Relatório de nuvem e ameaças:
2025

Este relatório explora as principais tendências em quatro áreas de riscos de segurança cibernética enfrentados por organizações em todo o mundo — risco adverso, risco de engenharia social, risco de aplicativos pessoais e risco de aplicativos GenAI — destacando as estratégias que as organizações usam para gerenciar esses riscos.

Relatório de nuvem e ameaças de
2025

Neste relatório Introdução Risco de engenharia social

Phishing Cavalos de Troia

Risco de aplicativos pessoais Risco generativo de IA

Adoção da organização Contagens de usuários Adoção de aplicativos Bloqueio Coaching

Risco adverso

Tufão de sal TA577 UAC-0050

Recomendações Netskope Threat Labs Sobre este relatório

24 min de leitura

Neste relatório

Risco de engenharia social — O phishing está aumentando globalmente, com 8,4 em cada 1.000 usuários clicando em um link de phishing por mês, quase o triplo da média do ano passado, com as credenciais Microsoft 365 sendo o principal alvo.
Risco de aplicativos pessoais — O uso de aplicativos pessoais é desenfreado na empresa, com mais de um em cada quatro usuários (26%) fazendo upload, publicando ou enviando dados para aplicativos pessoais todos os meses, com o uso pessoal de armazenamento em nuvem, webmail e aplicativos GenAI representando os riscos mais significativos para organizações em todo o mundo.
Risco generativo de IA — A adoção do GenAI continua aumentando, com o número de usuários do GenAI quase triplicando ano a ano e 94% das organizações agora usando aplicativos GenAI, aumentando o risco de dados para organizações em todo o mundo.
Risco adverso — A atividade adversária em 2024 refletiu o cenário geopolítico mais amplo, com os grupos russos TA577 e UAC-0050 e o grupo chinês Salt Typhoon entre os mais ativos do mundo.

resposta de teste

Introdução

Em meio à crescente complexidade das ameaças cibernéticas, uma verdade permanece evidente: as pessoas, incluindo usuários autorizados e atacantes externos, estão no centro do risco de segurança cibernética. Embora o elemento humano do risco de cibersegurança seja amplamente conhecido, as complexidades do ambiente de trabalho moderno tornam cada vez mais difícil para as pessoas tomarem decisões informadas sobre dados confidenciais, riscos digitais e protocolos de segurança:

Para cada mensagem que recebem, eles precisam avaliar rapidamente se ela é legítima, geralmente com base em dicas tão sutis quanto tom, ortografia, gramática e formatação.
Ao lidar com dados confidenciais, eles devem equilibrar a necessidade de acessar e usar as informações com o imperativo de protegê-las de partes não autorizadas.
Ao navegar na nuvem, eles devem tomar decisões de alto risco sobre confiança e risco em tempo real quando recebem solicitações de autorização.

O grande volume dessas decisões, muitas vezes tomadas sob coação ou com informações limitadas, pode levar a uma tomada de decisão abaixo do ideal. Além disso, existem preconceitos cognitivos inerentes que influenciam o processo de tomada de decisão humano, incluindo:

Viés de confirmação, a tendência de priorizar padrões familiares em detrimento de anomalias suspeitas.
Viés de disponibilidade, a confiança em experiências recentes em vez de evidências objetivas.
Fadiga cognitiva, a diminuição da capacidade de raciocinar com eficácia após exposição prolongada a alertas e avisos de segurança.

Esses fatores criam uma tempestade perfeita de incertezas, em que até mesmo as pessoas mais bem-intencionadas podem comprometer inadvertidamente a segurança organizacional. Além disso, os atacantes buscam constantemente explorar essas vulnerabilidades, geralmente usando táticas sofisticadas de engenharia social que manipulam os usuários para que tomem ações que possam parecer benignas. Essa incerteza foi intensificada ainda mais pelos recentes avanços no GenAI, que os atacantes usam para interagir com suas vítimas de uma maneira ainda mais personalizada e convincente.

Este relatório examina alguns dos riscos mais significativos enfrentados pelas organizações em todo o mundo e explora as estratégias bem-sucedidas de segurança cibernética que essas organizações adotaram para gerenciar esses riscos. Ele se concentra em quatro tipos de risco de segurança cibernética:

Risco de engenharia social: os adversários tentam explorar o comportamento humano e contornar as medidas de segurança usando mensagens de phishing em vários canais, sites maliciosos, cavalos de Troia e outras táticas.
Risco de aplicativos pessoais: a onipresença dos aplicativos pessoais em nuvem na empresa criou um ambiente em que os usuários, consciente ou inconscientemente, usam aplicativos pessoais para processar informações confidenciais, levando à perda do controle organizacional sobre os dados e possíveis violações de dados.
Risco generativo de IA: as promessas da GenAI inspiraram uma porcentagem crescente de pessoas e organizações a usar uma variedade de GenAI para melhorar sua produtividade ou qualidade de trabalho, muitas vezes resultando na divulgação de informações confidenciais a terceiros não autorizados.
Risco adverso: adversários altamente motivados geralmente têm bons recursos, são sofisticados e persistentes em suas tentativas de se infiltrar em uma organização.

O restante deste relatório explora esses quatro riscos com mais detalhes, com foco nas tendências observadas ao longo de 2024 e em 2025.

Risco de engenharia social

O risco de engenharia social é onipresente, decorrente não apenas dos grupos geopolíticos e criminosos sofisticados e bem dotados de recursos mencionados posteriormente na seção Risco adversário, mas também de afiliados de ransomware de baixo nível, gangues de crimes cibernéticos e outros atacantes. Em vez de procurar vulnerabilidades difíceis de encontrar para se infiltrar na organização vítima, o atacante tem como alvo aqueles que trabalham nessa organização, usando phishing, pretextos, trojans, deepfakes e outras táticas. Em última análise, o sucesso depende de ganhar confiança, assustar ou manipular as pessoas para que tomem ações que comprometam a segurança. No restante desta seção, destacamos dois tipos comuns de risco de engenharia social: phishing e Trojans.

Phishing

O phishing geralmente assume a forma de um invasor criar uma página de login falsa para um site, usar uma ferramenta para reverter o proxy de uma página de login ou criar um aplicativo falso para induzir a vítima a autorizar o acesso. No ano passado, o número de usuários que clicam em links de phishing aumentou quase o triplo, de 2,9 em 2023 para 8,4 em cada 1.000 usuários em uma organização média que clicam em um link de phishing a cada mês. Esse aumento ocorre apesar da maioria das organizações exigir que os usuários passem por um treinamento de conscientização sobre segurança para evitar ataques de phishing. Os principais fatores que levam a esse aumento são a fadiga cognitiva (com os usuários sendo constantemente bombardeados com tentativas de phishing) e a criatividade e adaptabilidade dos atacantes em fornecer iscas mais difíceis de detectar.

O principal alvo das campanhas de phishing nas quais os usuários clicaram em 2024 foram os aplicativos em nuvem, representando mais de um quarto dos cliques. Os objetivos do atacante variam de acordo com o alvo:

Nuvem — Os atacantes pretendem vender o acesso à conta roubada em mercados ilícitos, onde o comprador o usará para comprometer e-mails comerciais, roubar dados ou transferir dados para outras vítimas de maior valor.
Bancos — As instituições bancárias são alvo de fraudes financeiras.
Telecomunicações — Os provedores de telecomunicações são alvo de fraudes ou de vender acesso a contas roubadas.
Mídia social — As contas de mídia social podem ser usadas por atores de baixo nível para propagar fraudes e espalhar malware ou por grupos adversários sofisticados para espalhar desinformação e desinformação.
Governo — O alvo de phishing governamental mais comum é o Internal Revenue Service nos Estados Unidos, onde as informações financeiras são solicitadas para pagar uma restituição de imposto.

A marca mais visada entre os aplicativos em nuvem é a Microsoft, onde os atacantes têm como alvo as credenciais Microsoft Live e 365. As páginas direcionadas ao Yahoo e à AOL são semelhantes, visando explicitamente as credenciais de login desses aplicativos. No entanto, as páginas falsas da Adobe e da DocuSign são um pouco diferentes, conforme ilustrado nas capturas de tela abaixo do gráfico: as páginas de phishing usam as marcas Adobe e DocuSign para direcionar credenciais para outros serviços. Para garantir que ninguém fique de fora, os atacantes em ambos os exemplos incluem até mesmo uma opção “outra” na qual a vítima pode inserir qualquer endereço de e-mail e senha. Em ambos os exemplos e na maioria dos outros, o Microsoft 365 está entre as credenciais de destino. Como resultado, a porcentagem de usuários que clicam em links direcionados às credenciais da Microsoft está próxima de 75%. A popularidade da Microsoft como alvo de phishing não surpreende porque o Microsoft 365 é o pacote de produtividade mais popular por uma grande margem.

O local onde as vítimas estão encontrando os links de phishing fornece pistas sobre por que o número de usuários que clicam nesses links pode ter aumentado no ano passado. A maioria dos cliques não veio de e-mail, mas sim de vários outros locais na web. O principal referenciador foram os mecanismos de pesquisa, nos quais os invasores veiculam anúncios maliciosos ou usam técnicas de envenenamento por SEO para obter as páginas de phishing listadas no topo dos resultados dos mecanismos de pesquisa para termos específicos. Outros principais referenciadores incluíram sites de compras, tecnologia, negócios e entretenimento, onde as referências vêm de comentários, anúncios maliciosos e sites infectados. A variedade de fontes de phishing ilustra a engenharia social criativa dos atacantes. Eles sabem que suas vítimas podem ter cuidado com os e-mails recebidos (onde são ensinados repetidamente a não clicar nos links), mas clicarão muito mais livremente nos links dos resultados dos mecanismos de pesquisa.

Cavalos de Troia

1,4 em cada 100 pessoas encontraram conteúdo malicioso na web ou na nuvem a cada mês durante 2024. Os tipos mais comuns de conteúdo encontrados foram os Trojans baseados em JavaScript. Esses scripts maliciosos têm como objetivo induzir a vítima a baixar malware, visitar outro site malicioso de fraude ou phishing ou autorizar o acesso às suas contas. Abaixo está uma lista das 10 famílias de malware mais comuns, todas projetadas para induzir suas vítimas a baixar, abrir ou clicar em algo para iniciar uma série de eventos em cascata projetados para comprometer seus sistemas. O bloqueio de cavalos de Troia é crucial porque eles geralmente são o vetor inicial para atividades maliciosas mais sofisticadas, incluindo espionagem, ransomware, fraude financeira e sabotagem.

Backdoor.Zusy (a.k.a . TinyBanker) é um Trojan bancário baseado no código-fonte do Zeus que visa roubar informações pessoais por meio de injeção de código em sites.

Downloader.Nemucod é um downloader de JavaScript que já entregou o Teslacrypt.

Downloader.sload (também conhecido como Starslord) é um downloader frequentemente usado para entregar Ramnit.
Downloader.Upatre é um downloader que distribui outras cargas úteis, como Locky e Dridex.

O InfoStealer.AgentTesla é um Trojan de acesso remoto baseado em.NET com muitos recursos, incluindo roubar senhas do navegador, registrar as teclas digitadas e capturar o conteúdo da área de transferência.

O Trojan.CobaltStrike é uma poderosa estrutura comercial de teste de penetração que permite várias funcionalidades, incluindo uma estrutura de comando e controle altamente personalizável para evitar a detecção tradicional baseada em rede. As versões crackeadas do CobaltStrike são amplamente usadas por muitos grupos adversários.

Trojan.FakeUpdater (também conhecido como SocgHolish) é um downloader de JavaScript que fornece várias cargas úteis, incluindo Dridex e Azorult.

O Trojan.Parrottds é um sistema de direcionamento de tráfego baseado em JavaScript que infecta sites desde 2019 e tem sido usado para redirecionar o tráfego para vários locais maliciosos.

Trojan.Valyria (a.k.a . POWERSTATS) é uma família de documentos maliciosos do Microsoft Office que contêm VBScripts maliciosos incorporados, geralmente para entregar outras cargas maliciosas.

O Trojan.VextRio é um sistema de direção de tráfego baseado em JavaScript que está ativo desde 2017 e é usado por várias organizações criminosas para redirecionar as vítimas para vários locais maliciosos.

O local onde os atacantes hospedam suas cargas maliciosas também é um elemento da engenharia social. Os atacantes querem hospedar conteúdo malicioso em plataformas nas quais as vítimas depositam confiança implícita, como aplicativos de nuvem populares. Como resultado, downloads de conteúdo malicioso de aplicativos populares em nuvem ocorrem em 88% das organizações todos os meses. Embora os downloads venham de centenas de aplicativos, o gráfico abaixo apresenta os cinco principais aplicativos em termos da porcentagem de organizações que baixam conteúdo malicioso. O GitHub está no topo porque hospeda várias ferramentas de equipe vermelha usadas para fins benignos e maliciosos. O Google Drive, o OneDrive, o Amazon S3 e o Box seguem porque são aplicativos de armazenamento em nuvem onipresentes, amplamente usados na empresa. Todos os fornecedores desta lista geralmente são proativos e responsivos na remoção de conteúdo malicioso de suas plataformas, limitando o risco apenas ao curto período de tempo em que o conteúdo pode ser acessado pela vítima.

Risco de aplicativos pessoais

A onipresença dos aplicativos pessoais em nuvem na empresa criou um ambiente em que os usuários usam aplicativos pessoais para processar ou armazenar informações confidenciais, levando à perda do controle organizacional sobre os dados e possíveis violações de dados. Parte disso não é intencional (por exemplo, todos os arquivos são copiados automaticamente em uma conta pessoal do OneDrive ou do iCloud) e alguns são intencionais (por exemplo, usar contas pessoais do aplicativo GenAI para processar dados). Nos dois exemplos anteriores, a intenção é benigna (as pessoas estão apenas tentando realizar seu trabalho). Ainda assim, as organizações também veem pessoas usando aplicativos pessoais com intenções maliciosas, como quando funcionários que saem pegam dados do cliente, código-fonte ou propriedade intelectual usando aplicativos pessoais. A grande maioria dos usuários (88%) usa aplicativos pessoais em nuvem todos os meses, com 26% fazendo upload, publicando ou enviando dados para aplicativos pessoais. Os 10 principais aplicativos pessoais para os quais os usuários enviam dados são mostrados na figura abaixo, que destaca os seguintes temas:

Armazenamento em nuvem: o Google Drive e o Microsoft OneDrive são os aplicativos pessoais mais populares para carregar dados de dispositivos gerenciados.
Webmail: Os aplicativos de webmail que acompanham os principais aplicativos de armazenamento em nuvem (Gmail e Outlook) também estão entre os 10 melhores.
GenAI: Instâncias pessoais dos aplicativos GenAI ChatGPT e Google Gemini também são muito populares. A seção a seguir, intitulada “Risco generativo de IA”, fornece mais detalhes sobre como esses aplicativos estão sendo usados e os riscos que eles representam.
Mídia social: os aplicativos de mídia social LinkedIn, Facebook e Twitter compõem três dos 10 principais aplicativos. Os dados enviados para esses aplicativos são uma mistura de postagens feitas em caráter oficial e postagens pessoais.
Calendário: o Google Agenda também é muito popular, onde os dados enviados ao aplicativo incluem uma combinação de notas de reuniões pessoais e relacionadas à organização e detalhes de videoconferência.

Os principais riscos associados às instâncias de aplicativos pessoais variam de acordo com o tipo de aplicativo:

Armazenamento em nuvem: algum dado confidencial está sendo carregado (manual ou automaticamente) para aplicativos de armazenamento em nuvem fora do controle da organização?
Webmail: O webmail pessoal está sendo usado para qualquer correspondência comercial?
GenAI: Os aplicativos pessoais do GenAI estão sendo usados para fins comerciais? Algum dado confidencial está sendo enviado para esses aplicativos? Como os aplicativos usam seus dados?
Mídia social: as publicações nas redes sociais estão alinhadas com as políticas regulatórias e organizacionais?
Calendário: Há detalhes confidenciais da reunião, links de videoconferência ou notas de reunião armazenados em calendários pessoais?

DLP
Os usuários que vazam dados confidenciais por meio de aplicativos pessoais são a principal preocupação da maioria das organizações, com 66% das organizações usando DLP para restringir o fluxo de dados em aplicativos pessoais. O tipo mais comum de violação da política de dados é o envio de dados regulamentados (como dados pessoais, financeiros ou de saúde) para aplicativos pessoais. Os outros tipos de dados confidenciais incluíam propriedade intelectual, senhas e chaves e código-fonte. Os dados criptografados, em que a principal preocupação é que a criptografia possa ser uma tentativa deliberada de evitar os controles de DLP ou ocultar o conteúdo, representaram uma pequena porcentagem do total. Criptografar ou codificar dados antes de exfiltrá-los também é uma tática comum de adversários externos após eles terem comprometido os sistemas de informação da vítima.

Risco generativo de IA

O uso generativo de aplicativos de IA continuou a aumentar ao longo de 2024 em termos de três métricas principais.

Adoção organizacional — 94% das organizações agora usam aplicativos GenAI, contra 81% há um ano.
Contagem de usuários — 7,8% das pessoas em uma organização usam os aplicativos GenAI em média, o triplo da média de 2,6% no final de 2023.
Adoção de aplicativos — As organizações usam uma média de 9,6 aplicativos GenAI, contra 7,6 de um ano atrás.

Em outras palavras, mais organizações estão usando o GenAI, mais usuários estão usando o GenAI e as organizações estão usando mais aplicativos GenAI do que há um ano. Além disso, todas essas três métricas estão prontas para continuar aumentando ao longo de 2025, à medida que os aplicativos GenAI solidificam sua posição como pilar corporativo.

Adoção da organização

A porcentagem de organizações que usam aplicativos GenAI continua crescendo, de 81% no final de 2023 para 94% no final de 2024. À medida que a adoção se aproxima de 100%, essa taxa de crescimento diminuiu consideravelmente. Na trajetória atual, 96% das organizações usarão os aplicativos GenAI até o final de 2025. Os setores com as menores taxas de adoção de IA que terão aumentos no próximo ano incluem bancos, governos estaduais, governos locais e educação. Mesmo nesses setores, a adoção já é alta, em ou acima de 85%.

Contagens de usuários

O número de pessoas usando aplicativos GenAI triplicou no ano passado, de 2,6% para 7,8% na organização média. Os 25% melhores das organizações tinham pelo menos 21% de seus funcionários usando aplicativos GenAI, enquanto o 1% inferior tinha apenas 1,7%. Esperamos ver o número de usuários do GenAI dobrar em 2025 na taxa de crescimento atual. As organizações com a maior média de usuários incluem os setores de varejo e tecnologia, com uma média de mais de 13% de suas pessoas usando os aplicativos GenAI. Os 25% principais das organizações de varejo tinham pelo menos 34% de pessoas usando aplicativos GenAI, enquanto os 25% melhores em tecnologia lideraram todos os outros setores, com pelo menos 41% das pessoas usando aplicativos GenAI. No outro extremo do espectro, o setor bancário ficou atrás, com apenas 3% dos usuários na organização média usando o GenAI.

Adoção de aplicativos

A organização média usa 9,6 aplicativos GenAI, contra 7,6 há um ano. Os 25% melhores das organizações agora usam pelo menos 24 aplicativos, enquanto os 25% inferiores usam no máximo quatro aplicativos. Na trajetória atual, a média aumentará modestamente em mais dois aplicativos em 2025, assim como o primeiro e o terceiro quartis.

Quatro aplicativos GenAI populares que impulsionaram o aumento no número de aplicativos por organização foram Google Gemini, Microsoft Copilot, Perplexity AI e GitHub Copilot, cuja popularidade aumentou em 2024. Embora não tenham conseguido acompanhar o ChatGPT e o Grammarly, que mantiveram seu status como os dois aplicativos mais populares, eles superaram todos os outros. Com base em sua trajetória atual, esses quatro aplicativos estão prontos para ultrapassar o Grammarly em 2025.

A figura a seguir mostra a série temporal da adoção dos 10 principais aplicativos no ano passado, com o ChatGPT, o Google Gemini e o Perplexity AI aumentando aproximadamente 20 pontos percentuais ao longo do ano. Os únicos dois aplicativos com ganhos mais substanciais foram o Microsoft Copilot e o GitHub Copilot, novas ofertas da Microsoft, que tiveram um crescimento substancial imediatamente após a disponibilidade geral. Desde então, suas taxas de crescimento diminuíram, mas os dois aplicativos ainda estão prontos para continuar sua ascensão até 2025. Todos os aplicativos GenAI entre os dez primeiros tiveram sua adoção aumentar em pelo menos seis pontos percentuais no ano passado e continuarão a obter ganhos adicionais em 2025.

A seção “Risco de aplicativos pessoais” destacou que o uso pessoal de aplicativos GenAI representa um risco à segurança de dados. Esta seção destaca o risco de dados de IA com mais detalhes, ressaltando os desafios de segurança de dados que as organizações enfrentam e como elas controlam esse risco. Os principais riscos estão resumidos na figura abaixo, que mostra a distribuição de violações de políticas para dados enviados aos aplicativos GenAI. Código-fonte, dados regulamentados (como dados pessoais, financeiros ou de saúde), propriedade intelectual e senhas e chaves (normalmente vazadas no código-fonte) representam uma porcentagem significativa das violações. Os dados criptografados, um desafio para aplicativos pessoais em geral, não são um desafio para os aplicativos GenAI, onde o upload de dados criptografados não é valioso.

Enquanto 94% das organizações estão usando aplicativos GenAI, mais de 99% das organizações têm controles implementados para mitigar os riscos que os aplicativos GenAI representam. O restante desta seção explora três dos controles mais comuns para gerenciar o risco de dados do GenAI:

Bloqueio: o bloqueio é comum, com 73% das organizações bloqueando pelo menos um aplicativo e a amplitude dos bloqueios aumentando nas organizações mais agressivas.
Coaching: O coaching de usuário interativo e em tempo real é usado em 34% das organizações para controlar o risco de dados da GenAI, capacitando os indivíduos a tomar decisões informadas sobre o risco da IA em tempo real.
DLP: A adoção do DLP continua aumentando, com 45% das organizações usando o DLP para controlar o fluxo de dados nos aplicativos GenAI.

Bloqueio

Os blocos são uma estratégia eficaz para aplicativos que não servem para fins comerciais e nunca devem ser usados sob nenhuma circunstância. Em média, o número de aplicativos GenAI bloqueados por organização permaneceu estável no ano passado e atualmente está em 2,4 aplicativos por organização. Por outro lado, houve um aumento significativo no número de aplicativos bloqueados pelos 25% principais das organizações, onde o número de aplicativos bloqueados mais que dobrou de 6,3 para 14,6 no ano passado. Os setores que bloqueiam a maioria dos aplicativos são os setores altamente regulamentados de bancos, serviços financeiros, saúde e telecomunicações. No outro extremo do espectro, os setores de manufatura, varejo e tecnologia bloqueiam o menor número de aplicativos GenAI, em média.

A lista dos 10 aplicativos de IA mais bloqueados revela várias categorias, incluindo assistentes de redação, chatbots, geradores de imagem e geradores de áudio. Essa lista permaneceu essencialmente a mesma desde o verão de 2024, com uma exceção notável: o Perplexity AI se tornou menos comumente bloqueado à medida que cresceu em popularidade.

Coaching

O treinamento de usuários em tempo real ajuda os usuários a tomar decisões informadas sobre segurança de dados quando confrontados com escolhas difíceis. Por exemplo, pode lembrar ao usuário que o aplicativo GenAI que ele está prestes a usar não está aprovado para dados confidenciais e perguntar se ele gostaria de usá-lo de qualquer maneira. Essa estratégia capacita o indivíduo, que normalmente entende os dados e o conteúdo da empresa, a tomar a decisão certa. O treinamento de usuários em tempo real reduz o risco de GenAI em 34% das organizações em todo o mundo. O treinamento de usuários em tempo real é popular em todos os setores, com o varejo liderando o mercado como o setor com a maior taxa de adoção.

O treinamento de usuários em tempo real é uma ferramenta altamente eficaz para ajudar a moldar o comportamento do usuário. A introdução deste relatório destacou que os indivíduos tendem a tomar decisões relevantes para a segurança cibernética sob coação (por exemplo, trabalhando em um projeto com um prazo urgente) e com informações limitadas (por exemplo, sem estar totalmente cientes das políticas organizacionais e dos riscos envolvidos). O treinamento de usuários em tempo real ajuda a enfrentar o desafio de informações limitadas: “Você está prestes a publicar um arquivo que parece conter nomes de pacientes no ChatGPT, o que violaria as políticas da nossa empresa. Você gostaria de continuar?” Apenas 27% das vezes o usuário prossegue quando recebe uma solicitação de treinamento em tempo real. Nos outros 73% das vezes, o usuário decide não continuar com base nas informações fornecidas no prompt de treinamento. O coaching é um equilíbrio delicado, em que muito treinamento leva à fadiga cognitiva e os usuários clicam automaticamente em sim. Uma alta taxa de prosseguimento indica fadiga cognitiva e treinamento ineficaz. As organizações que utilizam o treinamento de usuários devem revisar regularmente as taxas nas quais os usuários optam por prosseguir e usar o feedback das respostas de treinamento para criar políticas mais diferenciadas.

DLP
O DLP pode inspecionar solicitações e outros dados enviados aos aplicativos GenAI em tempo real e tomar decisões de permissão/bloqueio com base no conteúdo. Também pode ser usado com treinamento de usuários em tempo real, notificando o usuário de que uma solicitação que ele está postando contém informações confidenciais e perguntando se ele gostaria de continuar enviando-a de qualquer maneira. O DLP como estratégia para mitigar o risco GenAI está crescendo em popularidade globalmente a taxas modestas, de 42% no verão de 2024 para 45% no final do ano. A adoção de DLP varia muito de acordo com o setor, com o setor de telecomunicações liderando todos os outros com 64% de adoção de DLP para a GenAI.

Risco adverso

O risco adverso se refere ao risco de que adversários altamente motivados, com bons recursos e sofisticados, acabem tendo sucesso em suas tentativas persistentes de se infiltrar em uma organização-alvo. Esses adversários constantemente evoluem e refinam táticas e técnicas para evitar medidas defensivas. Esses adversários geralmente têm objetivos específicos, como ganho financeiro, roubo de informações ou sabotagem, e geralmente são motivados criminalmente ou geopoliticamente. Gerenciar riscos adversos significa tomar medidas proativas para entender as táticas e técnicas atuais do adversário e realizar avaliações de risco contínuas para garantir que as contramedidas apropriadas estejam em vigor para protegê-los. A atividade adversária no ciberespaço normalmente reflete o cenário geopolítico mais amplo, que em 2024 incluiu a contínua invasão russa da Ucrânia e a mudança da dinâmica de poder entre superpotências (China e Estados Unidos, Rússia e OTAN) no cenário global.

Tufão de sal

Localização: China
Motivação: Geopolítica

O Salt Typhoon é um grupo chinês focado em espionagem, famoso por se infiltrar em várias empresas de telecomunicações em 2024. Eles exploraram as fraquezas existentes na infraestrutura das empresas de telecomunicações e mantiveram um acesso furtivo prolongado, conduzindo uma sofisticada campanha de espionagem contra os clientes dessas empresas. Essa campanha levou a CISA a divulgar diretrizes detalhadas de visibilidade e fortalecimento da infraestrutura de comunicações. A violação inicial ressalta a importância de investir no fortalecimento dos sistemas contra invasores. Ao mesmo tempo, o acesso prolongado que o Salt Typhoon teve à infraestrutura de suas vítimas ressalta a importância de investir em sistemas de segurança cibernética que possam monitorar, detectar e compreender as atividades na rede de uma organização. A visibilidade é um requisito essencial que permite a detecção oportuna de ameaças e anomalias e a resposta rápida a qualquer incidente.

TA577

Localização: Rússia
Motivação: Criminal
Pseudônimos: Hive0118

O TA577 tem como alvo vários setores em todo o mundo, fornecendo cargas úteis de malware, incluindo Qbot, Ursnif e Cobalt Strike. Eles estão ativos desde 2020 e funcionam principalmente como um corretor de acesso inicial (IAB), um grupo especializado em se infiltrar em organizações e vender acesso não autorizado a outros grupos adversários. Os IABs dependem muito de vulnerabilidades de engenharia social e segurança para obter acesso aos seus sistemas de destino. Em 2024, o Netskope Threat Labs rastreou possíveis atividades do TA577 direcionadas a vítimas em todo o mundo, incluindo EUA, Reino Unido, Canadá, Austrália, África e Europa. As metas abrangiam vários setores, incluindo saúde, serviços financeiros, jurídico e tecnologia.

UAC-0050

Localização: Rússia
Motivação: Geopolítica

O UAC-0050 é um grupo russo que começou em 2023 e cujo foco é a espionagem contra a Ucrânia. Eles são conhecidos por distribuir o Trojan de acesso remoto Remcos (RAT) e dependem muito da engenharia social para obter acesso às organizações-alvo. Em 2024, o Netskope Threat Labs rastreou a atividade potencial do UAC-0050 visando principalmente organizações em infraestrutura crítica, incluindo telecomunicações, serviços financeiros, bancos e transporte. Embora seu foco principal seja a Ucrânia, o Netskope Threat Labs também rastreou possíveis atividades do UAC-0050 direcionadas a vítimas em regiões aliadas à Ucrânia, incluindo EUA, Brasil e Austrália.

Recomendações

O Netskope Threat Labs recomenda que as organizações em todo o mundo revisem sua postura de segurança para garantir que estejam adequadamente protegidas contra o risco de engenharia social, o risco de aplicativos pessoais, o risco de IA generativa e as tendências de risco do adversário destacadas neste relatório:

Inspecione todo o tráfego HTTP e HTTPS (nuvem e web) em busca de phishing, cavalos de Tróia, malware e outros conteúdos maliciosos. Netskope os clientes podem configurar sua política de Netskope Next Gen Secure Web Gateway com uma política de Threat Protection que se aplica a todo o tráfego.
Certifique-se de que os tipos de arquivos de alto risco, como executáveis e arquivos, sejam cuidadosamente inspecionados usando uma combinação de análise estática e dinâmica antes de serem baixados. Os clientes do Netskope Advanced Threat Protection podem usar uma Política de Prevenção Zero do Paciente para reter os downloads até que eles tenham sido totalmente inspecionados.
Bloqueie o acesso a aplicativos que não atendem a nenhum propósito comercial legítimo ou que representem um risco desproporcional para a organização. Um bom ponto de partida é uma política que permita aplicativos confiáveis atualmente em uso e, ao mesmo tempo, bloqueie todos os outros.
Bloqueie downloads de aplicativos e instâncias que não são usados em sua organização para reduzir sua superfície de risco apenas para os aplicativos e instâncias necessários para a empresa.
Bloqueie uploads em aplicativos e instâncias que não são usados em sua organização para reduzir o risco de exposição acidental ou deliberada de dados por parte de pessoas internas ou de abuso por parte de invasores.
Use políticas de DLP para detectar informações potencialmente confidenciais, incluindo código-fonte, dados regulamentados, senhas e chaves, propriedade intelectual e dados criptografados, sendo enviadas para instâncias de aplicativos pessoais, aplicativos GenAI ou outros locais não autorizados.
Use treinamento de usuário em tempo real para lembrar os usuários da política da empresa em relação ao uso de aplicativos de IA, aplicativos pessoais e dados confidenciais no momento da interação.
Aproveite as respostas às solicitações de coaching para refinar e criar políticas mais diferenciadas, garantindo que o coaching permaneça direcionado e eficaz e não contribua para a fadiga cognitiva.
Analise regularmente a atividade, as tendências, os comportamentos e a sensibilidade dos dados dos aplicativos de IA para identificar riscos para a organização e configurar políticas para mitigar esses riscos.
Use um Sistema de Prevenção de Intrusões (IPS) que possa identificar e bloquear padrões de tráfego maliciosos, como tráfego de comando e controle associado ao malware predominante. Bloquear esse tipo de comunicação pode evitar maiores danos ao limitar a capacidade do atacante de realizar ações adicionais.
Use uma plataforma de análise de comportamento para identificar ameaças ocultas, como dispositivos comprometidos, contas comprometidas e ameaças internas. Uma plataforma de análise de comportamento pode identificar ameaças sofisticadas e difíceis de identificar em seu ambiente, como beacons de comando e controle maleáveis (personalizados) de estruturas como Mythic e CobaltStrike.
Use a tecnologia Remote Browser Isolation (RBI) para fornecer proteção adicional quando houver necessidade de visitar sites que se enquadram em categorias que podem apresentar maior risco, como domínios recém-observados e recém-registrados.

Netskope Threat Labs

Com a equipe dos principais pesquisadores de malware e ameaças na nuvem do setor, o Netskope Threat Labs descobre, analisa e projeta defesas contra as mais recentes ameaças na nuvem que afetam as empresas. Nossos pesquisadores são apresentadores regulares e voluntários nas principais conferências de segurança, incluindo DefCon, BlackHat e RSA.

Sobre este relatório

A Netskope oferece proteção contra ameaças a milhões de usuários em todo o mundo. As informações apresentadas neste relatório baseiam-se em dados de uso anônimos coletados pela plataforma Netskope One em relação a um subconjunto de clientes da Netskope com autorização prévia.

Este relatório contém informações sobre as detecções levantadas pelo Next Generation Secure Web Gateway (SWG) da Netskope, sem considerar a importância do impacto de cada ameaça individual. As estatísticas deste relatório são baseadas no período de 1º de novembro de 2023 a 30 de novembro de 2024. As estatísticas refletem as táticas do atacante, o comportamento do usuário e a política da organização.

Relatórios de nuvem e ameaças

O Netskope Cloud and Threat Report traz informações exclusivas sobre a adoção de aplicativos na nuvem, mudanças no panorama das ameaças preparadas para a nuvem e os riscos para os dados corporativos.

Procurar relatórios

Tempestade com relâmpagos sobre a cidade à noite

Acelere seu programa de segurança de nuvem, dados, IA e rede com o Netskope

Iniciar

Relatório de nuvem e ameaças: 2025

Relatório de nuvem e ameaças de2025

Neste relatório

Introdução

Risco de engenharia social

Phishing

Cavalos de Troia

Risco de aplicativos pessoais

Risco generativo de IA

Adoção da organização

Contagens de usuários

Adoção de aplicativos

Bloqueio

Coaching

Risco adverso

Tufão de sal

TA577

UAC-0050

Recomendações

Netskope Threat Labs

Sobre este relatório

Relatórios de nuvem e ameaças

Acelere seu programa de segurança de nuvem, dados, IA e rede com o Netskope

Relatório de nuvem e ameaças:
2025

Relatório de nuvem e ameaças de
2025