Microsoft 365 e Google Workspace são seguros? O que as empresas precisam entender

Tem uma crença comum em boa parte das empresas que adotam Microsoft 365 ou Google Workspace: a de que a segurança já vem incluída. Faz sentido pensar assim. São plataformas de empresas bilionárias, com times inteiros dedicados a proteção. Se a Microsoft e o Google investem tanto nisso, por que precisaria de algo a mais?

A resposta mais honesta está nos próprios relatórios que essas empresas publicam todo ano. E o que eles mostram é que as ameaças evoluíram de um jeito que os filtros nativos não foram feitos para acompanhar.

Continue lendo para entender onde estão esses gaps, quais ataques os exploram e o que sua empresa pode fazer a respeito.

O que Microsoft 365 e Google Workspace oferecem em segurança

As duas plataformas têm recursos nativos de proteção. O Microsoft 365 inclui filtros de spam, detecção de malware, autenticação por SPF, DKIM e DMARC. Em planos mais avançados, o Microsoft Defender for Office 365 adiciona Safe Attachments e políticas contra phishing, spoofing e impersonação. O Google Workspace segue uma linha parecida, com controles de proteção configuráveis pelo Admin Console.

O problema não é a falta de recursos. É que os ataques modernos foram construídos para passar por eles. Não por falha das plataformas — mas porque esses ataques exploram comportamento humano, contas comprometidas e contexto, coisas que filtros técnicos não leem bem.

O que os relatórios da Microsoft e Google mostram

O Relatório de Defesa Digital da Microsoft de 2024 registrou mais de 600 milhões de ataques de identidade por dia, com predominância de ataques baseados em senha. A Microsoft bloqueou mais de 7.000 desses ataques por segundo ao longo do ano.

Mesmo assim, o próprio relatório aponta que criminosos passaram a usar técnicas que contornam até o MFA, como o Adversary-in-the-Middle, que intercepta sessões autenticadas em tempo real sem precisar roubar a senha.

O relatório ainda mostra que, segundo dados do Microsoft Entra, apenas 41% dos usuários corporativos tinham MFA ativado em 2024. Ou seja, a maioria das contas ainda depende apenas de senha.

Do lado do Google, o M-Trends 2024 da Mandiant mapeou os vetores de entrada mais comuns em incidentes investigados: exploits (38%), phishing (17%), comprometimento prévio (15%) e credenciais roubadas (10%).

Proteção nativa ou não, os ataques que chegam ao destino continuam a explorar o comportamento humano e as credenciais como porta de entrada.

Esses não são dados de críticos externos. São os números que a Microsoft e o Google publicam nos seus próprios relatórios anuais. E eles deixam clara a preocupação que se deve ter com cibersegurança.

O risco das configurações padrão

Tem outro ponto que passa despercebido: boa parte dos recursos avançados dessas plataformas não está ativada por padrão. Eles existem, mas precisam ser adquiridos, conectados e/ou configurados.

No Microsoft 365, a política padrão de anti-phishing cobre spoofing e inteligência de caixa postal. Mas a proteção contra personificação e ajustes de sensibilidade para detecção de phishing precisam ser habilitados manualmente.

Resultado: duas empresas no mesmo plano podem ter níveis de proteção completamente diferentes, dependendo do que foi configurado, revisado e das exceções que foram criadas ao longo do tempo.

No Google Workspace acontece o mesmo. Os controles avançados estão no Admin Console, mas precisam ser ativados.

Uma empresa pode estar usando uma plataforma com recursos sólidos e, mesmo assim, estar exposta porque ninguém ativou o que estava disponível.

Sem revisão periódica das políticas e monitoramento contínuo, até os melhores recursos ficam subutilizados.

O que os filtros nativos não conseguem cobrir

Microsoft 365 e Google Workspace são plataformas de produtividade. A segurança é uma camada dentro delas, não o produto principal. Isso costuma criar lacunas reais.

Análise pós-entrega. Muitas proteções atuam no momento em que a mensagem chega. Recursos de remediação pós-entrega existem nos planos mais avançados, mas dependem de configuração específica e nem sempre estão ativos. Uma mensagem pode continuar acessível na caixa de entrada mesmo depois que novos sinais indicam risco.

Ameaças que vêm de dentro. Quando uma conta corporativa é comprometida e usada para atacar colegas, o e-mail sai de um domínio legítimo com autenticação válida. Os filtros de reputação não disparam porque a conta é real. Como abordado no post sobre phishing interno, esse é um dos ataques mais difíceis de detectar exatamente por isso.

QR Codes maliciosos. Filtros que analisam URLs textuais podem não identificar links embutidos dentro de imagens. O quishing cresceu porque essa lacuna permite que mensagens maliciosas cheguem à caixa de entrada sem acionar alertas nos filtros convencionais.

Comportamento anômalo de contas. Identificar que uma conta está sendo usada de forma estranha, como, por exemplo, padrões de envio fora do normal e regras suspeitas criadas na caixa de entrada, exige análise comportamental contínua que vai além do que os filtros de entrada oferecem.

Quais ataques exploram essas lacunas

O Business Email Compromise é um dos casos mais diretos. Esse tipo de ataque usa contas comprometidas ou domínios muito parecidos com os legítimos para solicitar transferências, alterar dados bancários de fornecedores e aprovar pagamentos fraudulentos.

O próprio Relatório de Defesa Digital da Microsoft aponta a manipulação de regras de caixa de entrada como uma técnica frequente nesses ataques.

O Adversary-in-the-Middle vai além: intercepta sessões autenticadas em tempo real, contornando o MFA. A vítima faz o login normalmente. O atacante captura o token de sessão e assume o controle da conta.

O spoofing de domínio, a engenharia social direcionada e o thread hijacking, em que o criminoso responde dentro de conversas reais para parecer parte natural da troca, completam o cenário que as proteções nativas não cobrem de forma consistente.

Proteja seus endpoints com a Crowdstrike

Como uma camada adicional de proteção funciona

Uma solução dedicada de segurança de e-mail não substitui o Microsoft 365 ou o Google Workspace.

Ela funciona em paralelo, como uma barreira extra de proteção, cobrindo as lacunas que as plataformas deixam em aberto.

O MailInspector, da HSC Labs, foi desenvolvido para se integrar facilmente às duas plataformas.

Ele analisa as mensagens antes e depois da entrega, inspeciona QR Codes em imagens, detecta comportamento anômalo em contas internas e remove ameaças da caixa de entrada mesmo quando elas já chegaram.

E não exige migração de plataforma, entra como camada adicional sobre o ambiente que a empresa já usa.

O Anti-Phishing Working Group registrou 3,8 milhões de ataques de phishing em 2025, com picos de mais de 1,1 milhão em um único trimestre. Depender só da proteção nativa, nesse cenário, é um risco que muitas empresas percebem tarde demais.

E mesmo com uma camada técnica adicional, parte dos ataques ainda depende do comportamento humano para funcionar. Programas de conscientização em cibersegurança como o MindAware combinam simulações de phishing com treinamentos contínuos e acompanhamento da maturidade de cada colaborador, porque a tecnologia sozinha não resolve o lado humano do problema.

O que sua empresa deve avaliar agora

As políticas de segurança do Microsoft 365 ou Google Workspace foram revisadas recentemente? A empresa usa apenas as configurações padrão? Existem exceções antigas que podem estar abrindo brechas sem que ninguém perceba?

A equipe consegue investigar um e-mail suspeito com rapidez? Há visibilidade sobre o que foi entregue, removido ou reclassificado depois da entrega? Quando uma conta é comprometida, quanto tempo leva até alguém perceber?

Microsoft 365 e Google Workspace são plataformas sólidas. A questão não é se são seguras, é se a empresa está usando esses ambientes com o nível de proteção que o risco atual exige.

Quer entender como o MailInspector e o MindAware podem complementar a proteção do Microsoft 365 ou Google Workspace na sua empresa? Entre em contato com a Oblock.