Glossário de Cibersegurança: Termos Essenciais

Principais conclusões

›Os termos de cibersegurança se organizam em quatro funções: detectar (SIEM, EDR, XDR, NDR, SOC), responder (DFIR, MTTD, MTTR, IoC), atacar de forma controlada (Pentest, Red Team) e governar o risco (Zero Trust, TPRM, SOAR) — todos referenciáveis ao MITRE ATT&CK.
›Ferramenta não é operação: SIEM, EDR e XDR são tecnologias; SOC, Threat Hunting e DFIR são disciplinas que dão sentido a elas. Comprar a ferramenta sem o processo deixa pontos cegos como o Shadow IT.
›MTTD e MTTR são os números que importam: quanto menor o tempo entre comprometimento, detecção e contenção, menor o estrago. É por isso que a Decripte opera com SLA de contenção de incidente crítico em até 1 hora.
›Para fintechs, crypto e apps, governança de risco é tão crítica quanto detecção: Zero Trust controla em quem sua arquitetura confia internamente, e TPRM controla o risco que cada fornecedor e integração de terceiro traz para dentro.

Detecção e Monitoramento

A camada de detecção reúne as tecnologias que coletam, correlacionam e analisam telemetria para identificar atividade maliciosa antes que vire incidente. O SIEM (Security Information and Event Management) centraliza e correlaciona logs de toda a infraestrutura; o EDR (Endpoint Detection and Response) instrumenta endpoints com visibilidade comportamental; o NDR (Network Detection and Response) faz o mesmo para o tráfego de rede; e o XDR (Extended Detection and Response) unifica endpoint, rede, identidade e nuvem em uma única plataforma de correlação. Acima dessas ferramentas opera o SOC (Security Operations Center), a equipe e o processo que monitoram 24x7.

O monitoramento moderno não é puramente reativo. O Threat Hunting é a busca proativa e baseada em hipóteses por adversários que já burlaram os controles automatizados, partindo de comportamento esperado e procurando desvios — frequentemente mapeado contra técnicas reais do MITRE ATT&CK. Um desafio recorrente de visibilidade é o Shadow IT: sistemas, SaaS e dispositivos usados sem aprovação de TI, que ficam fora do escopo de monitoramento e ampliam a superfície de ataque sem que o SOC os enxergue.

Resposta a Incidentes e Forense

Quando a detecção dispara, a resposta entra em cena. DFIR (Digital Forensics and Incident Response) é a disciplina que combina forense digital — preservação e análise de evidências — com resposta a incidentes — contenção, erradicação e recuperação. A eficácia dessa operação é medida por dois indicadores complementares: o MTTD (Mean Time to Detect), tempo médio entre o início do comprometimento e sua detecção, e o MTTR (Mean Time to Respond/Recover), tempo médio para conter e resolver o incidente após detectado.

O insumo técnico que conecta detecção e resposta é o IoC (Indicator of Compromise): artefatos observáveis — hashes de arquivo, IPs, domínios, chaves de registro — que evidenciam um comprometimento e alimentam regras de detecção, varreduras retroativas e relatórios forenses. Na Decripte, a contenção de incidentes críticos tem SLA de até 1 hora, porque reduzir MTTD e MTTR é o que separa um susto de um vazamento.

Segurança Ofensiva

A perspectiva ofensiva valida defesas atacando-as de forma controlada. O Pentest (teste de intrusão) é um exercício com escopo, prazo e objetivos definidos para encontrar e explorar vulnerabilidades em um alvo específico (aplicação, rede, API), entregando achados acionáveis. O Red Team vai além: simula um adversário real e persistente, sem alvo único pré-definido, testando pessoas, processos e tecnologia ao longo de uma campanha — frequentemente medindo a capacidade de detecção e resposta do SOC (o lado Blue Team).

Tanto Pentest quanto Red Team se ancoram no MITRE ATT&CK, a base de conhecimento que cataloga táticas e técnicas adversárias observadas no mundo real. Mapear cada ação ofensiva a uma técnica ATT&CK permite traduzir o exercício em lacunas concretas de detecção e priorizar correções.

Arquitetura, Automação e Risco de Terceiros

A governança define como a segurança é estruturada e escalada. Zero Trust é o modelo arquitetural que elimina a confiança implícita por localização de rede: cada acesso é verificado continuamente com base em identidade, contexto e postura do dispositivo, sob o princípio de menor privilégio. Para escalar a operação, o SOAR (Security Orchestration, Automation and Response) automatiza playbooks de resposta, orquestrando ferramentas e reduzindo o trabalho manual repetitivo do SOC.

O risco não para no perímetro próprio. O TPRM (Third-Party Risk Management) é a disciplina de identificar, avaliar e monitorar continuamente os riscos de segurança introduzidos por fornecedores, parceiros e cadeia de suprimentos de software. Para fintechs, apps e e-commerces — que dependem de dezenas de integrações e SaaS — TPRM e Zero Trust são complementares: um controla quem confia em você, o outro controla em quem você confia.

Termos definidos

Threat Hunting: Busca proativa e baseada em hipóteses por adversários que já contornaram os controles automatizados, partindo do comportamento esperado de uma rede e procurando desvios. Diferente do alerta reativo, parte da premissa de que o ambiente pode já estar comprometido.
MITRE ATT&CK: Base de conhecimento pública e curada que cataloga táticas, técnicas e procedimentos (TTPs) usados por adversários reais, organizada por fases de um ataque. Serve de linguagem comum para mapear detecções, exercícios ofensivos e lacunas de defesa.
Shadow IT: Uso de sistemas, aplicativos SaaS, dispositivos ou serviços de nuvem sem conhecimento ou aprovação da equipe de TI/segurança. Amplia a superfície de ataque porque opera fora do inventário, do monitoramento e das políticas da organização.
SIEM: Security Information and Event Management: plataforma que coleta, normaliza, correlaciona e armazena logs e eventos de toda a infraestrutura para detecção de ameaças, alertas e investigação. É o repositório central de telemetria de segurança de um SOC.
SOAR: Security Orchestration, Automation and Response: plataforma que automatiza e orquestra fluxos de resposta a incidentes por meio de playbooks, integrando ferramentas de segurança para reduzir trabalho manual e acelerar a contenção.
EDR: Endpoint Detection and Response: solução instalada em endpoints (estações, servidores) que monitora comportamento em tempo real, detecta atividade maliciosa, registra telemetria detalhada e permite resposta como isolar a máquina ou matar processos.
XDR: Extended Detection and Response: evolução do EDR que unifica e correlaciona telemetria de múltiplos domínios — endpoint, rede, identidade, e-mail e nuvem — em uma única plataforma, oferecendo detecção e resposta com contexto cruzado.
NDR: Network Detection and Response: tecnologia que analisa o tráfego de rede (metadados e pacotes) com modelos comportamentais para detectar movimentação lateral, exfiltração e ameaças que não tocam um endpoint instrumentado.
SOC: Security Operations Center: a estrutura de pessoas, processos e tecnologia responsável por monitorar, detectar, analisar e responder a incidentes de segurança, geralmente em regime contínuo (24x7).
Zero Trust: Modelo de segurança que elimina a confiança implícita baseada em localização de rede e exige verificação contínua de cada acesso conforme identidade, contexto e postura do dispositivo, sob o princípio de menor privilégio ("nunca confie, sempre verifique").
Pentest: Teste de intrusão: avaliação ofensiva com escopo, prazo e objetivos definidos, na qual especialistas autorizados buscam e exploram vulnerabilidades em um alvo específico para demonstrar impacto real e produzir achados corrigíveis.
Red Team: Exercício ofensivo que simula um adversário real e persistente, sem alvo único pré-definido, testando pessoas, processos e tecnologia ao longo de uma campanha — incluindo a capacidade de detecção e resposta da equipe defensiva (Blue Team).
MTTR: Mean Time to Respond/Recover: tempo médio entre a detecção de um incidente e sua contenção ou recuperação completa. Mede a eficiência da operação de resposta; quanto menor, menor o impacto do incidente.
MTTD: Mean Time to Detect: tempo médio entre o início de um comprometimento e o momento em que ele é efetivamente detectado. Indicador-chave da maturidade de detecção; janelas longas favorecem o atacante.
IoC: Indicator of Compromise: artefato observável que evidencia um comprometimento — como hash de arquivo, endereço IP, domínio, URL ou chave de registro malicioso — usado para detectar, caçar e correlacionar atividade adversária.
TPRM: Third-Party Risk Management: disciplina de identificar, avaliar, contratualizar e monitorar continuamente os riscos de segurança introduzidos por fornecedores, parceiros e a cadeia de suprimentos de software de uma organização.
DFIR: Digital Forensics and Incident Response: campo que une forense digital (preservação e análise de evidências) e resposta a incidentes (contenção, erradicação e recuperação), reconstruindo o que ocorreu e restaurando a operação segura.
Phishing: Ataque de engenharia social que usa mensagens fraudulentas (e-mail, SMS, voz ou apps) se passando por entidade confiável para induzir a vítima a revelar credenciais, dados sensíveis ou executar ações como instalar malware ou autorizar transferências.

Perguntas frequentes

O que é Threat Hunting?

Threat Hunting é a busca proativa e baseada em hipóteses por adversários que já contornaram os controles automatizados de segurança. Em vez de esperar por um alerta, o analista parte do comportamento esperado do ambiente, formula hipóteses sobre como um atacante agiria (frequentemente usando técnicas do MITRE ATT&CK) e procura desvios na telemetria — assumindo que o ambiente pode já estar comprometido.

O que é MITRE ATT&CK?

MITRE ATT&CK é uma base de conhecimento pública e curada que cataloga as táticas, técnicas e procedimentos (TTPs) usados por adversários reais, organizada pelas fases de um ataque (acesso inicial, persistência, movimentação lateral, exfiltração, etc.). Funciona como uma linguagem comum para mapear detecções, planejar exercícios ofensivos e identificar lacunas de defesa de forma padronizada.

O que é Shadow IT?

Shadow IT é o uso de sistemas, aplicativos SaaS, dispositivos ou serviços de nuvem sem o conhecimento ou a aprovação da equipe de TI e segurança. Por operar fora do inventário oficial, do monitoramento e das políticas da empresa, o Shadow IT amplia a superfície de ataque e cria pontos cegos que o SOC não consegue proteger.

Qual a diferença entre EDR e XDR?

O EDR (Endpoint Detection and Response) monitora e responde a ameaças em endpoints individuais — estações e servidores — com visibilidade comportamental profunda. O XDR (Extended Detection and Response) estende esse conceito correlacionando telemetria de múltiplos domínios (endpoint, rede, identidade, e-mail e nuvem) em uma única plataforma. Na prática, o EDR enxerga um host de cada vez; o XDR conecta os pontos entre eles para detectar ataques que cruzam camadas.

O que é SIEM?

SIEM (Security Information and Event Management) é a plataforma que coleta, normaliza, correlaciona e armazena logs e eventos de toda a infraestrutura de TI. Ela serve como repositório central de telemetria de um SOC, gerando alertas a partir de regras de correlação e fornecendo a base para investigação e resposta a incidentes.

Qual a diferença entre MTTD e MTTR?

MTTD (Mean Time to Detect) é o tempo médio entre o início de um comprometimento e sua detecção — mede o quão rápido a organização percebe um ataque. MTTR (Mean Time to Respond/Recover) é o tempo médio entre a detecção e a contenção ou recuperação completa — mede o quão rápido ela reage. Juntos, MTTD e MTTR definem por quanto tempo um atacante permanece ativo e o impacto total do incidente.

Quer aplicar esses conceitos na prática?

A Decripte implementa SOC 24x7, resposta a incidentes, pentest e conformidade para fintechs, apps e startups.

Comece grátis agora Ver planos pagos

Glossário de Cibersegurança: Definições Precisas dos Termos Mais Buscados