Em 2022, um relatório de segurança analisou o ambiente de uma empresa de médio porte antes de implantar uma solução de DSPM. O resultado: o usuário médio tinha acesso a 4,7 milhões de arquivos. O usuário de maior exposição: 22 milhões de arquivos, a maioria dos quais nunca havia tocado.
Esses números representam o blast radius — e esse conceito mudou fundamentalmente como equipes de segurança pensam sobre identidade e risco.
O que é blast radius
Blast radius é um termo emprestado da engenharia militar. Em segurança, significa:
A quantidade de dano que um atacante pode causar se uma identidade específica for comprometida.
Em termos práticos: se um funcionário do RH tiver sua conta comprometida, quantos registros de dados sensíveis um atacante poderia acessar, exfiltrar ou modificar antes de ser detectado?
A resposta depende de dois fatores:
- Quantos dados essa identidade pode acessar (permissões efetivas)
- Quanto tempo leva para detectar e conter o comprometimento (tempo de resposta)
Blast radius = volume de dados acessíveis × janela de exposição
Por que o número real surpreende
Toda organização tem uma visão mental do que um usuário típico pode acessar. Essa visão quase sempre subestima a realidade por um fator de 10 a 100.
O motivo: permissões acumuladas ao longo do tempo.
Em vez de acesso mínimo necessário (princípio do menor privilégio), o que acontece na prática é:
- Um funcionário precisa de acesso a uma pasta de projetos → recebe acesso
- O projeto termina → o acesso permanece
- O funcionário muda de área → herda permissões do cargo anterior e ganha novas
- Três anos depois → acesso a 40 sistemas que ninguém revisou
Adicione a isso grupos de segurança mal gerenciados, links de compartilhamento “anyone with the link”, e permissões herdadas de integrações entre sistemas, e o blast radius de uma conta comum pode ser ordens de magnitude maior do que qualquer política de acesso mínimo prescreve.
Dado de referência: Pesquisa de 2024 analisou ambientes Microsoft 365 e encontrou que em média 17% dos dados de uma organização são acessíveis a todos os funcionários, incluindo arquivos com dados sensíveis que deveriam ter acesso restrito.
Como calcular blast radius por identidade
O cálculo preciso do blast radius requer três inputs:
1. Inventário de dados com classificação de sensibilidade Não é possível calcular blast radius sem saber o que está nos repositórios. Um acesso a 10 mil arquivos genéricos é diferente de acesso a 10 mil arquivos com CPFs de clientes.
2. Permissões efetivas — não as declaradas A permissão declarada é o que está na política. A permissão efetiva é o que o usuário pode de fato acessar, considerando grupos, herança, links de compartilhamento, e integrações de terceiros. São frequentemente diferentes.
3. Sensibilidade ponderada Blast radius não é apenas contagem de arquivos. É o produto da quantidade de dados pelo grau de sensibilidade:
Blast Radius = Σ (arquivos acessíveis × peso de sensibilidade)
Onde peso: PII básico = 1, PII financeiro = 3, dado de saúde = 5, segredo comercial = 4O resultado é um índice de risco por identidade que permite priorizar quais contas reduzir primeiro.
Os três perfis de blast radius alto
Nem todo usuário com blast radius alto é um administrador ou executivo. Os três perfis mais comuns:
1. O funcionário de longa data
Dez anos na empresa, cinco cargos diferentes. Cada transição de área adicionou novas permissões; nenhuma removeu as antigas. Hoje tem acesso a sistemas de quatro departamentos e a uma pasta de projetos confidenciais de 2018.
2. O usuário do grupo errado
Alguém foi adicionado a um grupo de SharePoint para uma tarefa específica. O grupo dá acesso a 200 sites. A tarefa terminou; a remoção do grupo nunca aconteceu.
3. A service account esquecida
Criada para uma integração de sistema em 2020. A integração foi substituída. A service account ainda existe, ainda tem acesso amplo, não tem dono nomeado e não tem rotação de senha.
Blast radius e IA generativa: o multiplicador silencioso
O Microsoft 365 Copilot, o Google Gemini for Workspace e outras ferramentas de IA generativa corporativa operam com as permissões do usuário. Isso torna o blast radius especialmente crítico em ambientes com IA habilitada.
Antes do Copilot: um usuário com acesso excessivo precisaria saber que o arquivo existe, navegar até ele, e abri-lo. O acesso indevido exigia intenção ou sorte.
Depois do Copilot: o mesmo usuário faz uma pergunta em linguagem natural — “me mostre contratos com valores acima de R$ 1 milhão” — e o Copilot recupera e sintetiza todos os documentos relevantes que o usuário pode acessar, sem que o usuário saiba (ou precise saber) que esses arquivos existem.
O efeito amplificador: O Copilot não cria novos acessos. Ele torna o acesso existente mais eficiente — para o usuário legítimo e, em caso de comprometimento, para o atacante. Um blast radius de 4 milhões de arquivos que levaria semanas para explorar manualmente pode ser consultado em minutos com IA.
A armadilha das revisões periódicas
A abordagem tradicional para controlar blast radius é a revisão de acesso — geralmente anual ou semestral. Um gestor recebe uma lista de permissões dos membros da equipe e confirma quais ainda fazem sentido.
O problema desta abordagem é estrutural:
Entre uma revisão e outra, permissões são criadas, herdadas e esquecidas. Em uma organização com 1.000 funcionários e 50 sistemas integrados, podem surgir dezenas de milhares de novas permissões excessivas em 6 meses.
A revisão é um snapshot em um momento. Blast radius é um estado que muda continuamente.
O gestor não tem contexto técnico. Ele sabe quem está na equipe, não o que cada permissão efetivamente permite acessar em termos de dados sensíveis.
A alternativa é o monitoramento contínuo de blast radius — calculado em tempo real, com alertas quando uma identidade ultrapassa um threshold definido de dados sensíveis acessíveis.
Como reduzir blast radius na prática
A redução de blast radius não é um projeto — é um processo contínuo. O modelo que funciona:
Fase 1 — Visibilidade (semanas 1-4) Calcule o blast radius atual das 100 identidades com maior exposição. O resultado geralmente justifica o programa inteiro.
Fase 2 — Remediação prioritária (meses 1-3) Remova permissões não utilizadas nos últimos 90 dias. Revogue links de compartilhamento abertos em dados classificados. Desative service accounts sem dono. Cada ação reduz blast radius sem impactar operações.
Fase 3 — Automatização (meses 3-6) Implemente políticas de expiração automática de permissões. Configure alertas para quando blast radius de uma identidade ultrapassa limiares. Integre com o processo de offboarding para remoção imediata de acesso.
Fase 4 — Monitoramento contínuo Blast radius como métrica de segurança, revisada mensalmente. Identidades acima do threshold entram em processo de revisão antes da próxima renovação.
A pergunta que muda a conversa com o board
Quando CISOs precisam justificar investimento em governança de acesso, a conversa tradicional é sobre compliance ou sobre frameworks.
A conversa sobre blast radius é diferente:
“Se amanhã a conta de um gerente for comprometida por phishing, quantos registros de clientes estariam em risco de exfiltração antes de detectarmos? A resposta hoje é 4,7 milhões. O objetivo é chegar a menos de 50 mil.”
Esse é um número concreto, um risco específico, e uma meta mensurável. É assim que se justifica — e como se mede progresso em — um programa de governança de acesso orientado por dados.
O assessment gratuito calcula o score do seu domínio de Access Governance e estima seu blast radius médio com base nas respostas ao questionário.