Quase deixamos passar um ataque de movimento lateral durante uma resposta a incidente. Estávamos focados no vetor de acesso inicial — o phishing, a credencial comprometida, como o atacante entrou. Era o óbvio. Era o que todo mundo queria saber. Mas o óbvio é exatamente o que cega uma equipe de IR.
O óbvio que cega: foco no acesso inicial
Na Tech86, estávamos mapeando a cadeia de kill chain a partir do ponto de entrada. Tudo fazia sentido. O phishing levou a uma credencial comprometida, a credencial levou a uma sessão ativa, a sessão levou ao servidor inicial. A narrativa era limpa e linear — exatamente o tipo de narrativa que faz uma equipe parar de procurar.
Segundo o Mandiant M-Trends, o tempo médio de detecção de movimento lateral é de 14 dias. Não porque o movimento lateral seja invisível, mas porque equipes de IR priorizam o acesso inicial. O atacante entra, a equipe pergunta "como ele entrou?", e enquanto todos olham para a porta da frente, o atacante já está se movendo pelos corredores. Esse é o padrão. Nós estávamos prestes a repeti-lo.
A descoberta: um segundo conjunto de atividades
A diferença foi um analista que questionou o consenso. Ao cruzar dados de identidade com telemetria de endpoint, percebeu: havia um segundo conjunto de atividades que não pertencia ao mesmo ator. Movimento lateral via WMI. Passando por 47 políticas de micro-segmentation aparentemente intactas.
WMI é um vetor de movimento lateral frequentemente negligenciado. É legítimo, é nativo do Windows, e a maioria das ferramentas de EDR não alerta sobre seu uso porque ele se mistura ao ruído administrativo normal. Segundo o Unit 42, 87% dos incidentes só ficam visíveis quando você cruza identidade, endpoint e cloud. Nós estávamos olhando apenas para identidade e endpoint — e mesmo assim quase perdemos. Faltava a camada de cloud para confirmar que o segundo conjunto de atividades era real.
A política 23 e a exceção legada de 18 meses
Quarenta e sete políticas de micro-segmentation aparentemente intactas. Aparentemente. Quando auditamos uma a uma, a política 23 tinha uma regra allow ampla demais. Uma exceção temporária criada 18 meses antes, nunca revogada. Por ela passava um caminhão.
Micro-segmentation é uma arquitetura defensiva poderosa quando bem implementada. Mas seu ponto fraco não é a configuração inicial — é o decaimento ao longo do tempo. Exceções temporárias viram permanentes. Regras de allow amplas permanecem porque ninguém quer quebrar algo que funciona. A política 23 foi criada para um projeto de migração em janeiro de 2025. O projeto terminou em março de 2025. A exceção permaneceu até julho de 2026. Dezoito meses de uma porta aberta que ninguém lembrou que existia.
Segundo o Sophos X-Ops, há registros de ransomware que apagou Windows Event Logs especificamente para destruir rastros de movimento lateral. O atacante não precisa de zero-days quando a defesa apaga suas próprias evidências por negligência. A exceção legada é o equivalente defensivo de deixar a porta aberta e jogar fora a chave.
O que dizem os dados: Mandiant, Unit 42, Sophos X-Ops
Os dados externos confirmam que o que vivemos não foi um caso isolado. Segundo o Mandiant M-Trends, o tempo médio de detecção de movimento lateral é de 14 dias porque equipes de IR priorizam o acesso inicial. Quatorze dias é tempo suficiente para que um atacante atravesse toda a infraestrutura, estabeleça persistência em múltiplos sistemas e prepare o terreno para ransomware ou exfiltração.
Segundo o Unit 42, 87% dos incidentes só ficam visíveis quando você cruza identidade, endpoint e cloud. Olhar para uma única camada é olhar para uma fração do quadro. O movimento lateral vive nas bordas entre camadas — é exatamente onde nenhuma ferramenta individual olha.
Segundo o Sophos X-Ops, há casos documentados de ransomware que apagou Windows Event Logs para destruir rastros de movimento lateral. O atacante entende que o log é a evidência. Sem log, não há investigação. Sem investigação, não há containment eficaz.
Como mudamos a metodologia na Tech86
Depois desse incidente, mudamos a metodologia na Tech86. Toda resposta a incidente agora tem uma trilha paralela de investigação de movimento lateral desde o minuto zero, independente do vetor de entrada. Não esperamos terminar a análise do acesso inicial para começar a procurar movimento lateral. As duas trilhas correm em paralelo.
E toda política de micro-segmentation é auditada por exceções legadas antes do containment. Não basta confirmar que as políticas existem — é preciso confirmar que elas fazem o que deveriam fazer, e que nenhuma exceção temporária virou permanente. A auditoria de exceções é agora uma etapa obrigatória, não opcional.
Aprender isso do jeito difícil é o que nos torna melhores no que fazemos. O analista que questionou o consenso salvou essa resposta a incidente. A lição não é que somos infalíveis — é que a disciplina de questionar o consenso é o que separa uma resposta a incidente completa de uma que apenas confirma o que todo mundo já esperava.
Conclusão
Movimento lateral é a fase do ataque onde o atacante já está dentro e se movendo. É a fase mais difícil de detectar e a mais fácil de negligenciar. Segundo o Mandiant M-Trends, 14 dias é a média — e 14 dias é muito tempo. Na Tech86, nós aprendemos que a única defesa contra movimento lateral é uma trilha de investigação paralela desde o minuto zero, cruzando identidade, endpoint e cloud, e auditando cada exceção legada antes do containment. Se você está em uma resposta a incidente agora e só está olhando para o acesso inicial, pare. Comece a procurar movimento lateral. O atacante já está se movendo.