Principais conclusões do Relatório SASI 2025

Maio 21, 2025
Kaseya
Segurança cibernética

O rápido crescimento dos aplicativos de software como serviço (SaaS), como o Google Workspace, o Microsoft 365, o Slack e o Salesforce, pode ser atribuído à flexibilidade, à escalabilidade e à economia das soluções baseadas na nuvem. Por outro lado, os aplicativos SaaS se tornaram os principais alvos dos criminosos cibernéticos, pois hospedam informações e cargas de trabalho essenciais aos negócios. Além disso, o crime cibernético está evoluindo rapidamente. Os agentes de ameaças preferem métodos mais eficientes e perigosos, como a coleta de tokens, aos métodos tradicionais, como a força bruta.

Para compreender melhor esses riscos, SaaS Alerts o Relatório 2025 SaaS Application Security Insights (SASI). Este relatório apresenta as conclusões de uma análise detalhada dos dados de segurança de SaaS em mais de 43.000 pequenas e médias empresas (PMEs) e quase seis milhões de contas de usuário, incluindo contas de convidados.

À medida que o panorama das ameaças se torna cada vez mais sofisticado, é fundamental que os líderes de segurança e os profissionais de TI compreendam essas dinâmicas em constante mudança. Neste artigo, exploraremos as principais conclusões do relatório e o que sua empresa deve fazer para se antecipar às ameaças emergentes.

A proliferação de aplicativos SaaS e os riscos associados a eles

As aplicações SaaS melhoraram drasticamente a eficiência operacional e a produtividade, mas também expuseram as empresas a uma série de vulnerabilidades de segurança. Enquanto o crime cibernético cresce, o comportamento negligente dos usuários, o compartilhamento arriscado de arquivos e as contas de usuários convidados sem monitoramento estão criando pontos cegos de segurança nos ambientes SaaS.

Os funcionários tendem a instalar novos aplicativos, conceder permissões de acesso ou compartilhar documentos sem envolver as equipes de TI. Essas ações resultam em uma rede confusa de conexões entre aplicativos e compartilhamento de dados que a equipe de segurança muitas vezes não consegue visualizar nem controlar.

Os aplicativos SaaS facilitam o compartilhamento de informações, mas, sem os devidos controles, os dados confidenciais podem ser expostos por meio de links públicos ou compartilhados com partes externas sem a devida autenticação.

Outra preocupação crescente são as contas de usuário convidado, criadas para colaborações de curto prazo, mas que muitas vezes ficam sem supervisão ou raramente são desativadas. Algumas dessas contas possuem permissões elevadas ou acesso a documentos críticos, tornando-as uma porta de entrada perfeita para agentes mal-intencionados que buscam se infiltrar em uma organização sem despertar suspeitas.

Acessos não autorizados detectados pelo SaaS Alerts

O mecanismo de inteligência contra ameaças SaaS Alertsmonitora continuamente os ambientes SaaS em busca de atividades suspeitas. Em 2024, observamos um aumento acentuado tanto nas tentativas quanto nos casos de acesso não autorizado bem-sucedido. Veja o que foi descoberto:

Tentativa de logins não autorizados

Os cibercriminosos estão cada vez mais tentando fazer login usando credenciais válidas de usuários obtidas na dark web ou por meio de ataques de phishing. Para evitar serem detectados, essas tentativas de login são realizadas a partir de vários locais ao redor do mundo, em rápida sucessão.

Em 2024, quase 40% de todas as tentativas de login não autorizado foram rastreadas até a China e a Coreia do Sul.

A força bruta era o método comum usado para obter acesso não autorizado a sistemas corporativos. Nesse método, os invasores adivinham repetidamente as senhas até obterem acesso.

O Relatório SASI de 2025 indica que, em vez de confiar apenas na força bruta, os criminosos cibernéticos estão mudando para a coleta de tokens - um método mais rápido e furtivo que permite que eles contornem a MFA completamente roubando tokens de sessão.

Captura de logins não autorizados bem-sucedidos

Quando os invasores conseguem acessar uma conta, geralmente o fazem a partir de locais inesperados ou não aprovados. No ano passado, a Alemanha, o Reino Unido e a Polônia surgiram como pontos críticos, com quase 25% das violações originadas nesses locais. Acredita-se que os invasores estejam disfarçando suas verdadeiras origens ao rotear a atividade por meio de VPNs baseadas no Ocidente, fazendo com que suas tentativas pareçam mais legítimas e mais difíceis de serem detectadas.

Os agentes maliciosos conseguiram acessar contas corporativas por meio de esquemas de phishing. Eles induzem os usuários a revelar suas credenciais de SaaS usando e-mails, mensagens ou páginas de login falsas, mas altamente convincentes. Esse método continua sendo uma das formas mais perigosas e eficazes de violar as defesas das organizações.

Eventos de segurança de SaaS

Os eventos de segurança do SaaS funcionam como sinais de alerta precoce, ajudando as equipes de TI a detectar atividades incomuns ou de risco em seus ambientes de nuvem. SaaS Alerts uma lógica de aplicativo inteligente para analisar padrões de comportamento e classificar essas atividades por gravidade: baixa, média e crítica.

Em 2024, SaaS Alerts mais de 7,3 bilhões de eventos em ambientes SaaS. Embora a grande maioria (98,5%) tenha sido classificada como de baixa gravidade, mais de um bilhão desses alertas foram de gravidade média ou crítica.

Eventos de baixa gravidade

Os eventos de baixa gravidade geralmente refletem a atividade normal, mas ainda assim vale a pena monitorar os padrões ou anomalias ao longo do tempo.

O evento de baixa gravidade mais frequente foi “arquivo aberto”, acionado sempre que um usuário conectado ou convidado acessa um arquivo. Essa ação representou mais de 50% de todos os alertas de baixa gravidade. A transferência do serviço de backup foi responsável por 23,7% desses eventos. Outro gatilho comum foi o acesso OAuth por meio do gerenciamento de identidade e acesso (IAM), que representou 22,88% dos alertas de baixa gravidade. Esses eventos ocorrem quando aplicativos de terceiros solicitam permissões de conta.

Alertas de média gravidade

Esses alertas são acionados quando um comportamento incomum ou atividades suspeitas são detectados e exigem investigação para minimizar o risco.

O alerta de gravidade média mais comum em 2024 foi "limite de download de arquivo excedido", que indica tentativas de extração de dados. Esse evento representou 40,2% de todos os alertas de média gravidade. "Limite de upload de arquivo excedido" foi responsável por 35% dos alertas de gravidade média, geralmente um sinal de alerta para transferências de dados não autorizadas. Enquanto isso, "arquivo aberto de um local não aprovado" representou 25%, apontando para possível comprometimento da conta ou violações das políticas de acesso.

Alertas críticos

Os alertas críticos representam atividades de alto risco que podem indicar violações de segurança, roubo de dados ou acesso não autorizado. Mais de 34% dos alertas críticos foram causados por logins bem-sucedidos a partir de locais ou intervalos de IP não aprovados. Além disso, 33% dos alertas críticos foram acionados por arquivos acessados fora das zonas geográficas aprovadas. Outros 32,3% estavam relacionados a arquivos baixados de locais não aprovados.

Embora os alertas de gravidade baixa e média possam não indicar uma ameaça imediata nem exigir uma ação imediata, eles fornecem um contexto essencial e informações valiosas sobre o comportamento dos usuários e do sistema. O monitoramento atento desses alertas pode ajudar as equipes de TI a identificar padrões de atividade anormais e neutralizar proativamente as ameaças antes que causem danos. Em resumo, é fundamental acompanhar todos os alertas de segurança — desde os de gravidade baixa até os críticos — para construir uma estratégia robusta de segurança de SaaS e detectar ameaças de forma eficaz.

O que está colocando seus ambientes SaaS em risco?

As aplicações SaaS oferecem inúmeras vantagens para empresas de todos os tamanhos. No entanto, quando as melhores práticas de segurança são negligenciadas, essas plataformas também podem se tornar pontos de entrada para violações de dados, comprometimento de contas e acesso não autorizado. O Relatório SASI 2025 destaca os vetores de ameaça mais comuns que podem deixar seu ambiente SaaS exposto a possíveis violações.

MFA desativado ou inativo

A autenticação multifatorial (MFA) é considerada uma das defesas mais eficazes contra o roubo de identidade e o acesso não autorizado a contas. No entanto, sua adoção continua alarmantemente baixa. De acordo com o Relatório SASI 2025, a MFA está desativada ou inativa em mais de 60% das contas de usuários finais. Sem essa camada essencial de proteção, os invasores podem facilmente comprometer contas por meio de ataques de phishing ou roubo de tokens.

Contas de usuário convidado não monitoradas

Os usuários convidados são essenciais para a colaboração externa, mas muitas vezes não recebem a devida atenção. Em 2024, SaaS Alerts mais de 4,2 milhões de contas SaaS, das quais mais de 55% eram de usuários convidados. Se essas contas não forem monitoradas de perto ou desativadas imediatamente quando não forem mais necessárias, elas podem se tornar pontos de entrada ocultos para os cibercriminosos.

Integrações de aplicativos SaaS para SaaS

O OAuth facilita aos usuários conectar novas ferramentas SaaS com apenas alguns cliques, mas essa conveniência tem um custo.

Cada nova integração aumenta potencialmente a superfície de ataque, especialmente se o aplicativo de terceiros estiver mal protegido. Sem visibilidade dessas conexões, sua empresa pode correr o risco de dar aos criminosos cibernéticos acesso indireto por meio de aplicativos comprometidos.

Comportamento arriscado de compartilhamento de arquivos

Os aplicativos SaaS simplificaram o compartilhamento de arquivos, mas também aumentaram o risco de compartilhamento não autorizado de dados fora da organização. Em 2024, 37,28% de todas as atividades de compartilhamento de arquivos SaaS Alerts envolveram usuários externos.

Embora nem todo compartilhamento externo seja ruim, o perigo real está nos links órfãos. Esses são links de compartilhamento de arquivos compartilhados com pessoas de fora da organização que nunca são revogados. Os invasores que procuram uma maneira de entrar podem facilmente descobrir e explorar esses links persistentes.

Principais conclusões e recomendações de segurança para se antecipar às ameaças emergentes ao SaaS

O Relatório SASI 2025 revela que, embora as aplicações SaaS aumentem a produtividade e a colaboração, elas também abrem as portas para riscos de segurança se não forem gerenciadas adequadamente. A fraca adoção da autenticação multifatorial (MFA), contas de convidados sem monitoramento, integrações arriscadas de aplicativos de terceiros e práticas descuidadas de compartilhamento de arquivos estão entre os vetores de ameaça mais críticos. Os agentes mal-intencionados estão mudando de tática, adotando métodos furtivos como a coleta de tokens e o mascaramento de VPN, tornando mais importante do que nunca que as organizações adotem uma abordagem proativa de segurança, obtenham visibilidade e apliquem políticas de segurança.

Siga estas etapas para proteger sua empresa das ameaças emergentes de SaaS:

  • Habilite e aplique a MFA em toda a sua organização e para todos os clientes.
  • Aplique regras de acesso condicional para contas do Microsoft 365 sempre que possível.
  • Ofereça treinamento contínuo em segurança cibernética aos seus usuários finais para reforçar as melhores práticas de segurança.
  • Monitore continuamente os principais aplicativos de produtividade SaaS para detectar comportamentos incomuns ou suspeitos por parte dos usuários.
  • Rastreie a atividade de compartilhamento de arquivos para detectar possíveis exfiltrações de dados ou ameaças internas.
  • Armazene e analise regularmente os dados históricos sobre o comportamento dos usuários, mesmo que isso não tenha resultado em uma violação comprovada.
  • Investigue e responda rapidamente a quaisquer anomalias que possam indicar uma ameaça.
  • Monitore os logins baseados em OAuth e não ignore os aplicativos SaaS que não sejam do Google ou da Microsoft.
  • Remova regularmente contas de convidados inativas ou desnecessárias para minimizar a exposição.
  • Mantenha um inventário de todas as integrações entre aplicativos e avalie suas implicações de segurança.
  • Analise o comportamento arriscado de compartilhamento de arquivos para evitar a exposição de dados.
  • Use a automação para detectar e responder imediatamente a sequências de ameaças de alto risco.

Fique à frente das ameaças emergentes de SaaS. Faça o download do Relatório SASI 2025 para obter as últimas tendências de SaaS, insights de especialistas, dados do mundo real e estratégias acionáveis.

Faça o download do relatório completo

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

O que é SecOps? Uma explicação sobre operações de segurança

A maioria das organizações conta com duas equipes que deveriam trabalhar em conjunto, mas que muitas vezes atuam em mundos à parte: as operações de TI,

Leia a postagem do blog

Transformando sinais em ação com a Kaseya

Transforme o excesso de informações de segurança cibernética em inteligência útil com a Kaseya. Aumente a visibilidade, reduza o número de alertas e responda mais rapidamente a ameaças relacionadas a SaaS e identidade.

Leia a postagem do blog

IA na segurança cibernética: riscos de segurança do SaaS que você não pode ignorar

A IA está transformando as ameaças à segurança cibernética. Saiba como a sobrecarga de sinais, a proliferação de SaaS e os ataques baseados em identidade estão impulsionando a necessidade de detecção e resposta integradas na nuvem.

Leia a postagem do blog