Infraestrutura de TI esquecida: ainda pior do que a TI invisível

Como eliminar a ameaça que servidores e serviços sem responsáveis, bibliotecas desatualizadas e APIs inseguras representam para as organizações.

Invasores frequentemente exploram contas de teste desatualizadas e sem uso ou acabam encontrando armazenamentos em nuvem acessíveis publicamente que contêm dados críticos, já um pouco “empoeirados”. Em alguns casos, um ataque explora uma vulnerabilidade em um componente de aplicativo que, na verdade, havia recebido um patch, digamos, há dois anos. Ao ler relatórios de violações de segurança, um padrão comum se repete: os ataques se apoiam em algo desatualizado: um serviço, um servidor, uma conta de usuário… Elementos da infraestrutura corporativa de TI que, por vezes, saem do radar das equipes de TI e de segurança. Na prática, tornam-se ativos não gerenciados, inúteis ou simplesmente esquecidos. Esses “zumbis da TI” geram riscos à segurança da informação, à conformidade regulatória e resultam em custos operacionais desnecessários. Em geral, trata-se de um elemento da TI invisível com uma diferença fundamental: ninguém quer, conhece ou se beneficia desses ativos.

Neste artigo, buscamos identificar quais ativos exigem atenção imediata, como reconhecê-los e como deve ser estruturada a resposta.

Servidores físicos e virtuais

Prioridade: alta. Servidores vulneráveis funcionam como pontos de entrada para ataques cibernéticos e continuam consumindo recursos, ao mesmo tempo que geram riscos de conformidade regulatória.

Prevalência: alta. Servidores físicos e virtuais costumam ficar órfãos em grandes infraestruturas após projetos de migração ou depois de processos de fusões e aquisições. Servidores de teste que deixam de ser usados após a entrada em produção de projetos de TI, assim como servidores Web de projetos obsoletos operando sem domínio associado, também são frequentemente esquecidos. A dimensão do problema é ilustrada por estatísticas da autoridade certificadora Let’s Encrypt: em 2024, metade das solicitações de renovação de domínio partiu de dispositivos que já não estavam associados ao domínio solicitado. Estima-se que existam cerca de um milhão de dispositivos como esses no mundo.

Detecção: o departamento de TI precisa implementar um processo automatizado de Descoberta e Reconciliação (Automated Discovery and Reconciliation – AD&R), que combine resultados de varreduras de rede e inventários em nuvem com dados da Base de Dados de Gerenciamento de Configuração (Configuration Management Database – CMDB). Esse processo permite a identificação oportuna de informações desatualizadas ou conflitantes sobre ativos de TI e ajuda a localizar os próprios ativos esquecidos.

Esses dados devem ser complementados por verificações de vulnerabilidades externas que abranjam todos os endereços IP públicos da organização.

Resposta: estabelecer um processo formal e documentado para a retirada de operação ou descontinuação de servidores. Esse processo deve incluir a verificação da migração completa dos dados e a posterior destruição comprovada das informações armazenadas no servidor. Após essas etapas, o servidor pode ser desligado, reciclado ou reaproveitado. Até que todos os procedimentos sejam concluídos, o servidor deve ser movido para uma sub-rede isolada e em quarentena.

Para mitigar esse problema em ambientes de teste, implemente um processo automatizado para sua criação e retirada de operação. Um ambiente de teste deve ser criado no início de um projeto e desmontado após um período predefinido ou depois de um certo tempo de inatividade. Reforce a segurança dos ambientes de teste, garantindo seu isolamento rigoroso em relação ao ambiente principal (de produção) e proibindo o uso de dados reais de negócios não anonimizado nos testes.

Contas de usuários, serviços e dispositivos esquecidos

Prioridade: crítica. Contas inativas e com privilégios elevados são alvos preferenciais de invasores que buscam estabelecer persistência na rede ou ampliar seu acesso dentro da infraestrutura.

Prevalência: muito alta. Contas técnicas de serviços, contas de prestadores de serviço e contas não personalizadas estão entre as mais frequentemente esquecidas.

Detecção: realizar análises regulares do diretório de usuários (Active Directory, na maioria das organizações) para identificar todos os tipos de contas que não apresentaram atividade por um período definido (um mês, um trimestre ou um ano). Paralelamente, recomenda-se revisar as permissões atribuídas a cada conta e remover aquelas excessivas ou desnecessárias.

Resposta: após validação com o responsável pelo serviço na área de negócio ou com o gestor do colaborador, contas desatualizadas devem ser simplesmente desativadas ou excluídas. Um sistema abrangente de Identity and Access Management (IAM) oferece uma solução escalável para esse desafio. Nesse modelo, a criação, exclusão e atribuição de permissões às contas são fortemente integradas aos processos de RH.

No caso de contas de serviço, também é essencial revisar regularmente tanto a robustez das senhas quanto as datas de expiração dos tokens de acesso, realizando a rotação quando necessário.

Repositórios de dados esquecidos

Prioridade: crítica. Dados mal controlados em bancos de dados acessíveis externamente, armazenamentos em nuvem e lixeiras, bem como em serviços corporativos de compartilhamento de arquivos, inclusive os considerados “seguros”, foram uma das principais fontes de grandes vazamentos em 2024–2025. Os dados expostos nesses incidentes frequentemente incluem digitalizações de documentos, prontuários médicos e informações pessoais. Como consequência, esses incidentes de segurança também resultam em penalidades por não conformidade com regulamentações como a HIPAA, o GDPR e outros marcos de proteção de dados que regem o tratamento de informações pessoais e confidenciais.

Prevalência: alta. Dados de arquivo, cópias de dados mantidas por prestadores de serviço e versões legadas de bancos de dados de migrações de sistemas anteriores costumam permanecer fora de controle e acessíveis por anos, ou até décadas, em muitas organizações.

Detecção: dada a enorme variedade de tipos de dados e métodos de armazenamento, é essencial utilizar uma combinação de ferramentas para a descoberta:

  • Subsistemas nativos de auditoria das principais plataformas de fornecedores, como AWS Macie e Microsoft Purview
  • Soluções especializadas de Data Discovery e de Gerenciamento da Postura de Segurança de Dados
  • Análise automatizada de logs de inventário, como o S3 Inventory

Infelizmente, essas ferramentas têm utilidade limitada quando um prestador de serviços cria um repositório de dados dentro de sua própria infraestrutura. O controle dessa situação exige cláusulas contratuais que concedam à equipe de segurança da organização acesso aos armazenamentos relevantes do fornecedor, complementadas por serviços de inteligência de ameaças capazes de detectar conjuntos de dados expostos publicamente ou roubados associados à marca da empresa.

Resposta: analisar os logs de acesso e integrar os armazenamentos identificados às ferramentas de DLP e CASB para monitorar seu uso, ou confirmar que estão de fato abandonados. Utilizar os recursos disponíveis para isolar com segurança o acesso a esses repositórios. Se necessário, criar um backup seguro e, em seguida, excluir os dados. No nível das políticas organizacionais, é fundamental estabelecer prazos de retenção para diferentes tipos de dados, determinando seu arquivamento automático e exclusão ao término do período definido. As políticas também devem definir procedimentos para o registro de novos sistemas de armazenamento e proibir explicitamente a existência de dados sem responsável que estejam acessíveis sem restrições, senhas ou criptografia.

Aplicativos e serviços não utilizados em servidores

Prioridade: média. Vulnerabilidades nesses serviços aumentam o risco de ataques cibernéticos bem-sucedidos, dificultam os esforços de aplicação de patches e desperdiçam recursos.

Prevalência: muito alta. Os serviços geralmente são ativados por padrão durante a instalação de servidores, permanecem após os testes e as etapas de configuração, continuam em execução muito tempo depois que o processo de negócios que eles apoiavam ter se tornado obsoleto.

Detecção: por meio de auditorias regulares das configurações de software. Para que a auditoria seja eficaz, os servidores devem seguir um modelo baseado em funções, no qual cada função de servidor tenha uma lista correspondente de softwares. Além da CMDB, um amplo conjunto de ferramentas auxilia nesse processo, como ferramentas focadas em conformidade de políticas e endurecimento de sistemas, a exemplo do OpenSCAP e do Lynis; ferramentas multifuncionais como o OSQuery; scanners de vulnerabilidades como o OpenVAS; e analisadores de tráfego de rede.

Resposta: realizar revisões periódicas das funções dos servidores em conjunto com seus responsáveis de negócio. Quaisquer aplicações ou serviços desnecessários identificados em execução devem ser desativados. Para minimizar esse tipo de ocorrência, implemente o princípio do menor privilégio em toda a organização e utilize imagens base endurecidas ou templates de servidores para construções padrão. Isso garante que nenhum software supérfluo seja instalado ou habilitado por padrão.

APIs desatualizadas

Prioridade: alta. APIs são frequentemente exploradas por invasores para exfiltrar grandes volumes de dados sensíveis e para obter acesso inicial à organização. Em 2024, o número de ataques relacionados a APIs aumentou 41%, com invasores mirando especificamente APIs desatualizadas, já que elas costumam disponibilizar dados com menos verificações e restrições. Um exemplo disso foi o vazamento de 200 milhões de registros do X/Twitter.

Prevalência: alta. Quando um serviço migra para uma nova versão de API, a versão antiga frequentemente permanece operacional por um longo período, sobretudo se ainda for utilizada por clientes ou parceiros. Essas versões obsoletas geralmente deixam de ser mantidas, o que faz com que falhas de segurança e vulnerabilidades em seus componentes não recebam patches.

Detecção: no nível de WAF ou NGFW, é essencial monitorar o tráfego direcionado a APIs específicas. Isso ajuda a detectar anomalias que podem indicar exploração ou exfiltração de dados e também identificar APIs que obtêm tráfego mínimo.

Resposta: para APIs identificadas com baixo nível de atividade, colaborar com as partes interessadas do negócio para desenvolver um plano de retirada de operação e migrar os usuários remanescentes para versões mais recentes.

Em organizações com um grande portfólio de serviços, esse desafio é melhor enfrentado com o uso de uma plataforma de gerenciamento de APIs, aliada a uma política formalmente aprovada de ciclo de vida de APIs. Essa política deve incluir critérios bem definidos para a descontinuação e aposentadoria de interfaces de software desatualizadas.

Software com dependências e bibliotecas desatualizadas

Prioridade: alta. É nesse ponto que se escondem vulnerabilidades críticas de grande escala, como a Log4Shell, capazes de comprometer toda a organização e gerar problemas de conformidade regulatória.

Prevalência: muito alta, especialmente em sistemas corporativos de gestão em larga escala, sistemas de automação industrial e softwares desenvolvidos sob medida.

Detecção: utilizar uma combinação de sistemas de gerenciamento de vulnerabilidades (VM/CTEM) e ferramentas de análise de composição de software (SCA). No desenvolvimento interno, é obrigatório empregar scanners e sistemas de segurança abrangentes integrados ao pipeline de CI/CD, a fim de evitar que o software seja construído com componentes desatualizados.

Resposta: as políticas da empresa devem exigir que as equipes de TI e de desenvolvimento atualizem sistematicamente as dependências de software. No desenvolvimento de soluções internas, a análise de dependências deve fazer parte do processo de revisão de código. No caso de softwares de terceiros, é fundamental auditar regularmente o estado e a antiguidade das dependências.

Para fornecedores externos de software, a atualização de dependências deve ser um requisito contratual, com impacto direto nos prazos de suporte e nos orçamentos dos projetos. Para viabilizar essas exigências, é essencial manter uma lista de materiais de software (SBOM) sempre atualizada.

Você pode ler mais sobre práticas de remediação de vulnerabilidades eficazes e oportunas em um post separado no blog.

Sites esquecidos

Prioridade: média. Ativos Web esquecidos podem ser explorados por invasores para campanhas de phishing, hospedagem de malware ou aplicação de golpes usando a marca da organização, causando danos reputacionais. Em casos mais graves, podem resultar em vazamentos de dados ou servir como ponto de partida para ataques direcionados à própria empresa. Um subconjunto específico desse problema envolve domínios esquecidos que foram usados para atividades pontuais, expiraram e não foram renovados, tornando-se disponíveis para compra por terceiros.

Prevalência: alta, especialmente no caso de sites lançados para campanhas de curta duração ou atividades internas pontuais.

Detecção: o departamento de TI deve manter um registro centralizado de todos os sites públicos e domínios, validando o status de cada um junto aos respectivos responsáveis em base mensal ou trimestral. Além disso, scanners ou ferramentas de monitoramento de DNS podem ser utilizados para rastrear domínios associados à infraestrutura de TI da empresa. Uma camada adicional de proteção é oferecida por serviços de inteligência de ameaças, capazes de identificar de forma independente quaisquer sites associados à marca da organização.

Resposta: estabelecer uma política de desligamento programado de sites após um período fixo ao término de seu uso ativo. Implementar um sistema automatizado de registro e renovação de DNS para evitar a perda de controle sobre os domínios da empresa.

Dispositivos de rede não utilizados

Prioridade: alta. Roteadores, firewalls, câmeras de vigilância e dispositivos de armazenamento em rede que permanecem conectados, mas sem gerenciamento e sem patches aplicados, constituem uma plataforma ideal para o lançamento de ataques. Esses dispositivos esquecidos frequentemente abrigam vulnerabilidades e quase nunca contam com monitoramento adequado (não há integração com EDR ou SIEM), ao mesmo tempo em que ocupam uma posição privilegiada na rede, oferecendo aos invasores um caminho facilitado para escalar ataques contra servidores e estações de trabalho.

Prevalência: média. Dispositivos costumam ser deixados para trás durante mudanças de escritório, atualizações da infraestrutura de rede ou a criação de espaços de trabalho temporários.

Detecção: utilizar as mesmas ferramentas de inventário de rede mencionadas na seção sobre servidores esquecidos, além de auditorias físicas regulares para comparar os resultados das verificações de rede com os equipamentos efetivamente conectados. A verificação ativa da rede pode revelar segmentos inteiros não mapeados e conexões externas inesperadas.

Resposta: dispositivos sem responsável definido geralmente podem ser desconectados da rede de forma imediata. No entanto, é preciso cautela: a higienização desses equipamentos exige o mesmo nível de cuidado aplicado à desativação de servidores, a fim de evitar vazamentos de configurações de rede, senhas, gravações de vídeo corporativas e informações semelhantes.

Dicas

O Infostealer entrou no chat

Uma nova onda de ataques ClickFix que dissemina um infostealer para macOS está publicando guias de usuário maliciosos no site oficial do ChatGPT, explorando o recurso de compartilhamento de conversas do chatbot.

Como espionar uma rede neural

O ataque Whisper Leak permite que um invasor deduza o tema da conversa com um assistente de IA sem precisar descriptografar o tráfego. Estudamos como isso ocorre e o que você pode fazer para proteger seus bate-papos com IA.