Anatomia de um incidente: da chave esquecida ao laudo

Quase todo incidente sério começa com algo banal: uma credencial que ninguém rotacionou. Uma chave de API antiga, válida, esquecida num integração. Para o sistema, é um acesso legítimo. Para o atacante, é a porta destrancada. Este texto reconstrói — de forma totalmente anonimizada — como esse tipo de acesso vira invasão, e o papel da evidência.

1. O acesso legítimo que não era

O primeiro engano é tratar autenticação como autorização. Uma chave válida atravessa o login sem disparar alarme. Sem rotação, sem escopo mínimo e sem monitoramento de uso, ela vira um cheque em branco. A pergunta que a forense faz não é "houve login?", e sim "esse login fez o que esse ator normalmente faz?".

A diferença entre um log e uma prova é o contexto. Sozinho, um evento não acusa nada. Correlacionado, ele conta uma história.

2. Da suspeita à linha do tempo

Reconstruir um incidente é montar uma linha do tempo defensável: primeiro acesso anômalo, movimentação lateral, coleta, exfiltração. Cada etapa precisa de evidência preservada com cadeia de custódia — porque um laudo que não resiste ao contraditório não serve para decisão jurídica nenhuma.

3. O que separa achismo de prova

É tentador apontar um culpado cedo. O método adversarial faz o contrário: ataca a própria hipótese. Foi exfiltração ou erro de configuração? Foi o ator externo ou um processo interno legítimo? Só o que sobrevive a essa pressão entra no laudo. O resto fica como hipótese descartada — documentada, mas não afirmada.

4. A lição que cabe em uma linha

Rotacione credenciais. Dê escopo mínimo. Monitore uso, não só acesso. E, quando o pior acontecer, não dependa de palpite: dependa de prova.