Por Zohar Venturero
9 de setembro de 2025
Em nosso trabalho diário e nas conversas com especialistas em segurança, uma preocupação surge repetidamente: quão consistente é a nossa proteção via WAF?
Nossa resposta é sempre a mesma: bem menos do que você imagina.
A realidade é que, no caso das grandes empresas, a cobertura de web application firewall (WAF) raramente é uniforme. A proteção costuma ser um mosaico de produtos de diferentes fornecedores, geridos por equipes separadas, cada uma cobrindo apenas uma parte da superfície de ataque. Isso dificulta a garantia de configurações consistentes e aumenta o risco de que lacunas passem despercebidas.
O problema é ainda mais grave quando lembramos o papel dos WAFs no stack de segurança. Considerados o “cinto de segurança” da segurança de aplicações, os WAFs são uma salvaguarda básica, uma primeira linha de defesa que se assume estar sempre presente.
A ausência dessa proteção rompe essa suposição, deixando ativos críticos expostos a ataques de credential stuffing, injeções de código ou vulnerabilidades não corrigidas. E, como sabemos, basta um sistema desprotegido para abrir caminho à rede inteira, comprometendo dados, serviços e confiança.
Metodologia
A análise se baseou em mais de 500.000 ativos expostos à internet de empresas da lista Forbes Global 2000, atribuídos corretamente aos seus proprietários entre 1º de janeiro e 30 de junho de 2025.
Foram excluídos ruídos óbvios, como domínios estacionados, páginas de boas-vindas genéricas ou títulos padrão. Cada ativo foi verificado quanto à presença de WAF, utilizando fingerprinting assistido por IA capaz de identificar mais de 150 tecnologias e variações de implantação.
Os ativos foram segmentados de acordo com a presença de mecanismos para coleta de dados pessoais identificáveis (PII) — como formulários de login, cadastro, contato ou checkout. Por fim, uma revisão manual de amostras foi conduzida para avaliar o uso real com base em indicadores de volume de tráfego.
Mais da metade dos ativos em nuvem estão sem WAF
O cenário foi claro: a cobertura de WAF está longe do que as empresas assumem, mesmo entre aquelas com recursos robustos e processos estruturados.
Nos ativos hospedados em nuvem, 52,3% não tinham proteção WAF. Fora da nuvem, a situação foi ainda pior: 66,4% estavam desprotegidos.
Essas falhas costumam ter origem em fatores organizacionais: múltiplos WAFs de fornecedores diferentes, geridos por equipes distintas, sem uma única fonte de verdade para confirmar a cobertura completa. Nesse contexto, é fácil que certos ativos, especialmente os menos visíveis ou fora do núcleo de aplicações centrais, passem despercebidos.
Outro desafio é o dos “desconhecidos desconhecidos”: ativos que a equipe de segurança nem sabe que existem porque não constam em inventários formais. Sem visibilidade total da superfície de ataque, é impossível garantir proteção a todos os ativos expostos.
Para os atacantes, esses ativos descobertos são portas de entrada diretas para exploração de vulnerabilidades, injeções ou roubos de credenciais, lembrando que o WAF muitas vezes funciona como salvaguarda temporária até que um patch seja aplicado.
Até ativos que coletam PII estão expostos
O problema persiste mesmo em páginas que lidam com dados pessoais, como portais de login, cadastros, checkouts ou fluxos de redefinição de senha — alvos naturalmente prioritários para criminosos.
Nos ambientes em nuvem, 39,3% desses ativos com PII estavam sem WAF. Fora da nuvem, a proporção foi ainda maior: 63,4% desprotegidos.
Essa falta de cobertura consistente em ativos críticos revela uma lacuna alarmante, ainda mais evidente quando cruzada com outro achado: a quantidade de fornecedores de WAF operando em paralelo.
Em média, 12 fornecedores de WAF por empresa
A análise revelou não apenas falhas de cobertura, mas também o uso fragmentado desses controles. Em média, cada empresa da amostra operava 12 soluções diferentes de WAF (mediana de 11), e algumas chegavam a mais de 30.
Esse número é reflexo de anos de compras sobrepostas, implantações regionais e práticas de segurança em silos, resultando em um mix complexo e ineficiente.
E, claro, mais fornecedores não significa mais segurança. Cada WAF possui modelos próprios de políticas, requisitos de configuração e particularidades operacionais. Divididos entre times e regiões, esses fatores criam uma colcha de retalhos difícil de coordenar, cara de manter e quase impossível de padronizar. O resultado: ativos críticos sem proteção, apesar de a empresa “ter” WAF.
Inspeção detalhada em grandes empresas globais
Para diferenciar riscos teóricos de exposições reais, conduzimos uma análise manual de tráfego em uma dúzia de multinacionais icônicas, de setores como aviação, varejo, finanças e mídia.
O resultado foi contundente: mesmo nesses gigantes globais, aplicações de alto tráfego operavam sem WAF. Em alguns casos, essas aplicações ficavam lado a lado de flagships corporativos totalmente protegidos — evidência de que o problema não é tecnológico, mas de execução consistente em escala.
Essa inconsistência torna o risco absolutamente real. E o fato de ocorrer em organizações de grande impacto mundial mostra o quão disseminado e crítico é o problema.
O que isso significa para os líderes de segurança
Para os executivos de segurança, essas descobertas servem como um lembrete de que a cobertura de WAF pode variar muito mais do que o esperado. Os dados mostram que as lacunas são amplas, mesmo entre empresas com recursos significativos. Os líderes devem encarar isso como um chamado para verificar, e não simplesmente presumir, que as salvaguardas estão aplicadas de forma consistente.
O primeiro passo é revisar o inventário de ativos externos da organização utilizando ferramentas de descoberta black-box. Isso ajuda a revelar o shadow IT e os “desconhecidos desconhecidos” que ficam fora dos inventários formais, mas ainda assim expõem o negócio a riscos.
Uma vez identificados, os ativos desprotegidos precisam ser priorizados: ou trazidos para dentro do escopo de proteção, ou removidos caso não tenham mais propósito de negócio. Tratar esse processo como um esforço contínuo de higiene reduz a superfície de ataque ao mesmo tempo em que direciona os recursos para onde eles realmente importam.
Por fim, os executivos devem impulsionar uma revisão das implantações e configurações de WAF entre as equipes. O uso de múltiplos fornecedores e a fragmentação da responsabilidade criam pontos cegos que podem ser resolvidos ao melhorar a consistência, consolidar tecnologias e alinhar os processos em um padrão operacional unificado. Quando bem executada, essa abordagem reduz a exposição, aumenta a eficiência e garante que os ativos de maior valor recebam a proteção consistente de que necessitam.
Saiba como a CyCognito pode apoiar sua organização nesse desafio de reduzir riscos e fechar lacunas de segurança, oferecendo visibilidade completa e priorização inteligente de ameaças. Para testar a plataforma, acesse cybergate.solutions.
13/10
ARMIS
Segurança da Água sob Ataque: Por que o CTEM é o Salva-Vidas para Infraestruturas Críticas
Por Michael Rothschild
29 de agosto de 2025
Doze anos atrás, o incidente de segurança na Represa Bowman revelou o quão vulneráveis estão nossos sistemas de abastecimento de água. Esse ataque aconteceu há anos, mas aqui está a verdade inegável: pouca coisa mudou desde então. A tecnologia evoluiu, os agentes de ameaça ficaram mais sofisticados e as apostas se tornaram inimaginavelmente maiores, mas muitas das nossas defesas continuam presas ao passado.
Hoje, não é preciso muito para causar estragos. Um único ajuste manipulado em um sistema SCADA pode tornar a água potável imprópria para consumo. Uma pequena falha em uma estação de tratamento de esgoto pode transformar esgoto não tratado em uma arma biológica. Esses cenários não são hipotéticos; são plausíveis e já foram comprovados. E agora, com a inteligência artificial impulsionando a ofensiva cibernética, atacantes estão construindo vulnerabilidades e backdoors em nível de código, em escala, de uma forma que os defensores não conseguem acompanhar.
Estados/Nações têm a água como alvo
Basta observar o que está acontecendo na Europa. Hackers ligados à Rússia atacaram repetidamente a infraestrutura hídrica, abrindo válvulas, inundando sistemas e exibindo o acesso em redes sociais. Na Polônia, concessionárias enfrentam hoje 300 ataques por dia, o triplo da taxa do ano passado. Os serviços de inteligência da Noruega confirmaram que hackers controlaram a válvula de uma represa por quase quatro horas. Já nos Estados Unidos, suspeitos de ligação com a Rússia causaram transbordamento em um reservatório no Texas, em pleno 2024.
Esses não são ataques oportunistas. São testes de conceito, sondando os pontos fracos de sistemas essenciais, muitas vezes em cidades menores com orçamentos de cibersegurança extremamente limitados. Cada invasão bem-sucedida corrói a confiança pública e expõe falhas estruturais.
Por que o “Inventário de Ativos” já não é suficiente
Há poucas semanas, a CISA voltou a pedir que operadores de infraestrutura crítica adotem inventários abrangentes de ativos de OT. Isso é importante, mas sejamos realistas: atacantes, e a comunidade de cibersegurança, já deveriam estar muito além disso. Um inventário de ativos é apenas o ponto de partida. Ele mostra o que existe dentro da planta de tratamento de água, mas não revela quais desses ativos estão vulneráveis, como estão interconectados, quais riscos realmente importam ou como um invasor pode se mover lateralmente uma vez dentro do sistema.
Enquanto isso, a IA não espera. Estados-nação já a utilizam para encontrar falhas mais rápido do que qualquer humano, gerar malware polimórfico e até inserir código malicioso diretamente em projetos open source. Se os defensores ainda estiverem ocupados catalogando ativos, já estarão vários passos atrás.
CTEM: O modelo que precisamos agora
É aqui que entra o Cyber Threat Exposure Management (CTEM). O CTEM não se trata de criar outro inventário, mas de avaliar continuamente, validar e priorizar as exposições que mais importam — permitindo que as concessionárias ajam antes que Estados-nação transformem a água em arma.
Aqui estão cinco práticas críticas de CTEM que instalações de água devem adotar imediatamente:
- Visibilidade Abrangente Além do TI
Em 2023, 80% das concessionárias pesquisadas pela AWWA admitiram não ter um inventário completo de ativos cibernéticos. É hora de parar de tratar OT e SCADA como “sensíveis demais para tocar”. Já existem tecnologias, como consultas ativas inteligentes, que permitem verificar com segurança cada ativo sem impactar operações. É preciso ter visibilidade unificada e contínua em sistemas de TI, OT, IoT e BMS, com contexto de risco em tempo real.
- Priorização Contínua Baseada em Risco
Nem toda vulnerabilidade merece a mesma atenção. Um PLC de controle de válvula com uma CVE não corrigida é muito mais crítico do que uma violação de política de senha em uma estação de trabalho de escritório. CTEM significa compreender quais exposições ameaçam diretamente a segurança e a disponibilidade da água, e tratá-las de acordo com o impacto real.
- Validação de Caminhos de Ataque
Se Estados-nação testam movimentos laterais, as concessionárias precisam fazer o mesmo. Em 2024, invasores no Texas não precisaram “dominar” a planta; manipularam o transbordamento de um reservatório explorando conexões fracas entre TI e OT. Simular como um atacante pode pivotar do TI para o OT já não é opcional — é absolutamente essencial.
- Caça e Detecção de Ameaças com IA
Se os adversários usam IA, os defensores também precisam usá-la. Centros de Operações de Segurança não podem depender apenas de detecções estáticas quando ataques podem se transformar em segundos. Plataformas CTEM que aplicam detecção antecipada com IA e threat hunting guiado estão à frente das ferramentas legadas.
- Governança e Planejamento de Resiliência
Em 2024, 70% das concessionárias avaliadas pela CISA não possuíam um plano testado de resposta a incidentes cibernéticos. CTEM não é um projeto pontual, mas sim uma validação contínua de pessoas, processos e políticas para resistir a interrupções. Isso inclui exercícios de mesa, avaliações de risco na cadeia de suprimentos e manuais de recuperação. E, acima de tudo, significa ajustar estratégias com base nas novas TTPs dos atacantes e garantir que a comunidade de defesa possa vencê-los com o mínimo de impacto.
As apostas não poderiam ser maiores
Água é vida. E, em tempos de conflito cibernético patrocinado por Estados, ela também se tornou uma das armas mais fáceis de manipular. Não podemos esperar até que outro incidente ocorra para reconhecer que inventários de ativos, sozinhos, não vão nos salvar.
O CTEM oferece às instalações de água e esgoto um framework para ir além da “visibilidade” e alcançar a verdadeira resiliência, onde exposições são continuamente gerenciadas, priorizadas e corrigidas antes de serem exploradas por adversários. Se as concessionárias não elevarem suas defesas agora, atacantes continuarão tratando nosso abastecimento de água como um campo de testes — e esse é um risco que não podemos aceitar.
Se quiser conhecer como a Armis pode fortalecer a resiliência da sua infraestrutura crítica, permitindo total controle e visibilidade sobre seus ambientes OT, IoT e IT, visite cybergate.solutions.
20/10
ZERO NETWORKS
De Plano a Segmentado: Incorporando Segurança no Seu Ambiente K8s
Por Arik Diamant
27 de agosto de 2025
O Kubernetes está rapidamente se tornando a plataforma preferida de muitas empresas. Segundo a CNCF, mais de 80% das organizações já o utilizam em produção, e esse número continua crescendo. Mas, junto com o poder do K8s para automatizar, gerenciar e escalar o deployment de aplicações, surgem também riscos e desafios de segurança.
De acordo com o State of Kubernetes Report 2024, 9 em cada 10 empresas relataram pelo menos uma violação em clusters ou containers no último ano. Como a maioria dos clusters é configurada de forma plana por padrão, basta que um invasor consiga acesso inicial para se mover lateralmente e escalar seu ataque. Ainda segundo o relatório, 46% dos respondentes identificaram perdas de receita ou de clientes devido a incidentes de segurança em containers e Kubernetes, números reforçados pela pesquisa da Kaspersky no mesmo período.
Os Desafios de Proteger o K8s: Políticas de Rede Inconsistentes, Pontos Cegos e Muito Mais
A segurança no Kubernetes é difícil de administrar. Diferente de redes físicas, que contam com endereços IP persistentes, os workloads no K8s são efêmeros, dinâmicos e dependem de labels e NAT para roteamento. Nesse cenário, conquistar visibilidade real sobre o tráfego de rede é um enorme desafio. Equipes de DevSecOps e arquitetos de segurança já se acostumaram a esse ponto cego — mas ele não é apenas incômodo, é perigoso. Sem entender a comunicação entre serviços, ameaças podem se propagar livremente, políticas podem se desalinhar e atividades maliciosas podem permanecer invisíveis até que seja tarde demais para conter o ataque.
Além disso, políticas de rede no Kubernetes frequentemente se tornam um mosaico de regras fragmentadas — escritas por diferentes times, com lógicas inconsistentes e sem supervisão centralizada. Quando um novo aplicativo é implantado, o responsável pela aplicação normalmente adiciona outro conjunto de regras em YAML via pipeline CI/CD. Arquitetos de segurança precisam revisar política por política ou, em muitos casos, nem chegam a vê-las, sem meios de consolidar tudo em um contexto unificado.
O cenário se agrava quando workloads no K8s precisam se comunicar fora do cluster — com outros clusters ou data centers on-premises. Nesses casos, a segurança se torna difusa, e arquitetos acabam fazendo suposições que frequentemente deixam brechas abertas a ataques.
Nativo, Unificado e Não Intrusivo: Como a Zero Networks Protege o Kubernetes
A Zero Networks entrega segurança de rede para Kubernetes em nível corporativo, construída para escala, trazendo ordem, visibilidade e controle sem impactar a agilidade do DevOps.
Visibilidade Completa dos Clusters K8s
Workloads e tráfego interno/externo que antes eram invisíveis passam a ser visualizados com clareza, permitindo às equipes entender e governar o ecossistema K8s e saber exatamente quais workloads se comunicam entre si.
Governança Unificada
A Zero Networks transforma a segurança no K8s ao unificar o controle de rede em múltiplos clusters e ambientes. Sua interface centralizada é uma fonte única e atualizada da verdade, governando a comunicação de rede dentro e entre clusters, além de outros deployments como servidores bare metal e VMs.
Aplicativos podem enviar políticas pela pipeline CI/CD, que são automaticamente traduzidas em regras no Zero Networks. Em paralelo, equipes de DevSecOps podem criar políticas direto pela interface intuitiva da plataforma. Independentemente da origem, todas as regras aparecem em uma visão unificada, onde arquitetos de segurança podem aprovar, editar ou adicionar novas políticas — eliminando suposições e transformando a gestão de políticas em ciência exata.
Não Intrusivo por Design
A solução usa eBPF para monitorar atividades de rede com impacto mínimo na performance e aplica microsegmentação com as políticas nativas do Kubernetes. Quando reforçadas pelo CNI, essas políticas isolam workloads e restringem a comunicação entre diferentes aplicativos ou namespaces, reduzindo a superfície de ataque, impedindo movimento lateral e contendo incidentes antes que se espalhem.
Por serem baseadas em ferramentas nativas, as cargas de trabalho do Kubernetes já nascem seguras, com privilégios mínimos desde o início — mantendo a escalabilidade e agilidade que fazem parte do DNA da plataforma.
Deploy em 1 Minuto
Um único comando helm coloca o Zero Networks em funcionamento no cluster. Em minutos, é possível ter visibilidade total sobre entidades e padrões de comunicação.
Conformidade no Kubernetes
A Zero Networks fornece a visibilidade e o controle necessários para atender a padrões de compliance como PCI-DSS, HIPAA, NIST e outros. Políticas de privilégio mínimo, trilhas de auditoria unificadas e aplicação em tempo real permitem demonstrar conformidade contínua e responder rapidamente a novas demandas regulatórias.
Transforme Seu Ambiente Kubernetes de Plano para Seguro em Dias — Não Meses
A Zero Networks permite descobrir workloads implantados, visualizar toda comunicação interna e externa e aplicar microsegmentação nativa em todos os ativos K8s, alinhada às melhores práticas do setor.
Com a Zero Networks, clusters Kubernetes deixam de ser ambientes abertos e se tornam ecossistemas de privilégio mínimo em questão de dias — permanecendo ágeis para os negócios e impenetráveis para atacantes. Solicite uma demonstração em cybergate.solutions e veja na prática.
27/10
ARMIS
Shai-Hulud e o Ecossistema npm: Por que o CTEM Precisa Ir Além dos Seus Muros
Publicado em 24 de setembro de 2025
Por Michael Rothschild
O alerta da Cybersecurity and Infrastructure Security Agency (CISA) mostra o quão frágeis e interconectadas nossas cadeias de suprimento digitais se tornaram. Um ataque em larga escala à cadeia de suprimento de software, direcionado ao ecossistema npm — base de aplicações modernas da web e corporativas — já comprometeu mais de 500 pacotes. O worm, batizado de “Shai-Hulud”, coletou credenciais de nuvem (AWS, GCP, Azure) e tokens de acesso pessoal do GitHub, propagando-se em seguida ao injetar código malicioso em pacotes adicionais.
O Shai-Hulud é apenas o mais recente de uma onda crescente de compromissos na cadeia de suprimento. A Gartner prevê que, até 2026, 45% das organizações sofrerão ataques à sua cadeia de suprimento de software, o triplo do registrado em 2021. Mais uma prova de que os métodos tradicionais de segurança e programas de correção não são mais suficientes. Quando o seu negócio depende de software open source e integrações de terceiros, sua superfície de ataque se expande muito além dos dispositivos e sistemas que você controla diretamente.
A Cadeia de Suprimento é o Novo Campo de Batalha
Considere isto: 94% das aplicações utilizam componentes open source, e 84% das empresas sofreram ataques à cadeia de suprimento de software nos últimos 12 meses. Ameaças como o Shai-Hulud se espalham rapidamente porque o desenvolvimento moderno depende fortemente de registries como o npm, onde uma única dependência comprometida pode atingir milhares de organizações.
Para as empresas, a vulnerabilidade já não se limita a saber se seus sistemas estão atualizados ou monitorados, mas se as bibliotecas de código, APIs e parceiros externos dos quais dependem estão realmente seguros.
Por que o Continuous Threat Exposure Management (CTEM) é Essencial
A visão da Armis é clara: o CTEM precisa abranger todo o ecossistema digital, incluindo ativos internos, a cadeia de suprimento e todas as conexões de terceiros das quais sua operação depende.
Um programa moderno de CTEM não é apenas um inventário pontual ou um scan trimestral. Ele exige:
- Inventário abrangente de ativos e consciência situacional:
Todo ativo conectado faz parte da superfície de ataque, de laptops de desenvolvedores a dispositivos IoT não gerenciados, passando por integrações SaaS de terceiros. Pesquisas da Armis Labs mostram que 40% dos ativos conectados em grandes empresas são não gerenciados ou desconhecidos, expondo riscos críticos.
- Entendimento do impacto de vulnerabilidades no negócio:
Nem toda falha tem o mesmo peso. O CTEM exige correlacionar vulnerabilidades ao contexto de negócio: quais sistemas se conectam a dados sensíveis de clientes? Isso permite priorizar riscos com maior potencial de impacto operacional e financeiro.
- Alerta precoce na cadeia de suprimento:
Ameaças como o Shai-Hulud se espalham em horas, não em meses. Monitoramento contínuo de dependências, alertas em tempo real e correlação de anomalias em todo o ecossistema estendido são indispensáveis.
- Priorização e mitigação eficaz de riscos:
Em ataques à cadeia de suprimento, não é possível corrigir tudo. O CTEM permite focar a resposta em ativos críticos: pipelines de desenvolvimento, dados sensíveis e sistemas expostos ao público.
Lições do Shai-Hulud
Esse incidente reforça verdades fundamentais:
- Desenvolvedores fazem parte da superfície de ataque: credenciais e tokens são alvos prioritários.
- Dependências aninhadas escondem riscos reais: uma biblioteca vulnerável, enterrada em múltiplos níveis, pode comprometer toda a empresa.
- Visibilidade profunda e contínua é inegociável: sem monitoramento constante, sua cadeia de suprimento pode se tornar a porta de entrada do adversário.
Protegendo o Ecossistema Digital Estendido
Para enfrentar essa realidade, as organizações precisam ir além da correção reativa e adotar uma gestão proativa de exposição. Isso inclui:
- Criar inventários vivos de ativos, com atualização em tempo real.
- Correlacionar vulnerabilidades com ativos críticos ao negócio.
- Estender o CTEM para terceiros, APIs e ecossistemas em nuvem.
- Implantar sistemas de alerta precoce para detectar ameaças antes que se espalhem.
Do ponto de vista da Armis, o ataque Shai-Hulud reforça uma única verdade: proteger a empresa hoje significa proteger a empresa estendida — de cada dispositivo no seu ambiente a cada dependência na sua cadeia de suprimento. É isso que o CTEM proporciona: visibilidade, priorização e alerta precoce para estar sempre um passo à frente da próxima ameaça.Saiba como a Armis pode fortalecer sua estratégia com o Centrix e proteger seu ecossistema digital contra ameaças complexas da cadeia de suprimento. Solicite uma demonstração em cybergate.solutions.