A Ciência de Proteger: Recomendações para o Hardening do Segmento Crítico da Infraestrutura de TI

A Ciência de Proteger: Recomendações para o Hardening do Segmento Crítico da Infraestrutura de TI

Especialistas da F6 e Passwork detalham estratégias essenciais para proteger os componentes mais vitais da infraestrutura de TI contra ataques cibernéticos devastadores, focando em segurança, armazenamento de segredos e backups.

MundiX News·20 de maio de 2026·8 min de leitura·👁 14 views

No entendimento tradicional de negócios, o segmento crítico da infraestrutura de TI compreende os sistemas que garantem diretamente a continuidade dos processos de negócios e a performance financeira de uma empresa. Contudo, sob a ótica da segurança da informação, as prioridades são fundamentalmente distintas. O segmento verdadeiramente crítico é formado pelos sistemas responsáveis pela proteção da infraestrutura, pelo armazenamento seguro de segredos e dados de autenticação, bem como pela criação e guarda de backups. São precisamente esses componentes que determinam a capacidade de uma organização não apenas de resistir a ameaças, mas também de proteger seus ativos de forma garantida e de se recuperar após incidentes ou falhas destrutivas.

Especialistas do Laboratório de Forense Digital e Análise de Malware da F6 e especialistas em segurança da Passwork, desenvolvedora de um gerenciador de senhas corporativo, conduziram uma pesquisa que permitiu a formulação de recomendações para a proteção de dispositivos críticos em qualquer infraestrutura de TI. Anton Velichko, chefe do Laboratório de Forense Digital e Análise de Malware da F6, compartilha os insights. A motivação para a elaboração deste artigo surgiu da experiência prática em resposta a ciberataques devastadores, nos quais os invasores obtiveram acesso às redes corporativas de suas vítimas e empregaram ransomware ou wipers para paralisar suas infraestruturas de TI. A análise das causas que levaram os invasores a atingir seus objetivos revelou que, em grande parte, o sucesso foi alcançado devido à configuração insegura das infraestruturas de TI, à inteligência de reconhecimento de recursos da vítima realizada de forma eficaz, à comprometimento de credenciais críticas armazenadas, inclusive em gerenciadores de senhas corporativos, e à acessibilidade e desproteção de sistemas e repositórios de backup.

Para combater tais ataques, é crucial entender que, independentemente das barreiras que estabeleçamos para o acesso à rede corporativa, será bastante difícil oferecer qualquer resistência a uma ameaça que já penetrou sem pessoal qualificado e meios modernos de detecção e resposta a ela. No entanto, mesmo possuindo um "botão mágico" na forma de soluções de defesa avançadas, a segurança da informação não pode prescindir de um projeto e configuração seguros da infraestrutura de TI. Elaboramos uma lista de recomendações arquitetônicas voltadas para o aumento da segurança dos sistemas do segmento crítico da infraestrutura de TI, cujas tarefas incluem garantir a segurança da infraestrutura, armazenamento de segredos e dados de autenticação de usuários, bem como criação e armazenamento de backups, aos quais os invasores não devem ter acesso sob nenhuma circunstução. O objetivo destas recomendações é reduzir a superfície de ataque aos sistemas do segmento crítico e criar condições para um ataque caro e ineficiente, que, em condições ideais, consumirá tempo e recursos do invasor suficientes para que sua atividade seja detectada antes que ele atinja o objetivo pretendido.

Os aspectos fundamentais que devem ser alcançados pela implementação destas recomendações incluem: a segregação dos sistemas criticamente importantes em um segmento de rede separado (ver figura), não gerenciado centralmente, inclusive por meio de serviços de domínio; a implementação da administração desses sistemas a partir de um sistema isolado, não utilizado na atividade diária e também isolado dos serviços de domínio e do gerenciamento centralizado; e a ausência de dados de autenticação dos sistemas do segmento crítico na infraestrutura operacional.

Recomendações para a configuração segura dos sistemas do segmento crítico da infraestrutura de TI

  • Não hospede (não instale) serviços de gerenciamento de ferramentas de proteção de informação, backup, armazenamento de segredos corporativos e dados de autenticação (gerenciadores de senhas corporativos, sistemas de autenticação, etc.) e seus bancos de dados em servidores que façam parte do domínio Active Directory.

    • Hospedar serviços de gerenciamento de ferramentas de proteção de informação, backup, armazenamento de segredos corporativos e dados de autenticação e seus bancos de dados em sistemas que não façam parte dos domínios Active Directory permitirá reduzir a superfície de ataque tanto para esses sistemas quanto para os serviços hospedados neles, ao excluir técnicas de ataque a serviços de domínio.
    • Também é importante observar os princípios de administração segura desses sistemas. Não administre sistemas do segmento crítico a partir de sistemas que façam parte da infraestrutura de domínio. Para administrar sistemas do segmento crítico, recomenda-se designar uma estação de trabalho separada, que não faça parte da infraestrutura de domínio e que não seja utilizada no dia a dia. Essa estação de trabalho deve ser configurada de acordo com os princípios de privilégios mínimos e não deve ser gerenciada remotamente.
    • Em conjunto, essas medidas podem aumentar significativamente a complexidade de um ataque a um gerenciador de senhas, devido à ausência de dados de autenticação necessários em sistemas conectados aos domínios AD existentes.
  • Administre sistemas do segmento crítico a partir de estações de trabalho não conectadas ao domínio AD e não utilizadas no dia a dia.

  • Não utilize nem armazene na infraestrutura de domínio, sem a devida proteção, dados de autenticação para conexão aos sistemas operacionais dos hosts do segmento crítico, bem como de contas privilegiadas de serviços hospedados nesses hosts.

  • Desative o suporte e não utilize protocolos de rede e algoritmos de criptografia obsoletos.

    • A aplicação destas recomendações permitirá excluir a exploração de vulnerabilidades de protocolos obsoletos e reduzir significativamente o risco de ataques de downgrade, forçando o uso exclusivo de algoritmos de criptografia robustos, além de reduzir a superfície de ataque do segmento crítico, fechando portas não utilizadas e padronizando um canal seguro único para gerenciamento remoto.
  • Utilize políticas rigorosas de negociação de protocolos. Desative os modos de retrocompatibilidade com protocolos obsoletos.

  • Ao organizar o acesso de rede aos sistemas do segmento crítico, adira aos princípios do número mínimo de portas de rede acessíveis. Garanta a acessibilidade apenas dos serviços hospedados neles.

  • Para gerenciamento remoto de sistemas do segmento crítico, defina e utilize um protocolo aprovado, por exemplo, RDP.

  • Restrinja a capacidade de interação dos sistemas do segmento crítico com redes públicas. Nas listas de recursos públicos permitidos, podem ser adicionados endereços públicos de servidores de atualização de sistemas operacionais e dos serviços hospedados neles.

    • Esta medida permitirá restringir a interação com redes públicas e impedirá o estabelecimento de canais de controle ocultos para servidores de atacantes, utilizados para gerenciar e exfiltrar dados críticos.
  • Ao delimitar direitos de acesso, guie-se pelo princípio de privilégios mínimos necessários para as contas de serviço do serviço.

    • Contas sob as quais os serviços operam nos sistemas do segmento crítico não devem ser privilegiadas e não devem ter acesso a outros recursos da rede local.
  • Aderir a políticas rigorosas de senhas para todas as contas associadas a sistemas do segmento crítico. Certifique-se de usar senhas diferentes das utilizadas em outros segmentos da infraestrutura.

    • Esta medida permitirá excluir a possibilidade de reutilização de dados de autenticação obtidos na infraestrutura principal pelos atacantes.
  • Configure políticas de bloqueio de contas ao atingir um determinado número de tentativas de login malsucedidas no servidor do gerenciador de senhas.

    • Ao acessar sistemas do segmento crítico, recomenda-se limitar o número de tentativas de autenticação.
    • Esta medida permitirá combater ataques de força bruta e detectá-los.
  • Utilize autenticação multifator (MFA) para acesso a sistemas do segmento crítico e aos serviços hospedados neles.

    • Implemente ferramentas de autenticação multifator baseadas em códigos de uso único. Para sistemas operacionais, podem ser utilizadas soluções comerciais e de código aberto de distribuição livre. Isso criará uma barreira adicional para os atacantes, em casos, por exemplo, em que desativar protocolos de acesso remoto e gerenciamento não seja possível.
  • Garanta a criptografia de discos dos sistemas do segmento crítico.

    • Utilize software como BitLocker, LUKS ou análogos. Garanta locais seguros para armazenamento de informações de chave. Isso protegerá as informações em caso de acesso físico aos dispositivos de armazenamento ou roubo de arquivos de disco de máquinas virtuais.
  • Nos casos em que os sistemas do segmento crítico são criados em um ambiente virtual, aloque um hipervisor separado para eles, que seja administrado exclusivamente a partir de uma estação de trabalho não gerenciada centralmente, não pertencente a domínios e não utilizada no dia a dia.

    • Ao construir um segmento crítico de infraestrutura em um ambiente virtual, os riscos de comprometimento dos hipervisores nos quais esses sistemas estão localizados devem ser considerados. Mesmo em casos de criptografia de disco do SO guest, os invasores podem comprometer os hipervisores e realizar a exfiltração de arquivos de máquinas virtuais, incluindo arquivos de memória de máquinas virtuais (VMs) com informações de chave necessárias para descriptografar os discos. A implementação de um cenário de ataque como esse permitirá que os invasores ataquem VMs roubadas em ambientes sob seu controle.
    • Se este risco for inaceitável, aloque um hipervisor separado para VMs críticas e garanta seu isolamento da infraestrutura geral.
  • Atualize regularmente os sistemas operacionais dos sistemas do segmento crítico e os componentes dos serviços hospedados neles.

    • O software pode conter erros e vulnerabilidades, o que em alguns casos pode levar ao comprometimento dos dados armazenados neles.
  • Ative mecanismos de segurança adicionais implementados nos serviços hospedados nos sistemas do segmento crítico.

    • Aplicações e serviços críticos podem ter funções implementadas para aumentar a segurança do armazenamento de dados (criptografia de dados, autenticação multifator).
  • Configure a coleta e análise centralizada de eventos de segurança em um sistema SIEM.

    • Monitore eventos relacionados a:
      • sistemas operacionais de dispositivos do segmento crítico: eventos do SO (login bem-sucedido/falho no sistema, criação de tarefas e serviços, processos, etc.);
      • acesso a serviços hospedados em sistemas de sistemas críticos: eventos de login no aplicativo, conexões a bancos de dados, operações de criação/alteração/exclusão de objetos, etc.
    • O rastreamento de tais eventos permitirá detectar e responder a atividades anômalas em tempo hábil.
🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.