APT e Ameaças Avançadas Persistentes em 2026: Governança, Compliance e Resposta a Grupos Patrocinados por Estados

TL;DR — Leia em 60 segundos

• APTs são operações sofisticadas conduzidas por grupos altamente organizados, muitas vezes patrocinados por Estados, com foco em espionagem, sabotagem e acesso persistente a infraestruturas críticas.
• Em 2026, o Brasil está no radar de campanhas direcionadas contra setor financeiro, energia, governo e agronegócio, exigindo maturidade avançada em governança e resposta a incidentes.
• Compliance com LGPD, ISO 27001, NIST CSF e regulamentações setoriais é parte central da defesa contra APTs, pois fortalece processos, evidências e accountability.
• Resposta eficaz exige inteligência de ameaças, monitoramento contínuo, arquitetura Zero Trust e planos formais de contenção, erradicação e recuperação.

O que é APT e Ameaças Avançadas Persistentes e por que é crítico em 2026

APT, ou Ameaça Avançada Persistente, é um termo utilizado para descrever operações cibernéticas sofisticadas, conduzidas de forma coordenada, geralmente por grupos patrocinados por Estados-nação ou organizações com alto nível de financiamento e capacidade técnica. Diferentemente de ataques oportunistas, como ransomware indiscriminado, APTs são direcionadas, silenciosas e focadas em objetivos estratégicos de longo prazo, como espionagem industrial, roubo de propriedade intelectual, influência política ou sabotagem de infraestrutura crítica.

Em 2026, o cenário geopolítico ampliou significativamente a relevância das APTs. Tensões comerciais, disputas por cadeias de suprimentos e conflitos híbridos elevaram o ciberespaço ao status de campo de batalha estratégico. Relatórios internacionais de inteligência indicam aumento consistente de campanhas atribuídas a grupos associados a governos da Ásia, Europa Oriental e Oriente Médio. No Brasil, setores como energia, telecomunicações, defesa, agronegócio e sistema financeiro tornaram-se alvos prioritários devido à sua importância econômica e estratégica.

A criticidade do tema também está ligada à maturidade regulatória. A LGPD impõe obrigações rigorosas de proteção de dados, enquanto o Banco Central, a ANEEL e a ANS reforçam exigências de gestão de risco cibernético. Uma APT bem-sucedida pode resultar não apenas em vazamento de dados sensíveis, mas em sanções regulatórias, perda de confiança de investidores e impacto direto na continuidade do negócio. Portanto, a discussão sobre APTs transcende a tecnologia e entra no campo da governança corporativa e responsabilidade executiva.

Além disso, a evolução tecnológica amplia a superfície de ataque. Ambientes híbridos, adoção massiva de nuvem, uso de APIs abertas e integração com terceiros criam novos vetores exploráveis. Grupos avançados exploram vulnerabilidades zero-day, técnicas de living off the land e engenharia social altamente contextualizada. Em 2026, a defesa contra APTs deixou de ser opcional e passou a ser elemento central da estratégia empresarial.

Como funciona na prática: Anatomia completa

Uma APT segue um ciclo estruturado, geralmente alinhado ao modelo de kill chain. O processo começa com reconhecimento extensivo, incluindo coleta de informações públicas, mapeamento de infraestrutura, identificação de executivos-chave e análise de fornecedores. Em seguida, ocorre a fase de acesso inicial, frequentemente por spear phishing altamente personalizado, exploração de vulnerabilidades não corrigidas ou comprometimento da cadeia de suprimentos.

Após o acesso inicial, o grupo estabelece persistência. Isso pode envolver criação de contas administrativas ocultas, instalação de backdoors customizados ou uso de ferramentas legítimas do sistema para evitar detecção. Técnicas de movimentação lateral permitem que o invasor expanda privilégios e alcance sistemas críticos, como servidores de banco de dados ou controladores de domínio.

A etapa de comando e controle mantém comunicação constante com infraestrutura externa controlada pelo atacante. Em muitos casos, o tráfego é criptografado e camuflado em protocolos comuns, dificultando a detecção por ferramentas tradicionais. Por fim, ocorre a exfiltração de dados ou execução do objetivo final, que pode incluir sabotagem, manipulação de informações ou chantagem estratégica.

Reconhecimento e engenharia social

O reconhecimento em campanhas APT é meticuloso. Grupos analisam relatórios financeiros, redes sociais corporativas, publicações técnicas e até processos judiciais para identificar pontos fracos. No Brasil, ataques direcionados a órgãos públicos frequentemente exploram dados disponíveis em portais de transparência para mapear hierarquias internas.

A engenharia social evoluiu para mensagens praticamente indistinguíveis de comunicações legítimas. Em 2026, é comum o uso de inteligência artificial para gerar e-mails contextualizados no idioma local, com referências específicas a projetos reais da organização-alvo. Isso aumenta drasticamente a taxa de sucesso.

Persistência e evasão

Uma vez dentro do ambiente, a prioridade é permanecer invisível. Técnicas de evasão incluem desativação seletiva de logs, uso de credenciais legítimas roubadas e execução de comandos por meio de ferramentas nativas. Essa abordagem reduz alertas em soluções tradicionais baseadas em assinatura.

A persistência pode durar meses ou anos. Existem casos documentados internacionalmente em que grupos permaneceram ativos por mais de dois anos antes de serem detectados, coletando dados estratégicos continuamente.

Passo a passo: Implementação profissional

Fase 1: Diagnóstico e mapeamento

O primeiro passo é compreender o nível atual de maturidade. Isso envolve assessment completo de riscos, inventário de ativos críticos e identificação de lacunas em controles técnicos e processuais. Frameworks como NIST CSF e ISO 27001 servem como base estruturada.

A análise deve incluir testes de intrusão direcionados e simulações de ataques avançados, conhecidos como red teaming. Esse processo revela fragilidades que não aparecem em auditorias tradicionais. Também é essencial mapear dependências de terceiros e cadeias de suprimentos digitais.

Fase 2: Planejamento e arquitetura

Com base no diagnóstico, define-se uma arquitetura de defesa em profundidade. O modelo Zero Trust torna-se central, exigindo verificação contínua de identidade e segmentação rigorosa de rede. Políticas de menor privilégio devem ser implementadas de forma sistemática.

O planejamento inclui definição clara de papéis, responsabilidades e fluxos de resposta a incidentes. A governança deve envolver conselho administrativo e comitês executivos, garantindo alinhamento estratégico.

Fase 3: Implementação e testes

A implementação envolve integração de SIEM, EDR, XDR e soluções de inteligência de ameaças. Configurações precisam ser ajustadas para detectar comportamento anômalo e não apenas assinaturas conhecidas.

Testes contínuos validam a eficácia dos controles. Exercícios de tabletop e simulações práticas fortalecem a capacidade de resposta das equipes técnicas e executivas.

Fase 4: Monitoramento contínuo

APTs exigem vigilância constante. Monitoramento 24 por 7 com análise comportamental e correlação de eventos é essencial. Indicadores de comprometimento devem ser atualizados regularmente com base em inteligência global.

Revisões periódicas de arquitetura e políticas garantem adaptação a novas técnicas adversárias. O processo é contínuo e evolutivo.

Erros críticos e como evitá-los

Um erro comum é tratar APT como risco exclusivamente tecnológico, ignorando governança e cultura organizacional. Outro equívoco frequente é depender apenas de antivírus tradicional, incapaz de detectar técnicas avançadas. Falhas em gestão de patches, ausência de segmentação de rede, falta de treinamento executivo e inexistência de plano formal de resposta também são recorrentes. Ignorar fornecedores terceirizados amplia exposição. Subestimar logs e monitoramento reduz capacidade investigativa. Ausência de testes práticos gera falsa sensação de segurança. Evitar esses erros exige abordagem integrada, investimento contínuo e comprometimento da alta liderança.

Ferramentas e tecnologias essenciais

Ferramenta | Finalidade | Relevância em 2026 SIEM avançado | Correlação de eventos e detecção | Base para visibilidade centralizada EDR/XDR | Detecção e resposta em endpoints | Essencial contra movimentação lateral Threat Intelligence | Indicadores atualizados | Antecipação de campanhas SOAR | Automação de resposta | Reduz tempo de contenção MFA e IAM | Controle de identidade | Mitiga credenciais roubadas Segmentação de rede | Contenção de ataques | Limita impacto interno

Cada tecnologia deve ser integrada a processos claros. Ferramentas isoladas sem governança não garantem proteção efetiva.

Checklist completo de implementação

Prioridade alta inclui inventário de ativos, MFA obrigatório, segmentação de rede, monitoramento 24 por 7, plano formal de resposta, backup testado, treinamento executivo e análise de terceiros. Prioridade média envolve simulações periódicas, revisão de privilégios, testes de phishing e integração de inteligência externa. Prioridade contínua inclui auditorias regulares, atualização de políticas e relatórios ao conselho.

Casos reais e estudos de caso

Um caso emblemático envolveu ataque a cadeia de suprimentos de software global, afetando empresas brasileiras de energia. O vetor inicial foi atualização comprometida, permitindo acesso privilegiado. Outro caso envolveu spear phishing direcionado a executivo financeiro de banco regional, resultando em exfiltração de relatórios estratégicos. Em setor público, incidente atribuído a grupo estrangeiro explorou vulnerabilidade não corrigida em servidor exposto, permanecendo ativo por meses.

Em todos os casos, falhas de monitoramento e governança ampliaram o impacto. Organizações com planos maduros detectaram e contiveram rapidamente, reduzindo danos regulatórios.

Como a Decripte ajuda com APT e Ameaças Avançadas Persistentes

A Decripte atua com inteligência estratégica, monitoramento contínuo e resposta avançada a incidentes. Nosso Intelligence Center oferece diagnóstico gratuito em https://decripte.com.br/intelligence-center para mapear exposição atual e identificar riscos associados a grupos patrocinados por Estados.

Integramos tecnologia, governança e compliance, alinhando controles a LGPD, ISO 27001 e exigências regulatórias brasileiras. Atuamos desde assessment inicial até implementação de SOC gerenciado e resposta a incidentes complexos.

Também disponibilizamos conteúdo técnico aprofundado em /artigos para capacitação contínua de equipes.

Como a Decripte resolve APT e Ameaças Avançadas Persistentes

Nosso modelo combina inteligência proativa, arquitetura Zero Trust e monitoramento 24 por 7. Realizamos diagnóstico inicial detalhado, definimos plano estratégico personalizado e implementamos controles técnicos e processuais integrados.

Mini tutorial em três passos: acesse /intelligence-center, realize o diagnóstico gratuito, receba relatório detalhado com plano recomendado e conheça os /planos adequados ao seu porte e setor.

A ação imediata reduz drasticamente o tempo de exposição e fortalece governança corporativa diante de ameaças avançadas.

Perguntas frequentes (FAQ)

O que diferencia uma APT de um ataque comum?

Uma APT é direcionada, estratégica e persistente. Diferentemente de ataques massivos automatizados, ela busca objetivos específicos e mantém presença prolongada. Envolve planejamento detalhado, recursos significativos e técnicas avançadas de evasão. O foco não é apenas causar impacto imediato, mas coletar informações estratégicas ao longo do tempo.

Empresas médias também são alvo de APT?

Sim. Empresas médias inseridas em cadeias de suprimentos estratégicas são frequentemente usadas como porta de entrada para alvos maiores. Grupos avançados exploram elos mais fracos para alcançar objetivos principais.

Quanto tempo uma APT pode permanecer sem ser detectada?

Pode permanecer meses ou anos. O tempo médio global de detecção ainda é elevado, especialmente em organizações sem monitoramento contínuo e inteligência integrada.

LGPD exige proteção contra APT?

A LGPD exige medidas técnicas e administrativas adequadas. Embora não cite APT explicitamente, falhas em proteger dados contra ameaças avançadas podem resultar em sanções.

Zero Trust é obrigatório?

Não é obrigatório por lei, mas tornou-se prática recomendada para mitigar movimentação lateral e abuso de credenciais.

Qual o papel do conselho administrativo?

O conselho deve supervisionar riscos cibernéticos, aprovar investimentos e garantir alinhamento estratégico.

Threat Intelligence realmente faz diferença?

Sim. Permite antecipar campanhas e ajustar defesas antes que o ataque se concretize.

Como avaliar maturidade atual?

Por meio de assessment estruturado baseado em frameworks reconhecidos e testes práticos.

Backup protege contra APT?

Ajuda na recuperação, mas não impede espionagem ou exfiltração.

Treinamento reduz risco?

Reduz significativamente sucesso de engenharia social quando contínuo e contextualizado.

SOC interno ou terceirizado?

Depende do porte e maturidade. SOC terceirizado oferece escala e especialização.

Qual primeiro passo prático?

Realizar diagnóstico estruturado para entender exposição real.

Comece agora — diagnóstico gratuito em 5 minutos

A ameaça é real, crescente e estratégica. Adiar decisões aumenta exposição e risco regulatório. Acesse agora https://decripte.com.br/intelligence-center e realize seu diagnóstico gratuito.

Em poucos minutos você terá visão clara do seu nível de maturidade e principais lacunas. Conheça também nossos /planos de segurança estruturados para cada porte empresarial.

Proteja sua organização com inteligência, governança e ação imediata. O próximo movimento precisa ser seu.

Análise Técnica Aprofundada: Vetores e Táticas MITRE ATT&CK

A evolução das APTs em 2026 demonstra maior sofisticação na combinação de técnicas já conhecidas no framework MITRE ATT&CK com abordagens híbridas que exploram identidade, cadeia de suprimentos digital e infraestrutura em nuvem. Observa-se ampla utilização de T1566 (Phishing) com variações avançadas como spear phishing com anexos maliciosos baseados em ISO/IMG e payloads em LNK ofuscados. Esses artefatos frequentemente executam loaders in-memory via T1059 (Command and Scripting Interpreter), explorando PowerShell, WMI ou scripts JavaScript assinados digitalmente para evitar detecção baseada em reputação.

No estágio de persistência, grupos patrocinados por Estados adotam T1547 (Boot or Logon Autostart Execution) e T1136 (Create Account), principalmente em ambientes híbridos. A criação de contas privilegiadas em Azure AD ou IAM federado permite persistência fora do perímetro tradicional. Além disso, técnicas como T1098 (Account Manipulation) são empregadas para adicionar chaves SSH ou modificar políticas de acesso condicional, mantendo acesso persistente mesmo após redefinições de senha.

A movimentação lateral permanece fortemente associada a T1021 (Remote Services), incluindo abuso de RDP, SMB e WinRM, além de exploração de tokens Kerberos via T1558 (Steal or Forge Kerberos Tickets) — especialmente Golden e Silver Tickets. Em ambientes Linux e containers, observa-se uso de SSH com chaves previamente exfiltradas e exploração de APIs Kubernetes via T1610 (Deploy Container) para implantar pods maliciosos com privilégios elevados.

Para evasão de defesa, técnicas como T1027 (Obfuscated/Compressed Files and Information) e T1562 (Impair Defenses) são predominantes. A desativação de EDR via manipulação de drivers vulneráveis (Bring Your Own Vulnerable Driver – BYOVD) tem crescido significativamente. Grupos avançados utilizam binários assinados e exploram falhas em drivers legítimos para obter execução em modo kernel, reduzindo visibilidade de agentes de segurança.

Na fase de exfiltração, T1041 (Exfiltration Over C2 Channel) e T1567 (Exfiltration Over Web Services) são comuns, com uso de serviços legítimos como OneDrive, Dropbox ou APIs de colaboração corporativa para mascarar tráfego malicioso. A criptografia ponta-a-ponta e o uso de domínios com reputação neutra dificultam inspeção profunda. A exfiltração fragmentada em pequenos blocos (data smuggling) reduz anomalias perceptíveis em DLP tradicionais.

Finalmente, a técnica T1486 (Data Encrypted for Impact) continua presente, mas agora frequentemente associada a sabotagem estratégica ou pressão geopolítica, não apenas extorsão financeira. Em ataques patrocinados por Estados, o objetivo primário pode ser desestabilização operacional, espionagem prolongada ou manipulação de informações, com ransomware atuando como elemento de distração.

---

Indicadores de Comprometimento e Detecção

Indicadores de Comprometimento (IOCs) associados a APTs modernas incluem domínios recém-registrados com padrões DGA, certificados TLS autoassinados reutilizados e comunicação beaconing com intervalos regulares (ex: 60s, 300s). Hashes SHA-256 de loaders customizados frequentemente mudam, tornando mais eficaz o uso de detecção comportamental do que apenas assinaturas estáticas.

Regras SIEM devem priorizar correlação de eventos como: criação de conta privilegiada seguida de login remoto fora de horário comercial; alteração em políticas de MFA; execução de PowerShell com parâmetros -EncodedCommand; e múltiplas falhas de autenticação Kerberos (Event ID 4769). Correlações temporais e análise UEBA (User and Entity Behavior Analytics) são fundamentais para identificar desvios sutis de comportamento.

No contexto de YARA, recomenda-se criação de regras baseadas em padrões comportamentais e strings ofuscadas comuns em loaders, como sequências Base64 suspeitas, chamadas a APIs como VirtualAlloc, WriteProcessMemory e CreateRemoteThread. Regras devem incluir condições combinadas (tamanho de arquivo + entropia elevada + importação de APIs críticas) para reduzir falsos positivos.

A detecção em nuvem deve incluir monitoramento de logs como Azure AD Sign-In Logs e AWS CloudTrail. Alertas críticos incluem criação de Access Keys fora de processos padrão, desativação de logs de auditoria e alteração de políticas IAM com privilégios amplos (Action: "", Resource: ""). A integração entre SIEM e SOAR permite resposta automatizada, como bloqueio imediato de tokens comprometidos.

Indicadores comportamentais adicionais incluem uso de ferramentas legítimas (Living off the Land Binaries – LOLBins), como rundll32.exe, mshta.exe e certutil.exe para download de payloads. A análise deve priorizar contexto e encadeamento de eventos, não apenas execução isolada.

---

Roadmap de Implementação em 12 Meses

Fase 1: Diagnóstico (Meses 1-3)

O primeiro trimestre deve focar em avaliação de maturidade baseada em frameworks como NIST CSF 2.0 e ISO/IEC 27001:2022. É essencial conduzir um assessment técnico abrangente, incluindo testes de intrusão simulando TTPs de APTs e avaliação de lacunas em detecção e resposta.

Paralelamente, recomenda-se mapear ativos críticos e dependências de terceiros. A análise de risco deve priorizar sistemas estratégicos, dados sensíveis e integrações com fornecedores. Métrica de sucesso: 100% dos ativos críticos identificados e classificados segundo criticidade e impacto.

Outra entrega fundamental é a avaliação de capacidades de logging e retenção. Métrica: cobertura mínima de 90% dos sistemas críticos enviando logs centralizados ao SIEM, com retenção de pelo menos 180 dias para investigação retrospectiva.

Fase 2: Fundação (Meses 4-6)

Nesta fase, a organização deve implementar controles estruturantes: EDR/XDR em todos os endpoints críticos, MFA resistente a phishing (FIDO2) para contas privilegiadas e segmentação de rede baseada em Zero Trust.

A formalização de playbooks de resposta a incidentes específicos para APTs é essencial. Esses playbooks devem incluir isolamento automatizado, revogação de tokens e comunicação executiva estruturada. Métrica: tempo médio de contenção (MTTC) inferior a 4 horas em exercícios simulados.

Além disso, recomenda-se implementação de monitoramento contínuo de integridade (FIM) e políticas robustas de hardening. Métrica adicional: redução de 50% em vulnerabilidades críticas expostas externamente, validada por varreduras independentes.

Fase 3: Operação (Meses 7-9)

Com os controles implementados, inicia-se a fase operacional madura, incluindo threat hunting proativo baseado em hipóteses alinhadas ao MITRE ATT&CK. Equipes devem conduzir caçadas mensais focadas em técnicas específicas, como abuso de Kerberos ou criação suspeita de contas.

A integração de inteligência de ameaças (CTI) contextualizada permite enriquecimento automático de alertas. Métrica: 80% dos alertas críticos enriquecidos com dados externos (reputação, geolocalização, TTP associada).

Treinamentos executivos e simulações de crise (tabletop exercises) devem ocorrer ao menos duas vezes no período. Métrica de sucesso: redução de 30% no tempo de decisão estratégica durante simulações.

Fase 4: Otimização (Meses 10-12)

A fase final concentra-se em automação avançada via SOAR, reduzindo intervenção manual em alertas de baixo risco. Métrica: 40% dos incidentes de severidade média tratados automaticamente.

Avaliações Red Team independentes devem validar a eficácia das defesas. Resultados devem demonstrar melhoria mensurável em detecção precoce (tempo médio de detecção inferior a 24 horas).

Por fim, recomenda-se revisão estratégica do programa com o conselho executivo, vinculando métricas de segurança a indicadores de risco corporativo (KRIs). A maturidade deve ser formalmente reavaliada, buscando avanço de pelo menos um nível em modelos como CMMI ou NIST.

---

Perguntas Aprofundadas de Executivos Seniores

1. Estamos adequadamente protegidos contra ameaças patrocinadas por Estados ou apenas contra cibercrime tradicional?

A maioria das organizações investe em controles voltados para ameaças oportunistas, como ransomware comum e phishing massivo. Entretanto, APTs patrocinadas por Estados operam com recursos significativamente superiores, paciência estratégica e objetivos geopolíticos ou econômicos de longo prazo. Isso significa que controles básicos, embora necessários, são insuficientes isoladamente. A avaliação adequada exige análise de maturidade em detecção comportamental, capacidade de threat hunting, integração de inteligência de ameaças e preparação para incidentes prolongados. Organizações preparadas mantêm visibilidade profunda de endpoints, identidade e nuvem, realizam exercícios regulares simulando TTPs avançadas e possuem governança clara para resposta executiva. A resposta realista para a maioria das empresas é que ainda existe lacuna entre proteção contra cibercrime tradicional e resiliência contra APTs sofisticadas.

2. Qual é o impacto financeiro real de uma APT em comparação com outros riscos corporativos?

O impacto de uma APT raramente se limita a custos diretos de resposta técnica. Ele pode envolver perda de propriedade intelectual estratégica, comprometimento de negociações comerciais, sanções regulatórias e danos reputacionais duradouros. Em setores regulados, falhas de proteção podem resultar em multas significativas sob LGPD, GDPR ou regulações setoriais. Além disso, espionagem prolongada pode afetar vantagem competitiva por anos, algo difícil de quantificar em modelos tradicionais de risco. Estudos recentes indicam que ataques avançados podem gerar impactos superiores a múltiplos pontos percentuais da receita anual em empresas de tecnologia ou defesa. Portanto, a comparação deve considerar risco estratégico, não apenas operacional. Investimentos preventivos tendem a representar fração do custo potencial de um comprometimento prolongado.

3. Nosso modelo de governança permite resposta rápida e coordenada a um incidente geopolítico?

Ataques patrocinados por Estados podem ocorrer em contextos de tensões internacionais ou sanções econômicas. Nesses cenários, a resposta não é apenas técnica, mas também jurídica e diplomática. Empresas maduras possuem comitês de crise integrando CISO, CIO, jurídico, compliance e comunicação corporativa. A clareza sobre autoridade decisória, critérios para notificação regulatória e relacionamento com autoridades governamentais é essencial. Sem governança estruturada, decisões críticas podem atrasar contenção e amplificar impactos reputacionais. Avaliar readiness envolve revisar planos de continuidade de negócios, comunicação externa e integração com órgãos reguladores. A maturidade nesse aspecto é diferencial competitivo em mercados globais.

4. Estamos medindo corretamente a eficácia do nosso programa de segurança contra APTs?

Métricas tradicionais como número de incidentes detectados ou patches aplicados são insuficientes para avaliar resiliência contra APTs. Indicadores mais relevantes incluem tempo médio de detecção (MTTD), tempo médio de contenção (MTTC), cobertura de logs críticos, percentual de autenticação forte implementada e eficácia de exercícios Red Team. Além disso, métricas devem estar alinhadas a riscos estratégicos, como proteção de ativos intelectuais críticos. Programas maduros utilizam dashboards executivos conectando dados técnicos a impacto financeiro potencial. Sem métricas orientadas a risco, investimentos podem ser direcionados a controles de baixo impacto estratégico.

5. Como equilibrar investimento em segurança avançada com eficiência operacional e inovação?

A tensão entre segurança e agilidade é recorrente, especialmente em ambientes digitais acelerados. A resposta está na adoção de modelos como Zero Trust e segurança integrada ao ciclo de desenvolvimento (DevSecOps). Controles modernos baseados em identidade, automação e monitoramento contínuo permitem proteção robusta sem criar barreiras excessivas. Investimentos devem priorizar soluções escaláveis e integradas, reduzindo complexidade operacional. Além disso, segurança deve ser tratada como habilitador de confiança digital, permitindo expansão internacional e inovação com menor risco. Organizações que incorporam segurança como parte da estratégia de negócios tendem a alcançar vantagem competitiva sustentável, especialmente diante do cenário crescente de ameaças patrocinadas por Estados.