós-exploração e comando e controle
O relatório aponta que o comprometimento não deve ser visto como um evento isolado, mas como uma condição de operação. Em 2025, foram registradas 7,10 bilhões de detecções de botnets C2, o equivalente a aproximadamente 19,4 milhões por dia.
Esse dado reforça que, depois da entrada inicial, os atacantes buscam manter controle, persistência e capacidade de monetização.
Para líderes de tecnologia, isso significa que a segurança de ambientes operacionais precisa ir além da prevenção. Também é necessário monitorar sinais de comando e controle, abuso de ferramentas legítimas, movimento lateral e execução não autorizada.
Conclusão
A segurança de tecnologia operacional precisa acompanhar a nova lógica do cibercrime: velocidade, automação e reutilização.
O ponto não é apenas ter mais ferramentas. O ponto é conseguir enxergar a exposição, priorizar o que realmente representa risco, proteger identidades, automatizar respostas e reduzir o tempo entre detecção, contenção e remediação.
Porque, se o cibercrime funciona como um sistema industrializado, a defesa também precisa evoluir com inteligência, velocidade e preparo.
Fonte: Relatório do Cenário Global de Ameaças de 2026 — Fortinet / FortiGuard Labs.




