Serão SCDR, ADR e BDR os novos pilares de “Detection & Response”?

Em uma passada rápida por Las Vegas, durante o dia seis de agosto, estive na Black Hat USA 2025. A 28ª edição não foi diferente das anteriores e, honestamente, já perdi a conta das edições que estive presente. Sempre com muita gente de todas as tribos, incontáveis novidades e um sem-fim de assuntos interessantes para digerir. Embora não seja possível trazer aqui todos os insights que tive em minha breve passagem e leitura, antes e durante, sobre o evento, gostaria de deixar um resumo das minhas impressões sobre alguns temas que chamaram minha atenção.

Uma Abertura Sensacional!

Antes de explorar o principal assunto desse artigo, quero destacar a abertura do primeiro dia, na Michelob ULTRA Arena, na qual o calejado Mikko Hyppönen apresentou sob o título “Three Decades in Cybersecurity: Lessons Learned and What Comes Next” uma viagem desde os primórdios do cyber até os nossos dias, destacando o que muito provavelmente está por vir. Simplesmente fenomenal!

Ele começou falando sobre a transformação do vírus dos anos 1980 (que saudade!), criados geralmente por adolescentes apenas para causar confusão ou exibir algo engraçado, até chegar nos malwares modernos altamente lucrativos e segmentados, que visam ganhos financeiros. Nesse ponto, destacou a mudança de natureza das ameaças que, embora não se espalhem mais como antes, têm resultados devastadores. Apresentou ainda os grupos como verdadeiras organizações, com estrutura semelhante a empresas que operam na legalidade. É o “Crimeware Inc.” em expansão.

Além disso, Hyppönen enfatizou que apesar de o cenário parecer sombrio, a segurança evoluiu muito, destacando como notórios exemplos plataformas resistentes tal qual iPhone e Xbox.

Contudo, esteja atento. Ele disparou:

"If it’s smart, it’s vulnerable"

Hyppönen também enfatizou o uso crescente da IA na segurança defensiva. Muito embora os atacantes também a usem para varredura e automação, por exemplo, ele acredita que os defensores podem ter uma vantagem estratégica no uso da IA, especialmente para detecção em tempo real e identificação de vulnerabilidades.

“AI is the key”

Em determinado momento, em que se falava de ataques à infraestrutura crítica, propositalmente todo o Michelob ULTRA Arena foi apagado. As escuras e um mar de mobiles com telas acesas filmavam o evento, a assistência foi a loucura. O Hyppönen é um showman e sabe fazer apresentações impactantes.

Ele descreveu a IA como a maior revolução tecnológica que já testemunhou, e o homem tem estrada! No entanto, reforçou que seu uso eficaz depende de uma cultura organizacional adequada. E aqui que, na minha opinião, entra o desafio: trazer governança sem tolher a criatividade e as possibilidades que o uso da IA possibilita.

Caminhando para o final, Hyppönen citou Jeff Moss (fundador da Black Hat), lembrando que sem uma cultura corporativa forte, as estratégias de segurança podem fracassar.

“If the culture of your company isn’t right, strategy doesn’t matter. Don’t go writing strategies that have no chance of surviving your culture.”

Isso me fez lembrar a sentença do Peter Druker que costumo usar: a cultura come a estratégia no café da manhã!

Aprendamos! Esse é um princípio implacável que se aplica à cyber, inclusive.

Por fim, ele comunica a mudança de carreira, indo para o mundo dos drones. Nesse trecho ele destaca que tem bastante experiência em “ameaças” e que isso é aplicável à realidade dos drones nos nossos dias. Inclusive, não se limitando aos de utilização aérea, sendo cada vez mais encontrados os de aplicação marítima e terrestre. Aliás, havia uma área no evento dedicada a esse assunto, o Drone Zone, sob a chamada “Where Hacking Takes Flight”.

Mais ingredientes na nossa sopa de letrinhas

Ao longo do ano, já havia me deparado com os termos a seguir, contudo sempre tangenciando meu caminho e não havia parado para entender sequer um pouco dos conceitos relacionados bem como a aplicação desses no intrincado arsenal de soluções que surgem para robustecer o cyber nas corporações.

Além da badalada IA, que se destaca no evento de maneira pesada há pelo menos três edições, entre outros acrônimos, chamou minha atenção os seguintes: SCDR, ADR e BDR. Havia antes e durante o evento uma certa expectativa sobre eles.

O que esses acrônimos significam em inglês:

 ●      SCDR (Supply Chain Detection and Response)

●      ADR (Application Detection and Response)

●      BDR (Browser Detection and Response)

SCDR - Supply Chain Detection and Response

Surge da necessidade de detectar, monitorar e responder a ataques que explorem a cadeia de suprimentos no contexto digital onde a maioria das empresas operam hoje. O conceito SCDR foca em fornecedores, pipelines de CI/CD, bibliotecas open-source e serviços terceirizados que compõem a infraestrutura corporativa.

Certamente é um conceito para olharmos com muita atenção ao longo do restante do ano, contudo ressalto que o aspecto mais importante que entendi sobre esse assunto é:

O TPRM (Third-Party Risk Management) se restringe a avaliar os fornecedores que compõem a cadeia. Enquanto, o SCDR adota uma pegada pragmática, buscando resultados por meio de ações reais, elevando a gestão de riscos de terceiros para um novo patamar. Permite e viabiliza processos operacionais que visam resolver questões práticas.

Entre os expositores que trouxeram o conceito estava a SecurityScorecard (securityscorecard.com), que, pelo que percebi, se avoca criadora do acrônimo (e conceito) com sua plataforma MAX e patrocinando inclusive o Supply Chain Micro Summit, um evento dentro do evento.

Além do pavilhão, a preocupação com o assunto esteve presente em algumas sessões, como uma que assisti nos briefings intitulada “When Changed Files Changed Everything: Uncovering and Responding to the tj-actions Supply Chain Breach” na qual os pesquisadores abordaram como a execução rotineira de CI/CD, utilizando a popular ação tj-actions/changed-files do GitHub (usada por mais de 23.000 repositórios, como NVIDIA, Meta, Microsoft e outras gigantes da tecnologia) se transformou em arma para exfiltrar segredos sem fazer “barulho”. Por meio de demonstração prática, os pesquisadores despertaram o público para o risco iminente aplicado à cadeia de fornecedores e corroborando com a necessidade de adoção de medidas que tragam visibilidade.

ADR – Application Detection and Response

Foco em AppSec, atuando na camada de aplicações e APIs, hoje alvo recorrente de exploração. Seu objetivo é identificar anomalias, abusos, injeções de código e tentativas de escalonamento de privilégios, protegendo ambientes API-first.

Estandes como o da Contrast Security (www.contrastsecurity.com)reforçaram o conceito de ADR em 2025, mostrando como sua plataforma é capaz de detectar e bloquear ataques em aplicações em tempo real. Integrando a plataforma com GitHub e Copilot, por exemplo. E, o mais importante: prometem que o ADR pode fornecer contexto de runtime dentro de consoles já utilizados por equipes de segurança.

BDR – Browser Detection and Response

O BDR considera o navegador como o “novo endpoint corporativo”. A justificativa é que no navegador se concentram autenticações, acessos a dados críticos e a maior parte das interações em ambientes cloud, como SaaS. Aqui o objetivo é detectar ameaças “in-browser”, como phishing avançado, sequestro de sessão, extensões maliciosas e infostealers de cookies/tokens. Esse tema bateu forte com base que para o mundo SaaS o browser é a realidade dolorida que deve ser encarada.

Em uma das sessões dedicadas ao assunto, “Browser-Native Security in a Browser-First World”, o pesquisador Vivek Ramachandran defendeu que navegadores são a nova superfície crítica, nas palavras dele:

 “Today, 80% of an employee's device time is spent on the browser. The browser is the new endpoint: it's the main gateway to our enterprise apps, identities, files and data, making it an extremely valuable target for attackers.”

Assim, tudo se resume no seguinte: os controles com os quais as empresas contam atualmente foram desenvolvidos em um mundo onde o browser era uma realidade diferente, no qual os navegadores eram meros renderizadores de sites. A ideia é que as soluções BDR transformem navegadores em ambientes seguros capazes de detectar e mitigar ataques em tempo real. Você concorda? Vamos ficar de olho nesse conceito. Dentre os expositores explorando esse tema estavam a SquareX (sqrx.com) e a Push Security (pushsecurity.com).

Quem viver, verá.

Certamente precisamos ficar de olho nesses conceitos e como esses se desdobram em soluções aplicáveis nas nossas organizações. Contudo, com a sugestão de novos “ingredientes” na nossa sopa diária de letrinhas (SCDR, ADR e BDR) me ponho a refletir: será que está decretada a insuficiência de controles consagrados, apenas para citar um exemplo, os relacionados a proteção do endpoint, tal como o EDR e suas extensões? Qual sua opinião? Serão SCDR, ADR e BDR os novos pilares de “Detection & Response”?

Quer saber mais? Fale comigo.

Precisa entender melhor sobre esses temas e outros que surgiram na Black Hat 2025? A VENTURA ERM levou um grupo grande de especialistas para Las Vegas nessa edição. Entre em contato comigo e vamos conversar sobre o que vimos e como nosso portfólio de serviços pode contribuir com sua organização.

por Alexandre Prata