No post anterior, mostramos como os dados corporativos chegam à dark web e como descobrir se sua empresa já foi exposta. Mas existe uma pergunta que fica no ar depois dessa leitura: como esses dados saem da empresa em primeiro lugar? A resposta, na maioria dos casos, não está em um ataque mirabolante de hackers de elite. Está na falta de uma infraestrutura de TI da própria empresa.
Redes mal segmentadas, firewalls desatualizados, ativos de TI sem inventário e acessos sem controle adequado são, na prática, as brechas que transformam uma empresa comum em um alvo fácil. Além disso, o invasor não precisa forçar a porta quando, muitas vezes, a janela já está aberta.
Em 2025, o Brasil registrou aumento de 38% nos ataques cibernéticos em dezembro, com organizações latino-americanas enfrentando uma média de 3.065 ataques por semana, a maior taxa de crescimento do mundo (Check Point Research). A maior parte dessas invasões bem-sucedidas explorou não sofisticação técnica, mas fragilidades estruturais de infraestrutura: redes planas sem segmentação, sistemas legados sem atualização e ausência de visibilidade sobre o próprio ambiente de TI.
O Que é Infraestrutura de TI e Por Que Ela É o Alvo Preferido dos Criminosos
Infraestrutura de TI é o conjunto de hardware, software, redes, servidores, sistemas de armazenamento e serviços que sustentam as operações de uma empresa. É a espinha dorsal digital do negócio e justamente por isso, é também o ponto mais cobiçado por atacantes.
O raciocínio do criminoso é simples: comprometer a infraestrutura de TI significa, na prática, acessar tudo. Afinal, e-mails, sistemas financeiros, dados de clientes, credenciais de acesso e contratos passam diretamente pela infraestrutura. Ou seja, quem controla a rede, controla a empresa.
O problema é que muitas empresas brasileiras ainda operam com o que especialistas chamam de infraestrutura legada: sistemas antigos que não recebem atualizações de segurança, redes planas, onde qualquer dispositivo comprometido tem acesso a tudo, e além disso, a ausência de um inventário atualizado dos ativos. Nesse cenário, quando um infostealer captura as credenciais de um funcionário, como já detalhamos em nosso post sobre dados corporativos na dark web, na prática, o caminho para dentro da empresa fica completamente livre.
Os 4 Pontos Mais Vulneráveis de uma Infraestrutura de TI
| PONTO VULNERÁVEL | POR QUE É PERIGOSO |
| Rede plana (sem segmentação) | Um único dispositivo comprometido dá acesso lateral a toda a rede servidores, sistemas financeiros e dados de clientes incluídos |
| Firewall desatualizado ou mal configurado | Não detecta ameaças modernas como movimentação lateral, tráfego criptografado malicioso e exploits de dia zero |
| Ativos de TI sem inventário | Dispositivos não catalogados (notebooks pessoais, IoT, roteadores) são pontos cegos, o time de TI não sabe o que proteger se não sabe o que existe |
| Sistemas legados sem atualizações | Vulnerabilidades conhecidas e documentadas ficam abertas indefinidamente, e atacantes as exploram com ferramentas automatizadas em minutos |
Segmentação de Rede Corporativa: A Primeira Linha de Defesa Real
Imagine um prédio onde todas as salas não têm porta, quem entra no hall tem acesso a tudo. É exatamente assim que funciona uma rede corporativa plana, sem segmentação de rede. Quando um atacante compromete um único dispositivo nesse ambiente, ele pode se mover lateralmente por toda a infraestrutura sem encontrar barreiras.
A segmentação de rede divide a infraestrutura em zonas isoladas. Por exemplo, o setor financeiro fica em um segmento, enquanto a área de atendimento ao cliente opera em outro, e os servidores críticos permanecem em um ambiente separado. Dessa forma, cada zona passa a ter regras de acesso específicas e, assim, um dispositivo comprometido em uma área não consegue acessar automaticamente as demais.
Como a Segmentação Funciona na Prática
A implementação de segmentação de rede envolve três camadas principais:
- VLANs (Virtual Local Area Networks): dividem logicamente a rede em grupos isolados, sem necessidade de infraestrutura física separada. Cada VLAN tem suas próprias regras de tráfego e acesso.
- Firewalls internos e ACLs (Access Control Lists): controlam quais dispositivos e usuários podem se comunicar entre os segmentos, bloqueando movimentação lateral não autorizada.
- DMZ (Zona Desmilitarizada): isola serviços expostos à internet como servidores web e e-mail, do restante da rede interna, criando uma barreira adicional entre o ambiente externo e os sistemas críticos.
Resultado prático da segmentação de rede
Quando um ransomware infecta um notebook do setor de marketing em uma rede segmentada corretamente, ele tende a ficar contido naquele segmento. Dessa forma, os servidores de banco de dados, os sistemas ERP e as credenciais do setor financeiro permanecem intactos e inacessíveis. Por outro lado, sem segmentação, esse mesmo ransomware pode se espalhar por toda a rede em questão de minutos.
Firewall de Nova Geração: Por Que o Firewall Tradicional Não É Mais Suficiente
O firewall tradicional funciona como um porteiro que verifica o endereço de destino dos pacotes de dados: se o endereço for conhecido como perigoso, ele bloqueia. No entanto, o problema é que a maioria dos ataques modernos não vem de endereços previamente identificados como perigosos. Por exemplo, um infostealer pode se comunicar com servidores legítimos, enquanto um ransomware utiliza criptografia para se disfarçar como tráfego normal. Além disso, a movimentação lateral acontece dentro da própria rede, onde o firewall perimetral simplesmente não enxerga.
O firewall de nova geração (NGFW) vai muito além da simples inspeção de endereços. Isso porque ele analisa o conteúdo dos pacotes, identifica aplicações específicas, monitora comportamentos anômalos de tráfego e, além disso, integra inteligência de ameaças em tempo real. Na prática, é a diferença entre um porteiro que apenas verifica o endereço e outro que analisa o rosto, a identidade, o comportamento e até o histórico de quem está tentando entrar.
O Que um NGFW Faz que o Firewall Tradicional Não Faz
| RECURSO | O QUE PROTEGE |
| Inspeção profunda de pacotes (DPI) | Detecta malware e dados sensíveis dentro de tráfego criptografado, incluindo conexões HTTPS |
| Controle de aplicações | Bloqueia aplicativos não autorizados (Shadow IT) e ferramentas de acesso remoto não homologadas |
| IPS integrado (Intrusion Prevention System) | Identifica e bloqueia tentativas de exploração de vulnerabilidades em tempo real |
| Filtragem de DNS e Web | Impede acesso a domínios maliciosos e phishing antes que o usuário clique no link |
| Inteligência de ameaças em nuvem | Atualiza regras de bloqueio em tempo real com base em ameaças globais identificadas nas últimas horas |
| Visibilidade de usuário e dispositivo | Associa cada conexão a um usuário e dispositivo específico, facilitando a investigação de incidentes |
Arquitetura Zero Trust: Nunca Confie, Sempre Verifique
Durante décadas, o modelo dominante de segurança de infraestrutura foi o de perímetro, baseado na ideia de que tudo dentro da rede corporativa era confiável, enquanto tudo fora era considerado suspeito. Nesse contexto, esse modelo pressupunha um cenário em que os funcionários trabalhavam no escritório, utilizavam dispositivos da empresa e estavam conectados a uma rede totalmente controlada.
Esse mundo não existe mais. O trabalho híbrido, a computação em nuvem, os fornecedores com acesso remoto e os dispositivos pessoais conectados à rede corporativa destruíram o conceito de perímetro. Hoje, a ameaça pode vir de dentro e frequentemente vem.
A arquitetura Zero Trust parte de um princípio radical: nenhuma conexão é confiável por padrão, independentemente de onde se origina. Ou seja, nem mesmo conexões vindas de dentro da rede, de dispositivos corporativos ou de usuários com credenciais válidas são automaticamente confiáveis. Diante disso, cada acesso precisa ser continuamente autenticado, autorizado e monitorado.
Os 3 Pilares do Zero Trust na Infraestrutura de TI
- A verificação contínua de identidade garante autenticação multifator em todos os acessos, com validação baseada em contexto, como localização, horário, dispositivo e comportamento. Na prática, isso significa que um usuário que normalmente acessa o sistema às 9h, a partir de Maringá-PR, por exemplo, levanta um alerta automático ao tentar acessar às 3h de outra cidade.
- O princípio do menor privilégio aplicado à infraestrutura garante que cada sistema, aplicação e usuário tenha acesso apenas ao estritamente necessário para sua função. Com isso, o comprometimento de qualquer credencial é automaticamente limitado em seu impacto.
- A microsegmentação, aliada à inspeção de tráfego leste-oeste, amplia significativamente a visibilidade da rede. Além de segmentar a infraestrutura em zonas isoladas, o modelo Zero Trust também inspeciona o tráfego interno entre esses segmentos, conhecido como tráfego leste-oeste. Dessa forma, cobre um ponto crítico que o firewall perimetral tradicional ignora completamente.
Zero Trust não é um produto, é uma arquitetura
Um erro comum é tentar comprar ‘Zero Trust’ como se fosse uma solução pronta. Zero Trust é um modelo de arquitetura que envolve políticas, processos, tecnologias e cultura organizacional. A implementação é gradual e deve começar pelos ativos mais críticos: identidades privilegiadas, sistemas financeiros e dados de clientes. A Bitsafe conduz diagnósticos de maturidade Zero Trust para ajudar empresas a priorizarem os investimentos certos na ordem certa.
Confira nosso conteúdo completo sobre zero trust em ambientes híbridos, como implementar na prática.
Gestão de Ativos de TI: Você Não Pode Proteger o que Não Sabe que Existe
Esta é uma das verdades mais simples e mais ignoradas da infraestrutura de TI: é impossível proteger um ativo que o time de segurança desconhece. E a maioria das empresas brasileiras de médio porte tem dispositivos não catalogados conectados à sua rede notebooks pessoais de funcionários, dispositivos IoT, roteadores de filiais, servidores esquecidos em datacenter.
Cada um desses dispositivos representa um ponto cego. E, como se sabe, pontos cegos são exatamente o que os atacantes procuram. Por isso, o conceito de gestão de ativos de TI, ou IT Asset Management (ITAM), envolve criar e manter um inventário completo e atualizado de todos os dispositivos, softwares e serviços que compõem a infraestrutura. Dessa forma, garante que cada um deles esteja devidamente enquadrado nas políticas de segurança da empresa.
O Que um Inventário de Ativos Deve Conter
- Todos os dispositivos conectados à rede (incluindo BYOD — Bring Your Own Device)
- Versões de sistema operacional e status de atualização de segurança
- Softwares instalados e licenciados (incluindo detecção de Shadow IT)
- Serviços em nuvem utilizados por cada área (SaaS, IaaS, PaaS)
- Data de fim de suporte de cada sistema para priorizar substituição de legados
- Responsável e nível de criticidade de cada ativo
Checklist: Sua infraestrutura de TI está pronta para resistir a um ataque?
- A rede está segmentada em VLANs por área ou criticidade?
- O firewall atual faz inspeção profunda de pacotes (DPI) e controle de aplicações?
- Existe um inventário atualizado de todos os dispositivos e softwares?
- Todos os sistemas críticos recebem patches de segurança regularmente?
- Acessos remotos (VPN, RDP) exigem autenticação multifator obrigatória?
- O tráfego interno (leste-oeste) entre segmentos da rede é monitorado?
- Existe um processo definido para descomissionar acessos de ex-funcionários?
- A rede está segmentada em VLANs por área ou criticidade?
- O firewall atual faz inspeção profunda de pacotes (DPI) e controle de aplicações?
- Existe um inventário atualizado de todos os dispositivos e softwares?
- Todos os sistemas críticos recebem patches de segurança regularmente?
- Acessos remotos (VPN, RDP) exigem autenticação multifator obrigatória?
- O tráfego interno (leste-oeste) entre segmentos da rede é monitorado?
- Existe um processo definido para descomissionar acessos de ex-funcionários?
- Backups são testados regularmente e armazenados em ambiente isolado da rede principal?
Infraestrutura de TI e Dark Web: A Conexão Direta
Voltando ao ponto de partida: como os dados corporativos chegam à dark web? Na maioria dos casos, a resposta está na infraestrutura. Isso porque um endpoint sem EDR instalado pode executar um infostealer, enquanto uma rede sem segmentação permite a movimentação lateral até os servidores de dados. Além disso, um firewall sem inspeção de tráfego criptografado não detecta a exfiltração e, por fim, um sistema legado sem patches acaba sendo explorado por vulnerabilidades conhecidas há meses.
A dark web não cria as vulnerabilidades, ela monetiza as que já existem na sua infraestrutura. Cada brecha não corrigida é um produto potencial à venda em algum fórum clandestino. E o intervalo entre a exploração da brecha e o anúncio dos dados no mercado negro pode ser de apenas semanas.
Por isso, a segurança de dados corporativos e a segurança de infraestrutura de TI não são temas separados, são dois lados da mesma estratégia. Monitorar a dark web para detectar exposições é fundamental, mas precisa ser complementado por uma infraestrutura que dificulte ao máximo a origem dessas exposições.
Desenvolvemos um conteúdo mais completo sobre
Conclusão: Infraestrutura Segura é o Que Impede que Seus Dados Cheguem à Dark Web
Discutimos no post anterior como identificar se os dados da sua empresa já estão circulando na dark web e o que fazer quando isso acontece. Mas a estratégia mais eficaz sempre será a prevenção, ela começa pela infraestrutura de TI.
Segmentação de rede, firewall de nova geração, arquitetura Zero Trust e gestão rigorosa de ativos não são itens de luxo reservados a grandes corporações. São camadas de proteção que qualquer empresa pode implementar de forma gradual, priorizando os ativos mais críticos e os riscos mais imediatos.
A Bitsafe trabalha há mais de 12 anos projetando, implementando e gerenciando infraestruturas de TI seguras para empresas de todos os portes. Se a sua empresa ainda opera com uma rede plana, um firewall legado ou sem visibilidade real do que acontece no seu ambiente de TI, este é o momento de mudar antes que um atacante encontre a janela aberta que você não sabia que existia.
