Durante anos, a indústria da cibersegurança tratou a gestão de riscos de terceiros como um exercício de conformidade. Avalie seus fornecedores. Atribua uma pontuação. Arquive o relatório. Ir em frente. Esse modelo foi construído para uma época diferente. Aquele em que as cadeias de fornecimento eram menores, os agentes de ameaças eram menos sofisticados e um questionário trimestral poderia razoavelmente aproximar-se da postura de segurança de um fornecedor. Essa era acabou.
Hoje, a empresa média trabalha com centenas de terceiros. Os atores da ameaça visam ativamente os elos mais fracos dessas cadeias de fornecimento, não porque os próprios fornecedores sejam o prêmio, mas porque são o caminho de menor resistência para alvos maiores e mais valiosos.
Grupos de ransomware listam fornecedores em sites de extorsão antes mesmo que esses fornecedores saibam que foram comprometidos. Credenciais roubadas de funcionários aparecem em fóruns da dark web sem serem detectadas. Vulnerabilidades críticas são transformadas em armas em horas, não em meses. Neste ambiente, é necessária uma classificação de segurança. Mas não é nem de longe suficiente.
Reconhecido no Forrester Wave™ 2026
O Recorded Future foi recentemente incluído no The Forrester Wave™: Cybersecurity Risk Ratings Platforms, Q2 2026. (O relatório está disponível online para Clientes Forrester ou para compra aqui).
Vemos este reconhecimento como um reflexo da evolução do mercado – e como um reconhecimento da direção que temos vindo a seguir.
Acreditamos que o mercado de classificações de risco de segurança cibernética está num ponto de inflexão. Tanto analistas como profissionais reconhecem que a categoria está a evoluir para além das classificações autónomas, em direção à inteligência integrada e a insights acionáveis. Vemos a nossa inclusão nesta avaliação como uma confirmação de que a convergência dos dados de higiene e da inteligência sobre ameaças não é uma tarefa de nicho – é para onde o mercado se dirige. À luz de onde está o mercado de classificações hoje, vamos mergulhar no rumo que o Recorded Future está tomando e como o Recorded Future prevê o futuro da segurança do ecossistema de terceiros.
A lacuna entre higiene e inteligência
As classificações de risco cibernético conquistaram seu lugar na pilha de segurança. Eles fornecem uma maneira padronizada e escalonável de avaliar a postura de segurança externa de um fornecedor — cadência de patches, práticas de criptografia, configuração de DNS, serviços expostos. Essa linha de base de higiene é importante. É um sinal correlativo do potencial de violação e dá às equipes de risco uma linguagem comum para comparar fornecedores e fazer benchmarking com pares do setor.
Mas as classificações de higiene respondem apenas a parte do problema: Quão bem este fornecedor está mantendo suas defesas?
Eles não informam se alguém está ativamente tentando violar essas defesas. Eles não revelam conversas na dark web sobre um fornecedor específico. Eles não alertam quando as credenciais de um fornecedor vazam ou quando há uma infecção ativa por malware. Esta é a lacuna que deixou os programas de risco de terceiros perpetuamente reativos. As equipes ficam sabendo dos comprometimentos dos fornecedores pelas manchetes de notícias ou pelos próprios fornecedores, geralmente dias ou semanas após a violação inicial. A essa altura, a janela para resposta proativa pode ter fechado.
A partir de nossas próprias conversas com clientes, ouvimos que as equipes de segurança e risco deixaram de desejar apenas classificações e precisão e passaram a exigir inteligência que revele riscos reais de segurança cibernética, com descobertas priorizadas e orientações de remediação acionáveis. As classificações estão cada vez mais comoditizadas. A diferenciação agora está no que você faz com os dados e nos sinais adicionais que você traz para a mesa.
A gestão de riscos de terceiros é uma operação de inteligência
Se aceitarmos que as classificações por si só não são suficientes, o próximo passo lógico é claro: a gestão de riscos de terceiros deve ser tratada como uma operação de inteligência.
Isso significa combinar a linha de base de higiene — a visão de fora para dentro da postura de segurança de um fornecedor — com inteligência sobre ameaças em tempo real que informa quem está sendo alvo, como e o que você deve fazer a respeito. Significa passar de avaliações periódicas para monitoramento contínuo. Significa equipar as equipes de risco com o contexto para distinguir entre um problema de configuração de baixa prioridade e um fornecedor cuja infraestrutura está ativamente sob ataque. Este é o problema Risco futuro registrado de terceiros foi construído para resolver.
Reunimos duas capacidades distintas que, até agora, existiam em mundos separados.
- Reconhecimento de risco — construída ao longo de uma década como uma das principais plataformas de classificação de risco cibernético do setor, com a confiança de mais de 21.500 usuários em mais de 30 setores, fornece a base de higiene: classificações de segurança transparentes e baseadas em evidências, avaliadas em mais de 40 critérios em 9 domínios de segurança, com 99% de precisão de dados auditados.
- Capacidades de inteligência de ameaças do Recorded Futurealimentado pela coleta e análise de mais de 1 milhão de fontes, acrescenta a dimensão da ameaça: alertas em tempo real sobre atividades de extorsão de ransomware, exposições na dark web, vazamentos de credenciais e exploração ativa de vulnerabilidades — muitas vezes antes mesmo que o fornecedor afetado tenha conhecimento.
Juntas, essas capacidades criam algo que o mercado nunca teve antes: uma solução única que cobre todo o ciclo de vida do risco de terceiros, desde a avaliação inicial e integração até o monitoramento contínuo e resposta a incidentes.
Como isso se parece na prática
O valor de combinar classificações de higiene com inteligência sobre ameaças não é teórico. Nossos clientes já estão vendo isso acontecer.
- Quando um fornecedor aparece em um site de extorsão de ransomware, os clientes de risco de terceiros podem receber alertas em horas, e não nos dias ou semanas necessários para a auto-revelação do fornecedor.
- Quando as credenciais associadas a um fornecedor monitorado surgem nos mercados da dark web, as equipes de risco podem iniciar a divulgação e a correção antes que essas credenciais sejam transformadas em armas.
- Quando uma vulnerabilidade crítica é divulgada, o contexto de inteligência ajuda os analistas a determinar quais fornecedores estão realmente expostos e em risco de exploração, em vez de tratar cada fornecedor com o software afetado como igualmente urgente.
Os clientes relatam consistentemente um aumento de cerca de 33% na visibilidade dos riscos de terceiros após a adoção da plataforma (Evidência do usuário). As equipes economizam em média 7 horas por semana que antes eram gastas em pesquisa manual e monitoramento (Evidência do usuário). E os clientes detectam rotineiramente incidentes de fornecedores antes que o próprio fornecedor os divulgue – transformando o que costumava ser uma confusão reativa em uma resposta controlada e proativa.
Estas não são melhorias incrementais. Representam uma mudança fundamental da conformidade reativa para a gestão proativa de riscos.
Para onde estamos indo
Ainda não terminamos. Unir RiskRecon e Recorded Future foi o primeiro passo em uma visão mais ampla sobre o que o gerenciamento de riscos de terceiros deveria se tornar.
Nosso roteiro está focado em aprofundar a integração entre essas duas plataformas em uma experiência unificada. Um ambiente onde as classificações de higiene, a inteligência sobre ameaças e os fluxos de trabalho de risco operam perfeitamente juntos. Estamos investindo em recursos orientados por IA que ajudarão os analistas de risco a eliminar ruídos com mais rapidez, automatizar fluxos de trabalho de avaliação de rotina e revelar os insights mais importantes. E estamos avançando em direção à inteligência preditiva que não apenas informa o que está acontecendo agora, mas também ajuda a antecipar a direção do risco.
O objetivo é simples: tornar o gerenciamento de riscos de terceiros tão orientado por dados, automatizado e orientado por inteligência quanto os melhores programas de operações de segurança já o são.
Junte-se à mudança para riscos de terceiros orientados por inteligência
Os programas de risco de terceiros que dependem exclusivamente de classificações de higiene continuarão a ser apanhados desprevenidos. Os fornecedores que pontuam bem na terça-feira podem ser violados na quarta-feira. A resposta ao questionário que você recebeu no último trimestre pode não refletir a realidade atual.
As organizações que estão se adiantando nisso são aquelas que tratam o risco de terceiros como ele realmente é: uma operação de inteligência que requer monitoramento contínuo, alertas em tempo real e contexto para agir de forma decisiva quando algo muda.
Esse é o futuro que estamos construindo. E acreditamos que somos os únicos a construí-lo com a profundidade da inteligência e a força dos dados de classificação necessários para acertar.
