MundiXMUNDIX WEB
A Ciência de Proteger: Recomendações para o Hardening do Segmento Crítico da Infraestrutura de TI
segurança da informaçãohardeninginfraestrutura de TIgerenciamento de senhasforense digital

A Ciência de Proteger: Recomendações para o Hardening do Segmento Crítico da Infraestrutura de TI

Especialistas da F6 e Passwork detalham estratégias essenciais para proteger os componentes mais vitais da infraestrutura de TI contra ataques cibernéticos devastadores, focando em segurança, armazenamento de segredos e backups.

MundiX News·20 de maio de 2026·8 min de leitura·👁 5 views

No entendimento tradicional de negócios, o segmento crítico da infraestrutura de TI compreende os sistemas que garantem diretamente a continuidade dos processos de negócios e a performance financeira de uma empresa. Contudo, sob a ótica da segurança da informação, as prioridades são fundamentalmente distintas. O segmento verdadeiramente crítico é formado pelos sistemas responsáveis pela proteção da infraestrutura, pelo armazenamento seguro de segredos e dados de autenticação, bem como pela criação e guarda de backups. São precisamente esses componentes que determinam a capacidade de uma organização não apenas de resistir a ameaças, mas também de proteger seus ativos de forma garantida e de se recuperar após incidentes ou falhas destrutivas.

Especialistas do Laboratório de Forense Digital e Análise de Malware da F6 e especialistas em segurança da Passwork, desenvolvedora de um gerenciador de senhas corporativo, conduziram uma pesquisa que permitiu a formulação de recomendações para a proteção de dispositivos críticos em qualquer infraestrutura de TI. Anton Velichko, chefe do Laboratório de Forense Digital e Análise de Malware da F6, compartilha os insights. A motivação para a elaboração deste artigo surgiu da experiência prática em resposta a ciberataques devastadores, nos quais os invasores obtiveram acesso às redes corporativas de suas vítimas e empregaram ransomware ou wipers para paralisar suas infraestruturas de TI. A análise das causas que levaram os invasores a atingir seus objetivos revelou que, em grande parte, o sucesso foi alcançado devido à configuração insegura das infraestruturas de TI, à inteligência de reconhecimento de recursos da vítima realizada de forma eficaz, à comprometimento de credenciais críticas armazenadas, inclusive em gerenciadores de senhas corporativos, e à acessibilidade e desproteção de sistemas e repositórios de backup.

Para combater tais ataques, é crucial entender que, independentemente das barreiras que estabeleçamos para o acesso à rede corporativa, será bastante difícil oferecer qualquer resistência a uma ameaça que já penetrou sem pessoal qualificado e meios modernos de detecção e resposta a ela. No entanto, mesmo possuindo um "botão mágico" na forma de soluções de defesa avançadas, a segurança da informação não pode prescindir de um projeto e configuração seguros da infraestrutura de TI. Elaboramos uma lista de recomendações arquitetônicas voltadas para o aumento da segurança dos sistemas do segmento crítico da infraestrutura de TI, cujas tarefas incluem garantir a segurança da infraestrutura, armazenamento de segredos e dados de autenticação de usuários, bem como criação e armazenamento de backups, aos quais os invasores não devem ter acesso sob nenhuma circunstução. O objetivo destas recomendações é reduzir a superfície de ataque aos sistemas do segmento crítico e criar condições para um ataque caro e ineficiente, que, em condições ideais, consumirá tempo e recursos do invasor suficientes para que sua atividade seja detectada antes que ele atinja o objetivo pretendido.

Os aspectos fundamentais que devem ser alcançados pela implementação destas recomendações incluem: a segregação dos sistemas criticamente importantes em um segmento de rede separado (ver figura), não gerenciado centralmente, inclusive por meio de serviços de domínio; a implementação da administração desses sistemas a partir de um sistema isolado, não utilizado na atividade diária e também isolado dos serviços de domínio e do gerenciamento centralizado; e a ausência de dados de autenticação dos sistemas do segmento crítico na infraestrutura operacional.

Recomendações para a configuração segura dos sistemas do segmento crítico da infraestrutura de TI

  • Não hospede (não instale) serviços de gerenciamento de ferramentas de proteção de informação, backup, armazenamento de segredos corporativos e dados de autenticação (gerenciadores de senhas corporativos, sistemas de autenticação, etc.) e seus bancos de dados em servidores que façam parte do domínio Active Directory.

    • Hospedar serviços de gerenciamento de ferramentas de proteção de informação, backup, armazenamento de segredos corporativos e dados de autenticação e seus bancos de dados em sistemas que não façam parte dos domínios Active Directory permitirá reduzir a superfície de ataque tanto para esses sistemas quanto para os serviços hospedados neles, ao excluir técnicas de ataque a serviços de domínio.
    • Também é importante observar os princípios de administração segura desses sistemas. Não administre sistemas do segmento crítico a partir de sistemas que façam parte da infraestrutura de domínio. Para administrar sistemas do segmento crítico, recomenda-se designar uma estação de trabalho separada, que não faça parte da infraestrutura de domínio e que não seja utilizada no dia a dia. Essa estação de trabalho deve ser configurada de acordo com os princípios de privilégios mínimos e não deve ser gerenciada remotamente.
    • Em conjunto, essas medidas podem aumentar significativamente a complexidade de um ataque a um gerenciador de senhas, devido à ausência de dados de autenticação necessários em sistemas conectados aos domínios AD existentes.

  • Administre sistemas do segmento crítico a partir de estações de trabalho não conectadas ao domínio AD e não utilizadas no dia a dia.

  • Não utilize nem armazene na infraestrutura de domínio, sem a devida proteção, dados de autenticação para conexão aos sistemas operacionais dos hosts do segmento crítico, bem como de contas privilegiadas de serviços hospedados nesses hosts.

  • Desative o suporte e não utilize protocolos de rede e algoritmos de criptografia obsoletos.

    • A aplicação destas recomendações permitirá excluir a exploração de vulnerabilidades de protocolos obsoletos e reduzir significativamente o risco de ataques de downgrade, forçando o uso exclusivo de algoritmos de criptografia robustos, além de reduzir a superfície de ataque do segmento crítico, fechando portas não utilizadas e padronizando um canal seguro único para gerenciamento remoto.

  • Utilize políticas rigorosas de negociação de protocolos. Desative os modos de retrocompatibilidade com protocolos obsoletos.

  • Ao organizar o acesso de rede aos sistemas do segmento crítico, adira aos princípios do número mínimo de portas de rede acessíveis. Garanta a acessibilidade apenas dos serviços hospedados neles.

  • Para gerenciamento remoto de sistemas do segmento crítico, defina e utilize um protocolo aprovado, por exemplo, RDP.

  • Restrinja a capacidade de interação dos sistemas do segmento crítico com redes públicas. Nas listas de recursos públicos permitidos, podem ser adicionados endereços públicos de servidores de atualização de sistemas operacionais e dos serviços hospedados neles.

    • Esta medida permitirá restringir a interação com redes públicas e impedirá o estabelecimento de canais de controle ocultos para servidores de atacantes, utilizados para gerenciar e exfiltrar dados críticos.

  • Ao delimitar direitos de acesso, guie-se pelo princípio de privilégios mínimos necessários para as contas de serviço do serviço.

    • Contas sob as quais os serviços operam nos sistemas do segmento crítico não devem ser privilegiadas e não devem ter acesso a outros recursos da rede local.

  • Aderir a políticas rigorosas de senhas para todas as contas associadas a sistemas do segmento crítico. Certifique-se de usar senhas diferentes das utilizadas em outros segmentos da infraestrutura.

    • Esta medida permitirá excluir a possibilidade de reutilização de dados de autenticação obtidos na infraestrutura principal pelos atacantes.

  • Configure políticas de bloqueio de contas ao atingir um determinado número de tentativas de login malsucedidas no servidor do gerenciador de senhas.

    • Ao acessar sistemas do segmento crítico, recomenda-se limitar o número de tentativas de autenticação.
    • Esta medida permitirá combater ataques de força bruta e detectá-los.

  • Utilize autenticação multifator (MFA) para acesso a sistemas do segmento crítico e aos serviços hospedados neles.

    • Implemente ferramentas de autenticação multifator baseadas em códigos de uso único. Para sistemas operacionais, podem ser utilizadas soluções comerciais e de código aberto de distribuição livre. Isso criará uma barreira adicional para os atacantes, em casos, por exemplo, em que desativar protocolos de acesso remoto e gerenciamento não seja possível.

  • Garanta a criptografia de discos dos sistemas do segmento crítico.

    • Utilize software como BitLocker, LUKS ou análogos. Garanta locais seguros para armazenamento de informações de chave. Isso protegerá as informações em caso de acesso físico aos dispositivos de armazenamento ou roubo de arquivos de disco de máquinas virtuais.

  • Nos casos em que os sistemas do segmento crítico são criados em um ambiente virtual, aloque um hipervisor separado para eles, que seja administrado exclusivamente a partir de uma estação de trabalho não gerenciada centralmente, não pertencente a domínios e não utilizada no dia a dia.

    • Ao construir um segmento crítico de infraestrutura em um ambiente virtual, os riscos de comprometimento dos hipervisores nos quais esses sistemas estão localizados devem ser considerados. Mesmo em casos de criptografia de disco do SO guest, os invasores podem comprometer os hipervisores e realizar a exfiltração de arquivos de máquinas virtuais, incluindo arquivos de memória de máquinas virtuais (VMs) com informações de chave necessárias para descriptografar os discos. A implementação de um cenário de ataque como esse permitirá que os invasores ataquem VMs roubadas em ambientes sob seu controle.
    • Se este risco for inaceitável, aloque um hipervisor separado para VMs críticas e garanta seu isolamento da infraestrutura geral.

  • Atualize regularmente os sistemas operacionais dos sistemas do segmento crítico e os componentes dos serviços hospedados neles.

    • O software pode conter erros e vulnerabilidades, o que em alguns casos pode levar ao comprometimento dos dados armazenados neles.

  • Ative mecanismos de segurança adicionais implementados nos serviços hospedados nos sistemas do segmento crítico.

    • Aplicações e serviços críticos podem ter funções implementadas para aumentar a segurança do armazenamento de dados (criptografia de dados, autenticação multifator).

  • Configure a coleta e análise centralizada de eventos de segurança em um sistema SIEM.

    • Monitore eventos relacionados a:
      • sistemas operacionais de dispositivos do segmento crítico: eventos do SO (login bem-sucedido/falho no sistema, criação de tarefas e serviços, processos, etc.);
      • acesso a serviços hospedados em sistemas de sistemas críticos: eventos de login no aplicativo, conexões a bancos de dados, operações de criação/alteração/exclusão de objetos, etc.
    • O rastreamento de tais eventos permitirá detectar e responder a atividades anômalas em tempo hábil.

📤 Compartilhar & Baixar

Artigos Relacionados

Mudanças Cruciais na Proteção de Dados na Rússia: O Que Há de Novo?

Mudanças Cruciais na Proteção de Dados na Rússia: O Que Há de Novo?

7 min · 22 de mai.

Chamado de "Desinteressado", Descobri Offshores no Chipre

Chamado de "Desinteressado", Descobri Offshores no Chipre

15 min · 22 de mai.