Essa agilidade permitiu que a Arezzo&CO identificasse 89 vulnerabilidades em apenas seis horas em uma de suas aplicações críticas, dando o direcionamento exato para que a equipe pudesse agir na correção o quanto antes. O estudo de caso, revelado por Maikon Graeff, Head de Segurança da Informação da companhia, em parceria com a consultoria Vultus Cybersecurity no palco do Security Leaders Porto Alegre, demonstrou como relatórios precisos e automatizados eliminam gargalos técnicos, garantindo a resolução rápida de brechas antes que sejam exploradas pelo cibercrime.
Durante o case, Graeff detalhou a experiência prática da Arezzo&Co ao adotar a abordagem de inteligência artificial da consultoria baseada em algoritmos e agentes autônomos de segurança ofensiva, utilizando a tecnologia Ares, da Vultus. Para testar a eficiência do modelo, a companhia selecionou uma de suas aplicações mais críticas. O sistema em questão já havia passado por três rodadas de validações de segurança tradicionais nos últimos 18 meses, realizadas semestralmente, e não apresentava nenhuma inconformidade relevante no histórico recente.
O resultado do teste autônomo conduzido pela ferramenta da consultoria, no entanto, trouxe um diagnóstico surpreendente para a equipe de segurança. Em apenas seis horas de varredura, o agente autônomo mapeou aproximadamente 1.700 caminhos diferentes e identificou 89 vulnerabilidades na aplicação da Arezzo&Co, onde foram apontadas 21 falhas críticas e 29 altas. O fato mais alarmante ocorreu nos primeiros dez segundos de execução, quando o modelo realizou um account takeover, assumindo o controle de uma conta autenticada, a partir de um teste iniciado de forma black box (sem credenciais prévias).
De acordo com Graeff, o modelo demonstrou uma taxa de zero falsos positivos, documentando detalhadamente a trajetória lógica utilizada para encontrar cada brecha. “Normalmente, o profissional de segurança é super fera no processo técnico, descobre grandes vulnerabilidades, mas tem um gap em produzir, documentar e explicar como chegou no resultado, já esses agentes autônomos contam a história do ataque”, explicou o Head de Segurança. Na avaliação das métricas de risco baseadas no OWASP, as falhas encontradas atingiram uma média de 7,9 para probabilidade de ocorrência e 7,8 para impacto potencial.
Da análise técnica à tomada de decisão
O estudo de caso indicou que um mapeamento dessa magnitude exigiria cerca de 80 horas de dedicação caso fosse realizado por métodos exclusivamente manuais, demandando o trabalho de até dois profissionais por duas semanas. A automação do processo ofensivo surge como uma alternativa estratégica para empresas que gerenciam ecossistemas digitais complexos e dinâmicos, marcados por fusões, aquisições e dezenas de marcas em seu portfólio.
O avanço acelerado do cibercrime, impulsionado pela popularização da IA Generativa, tem colocado as equipes de Cibersegurança em uma corrida contra o tempo. Diante de um cenário em que a superfície de ataque das empresas se expande exponencialmente, os métodos tradicionais de testes de intrusão, como os pen tests manuais e periódicos, começam a mostrar sinais de limitação.
A perspectiva de mercado apresentada no case reforça que o papel das lideranças de cibersegurança deve se concentrar em traduzir riscos técnicos em impactos de negócio para os comitês executivos. “O executivo precisa ter os insumos necessários para tomada de decisão, temos a obrigação de levar a informação de que, na hipótese de um ataque, isso pode causar um prejuízo de tantos milhões”, pontuou Alexandre Brum, CEO da Vultus, consultoria nascida da fusão entre a GC Security e a Falconi Cyber.
Para Graeff, a combinação de metodologias tradicionais com ferramentas de automação ofensiva é o caminho para aproximar a gestão de riscos da exaustão de testes, especialmente em ambientes que sofrem updates constantes. “Em um cenário como o da Arezzo&Co, com mais de 30 marcas e centenas de aplicações, onde preciso escolher quais vão para teste a cada semestre, ter uma solução que automatize e dê esse Norte faz todo o sentido”, concluiu o executivo.
