Zero Trust pé no chão: começar por onde o atacante já entra
Por Rodrigo Rocha
Zero Trust não é produto. Não é caixinha mágica. É um conceito e uma mentalidade operacional: cada
acesso precisa ser verificado de acordo com quem pede, de onde vem, para qual recurso e em qual
momento. A premissa de “confiar por padrão porque está na rede interna” simplesmente não vale
mais.
Isso é diferente de ZTNA, que é uma tecnologia específica de acesso à rede baseada em identidade.
ZTNA pode fazer parte do caminho, mas não substitui a postura de Zero Trust como um todo. Quando
misturamos as duas coisas, acabamos comprando ferramentas e deixando sem resposta as decisões
que realmente reduzem risco.
O cenário real
No ambiente que vemos com frequência — Active Directory on-prem, Microsoft 365, poucos serviços
em nuvem e equipe pequena sobrecarregada — os pontos de entrada mais explorados pelos atacantes
continuam sendo os mesmos: abuso de credenciais, VPN exposta sem MFA e estações sem EDR.
Por isso, quando falamos em Zero Trust “pé no chão”, começamos pelo que já causa incidente hoje.
A identidade passa a ser o perímetro real. Não importa se o usuário está no escritório ou em casa: a
pergunta que precisa ser respondida é se aquela identidade, naquele contexto, deve acessar aquele
recurso — e com qual rigor de verificação.
VPN: o túnel que virou porta de entrada
Sobre VPN, precisamos ser literais.
Se a organização precisa manter acesso remoto via túnel, ele deve exigir MFA e controle por grupos.
Mas isso ainda não basta. É essencial remover das rotas de VPN os caminhos que levam aos sistemas
críticos de infraestrutura — consoles de virtualização e de backup são alvos preferenciais em ataques
recentes.
Essas estruturas não podem ficar acessíveis por túneis externos, mesmo com MFA. A partir do
momento em que o atacante entra no túnel, todo serviço exposto vira degrau para escalar privilégios.
O desenho correto separa a administração de infraestrutura em domínios de acesso próprios, com
estações de salto (jump servers) e validações adicionais, sem atalhos pela VPN de usuário.
EDR: sem telemetria, Zero Trust vira só intenção
Sem EDR nos endpoints, Zero Trust fica no discurso. Precisamos de telemetria útil e de capacidade de
conter o problema no ponto onde a atividade maliciosa acontece.
Quando um host desvia do padrão, não podemos depender de sorte ou de coleta manual. Um agente
de EDR bem configurado permite isolar a máquina rapidamente, encurtando o tempo entre suspeita e
ação concreta. Isso reduz a chance de movimento lateral e impede que uma credencial encontrada em
um único equipamento se transforme em acesso amplo.
Em várias investigações que acompanhei, quando não havia EDR, a descoberta do problema chegava
tarde — e a resposta virava mutirão manual.
Privilégio: o eixo que organiza tudo
Abuso de credencial não é acaso. É o caminho esperado pelo adversário.
Por isso, nossa atuação precisa começar por um inventário sincero de quem pode o quê, onde e por
quê. Não é relatório para gaveta; é olhar o ambiente real, perguntar por que cada permissão existe,
reduzir ao mínimo necessário, exigir MFA onde houver suporte e registrar exceções com data para
revalidação.
Contas antigas, grupos herdados e serviços que rodaram pilotos no passado costumam manter
permissões além do necessário — e acabam servindo de ponte para alcançar os controladores de
domínio.
Contexto além da autenticação
Zero Trust também exige avaliação contínua de contexto depois da autenticação. Conectar não é
sinônimo de estar liberado para tudo.
Aplicações com impacto direto em operação e receita pedem políticas de acesso mais rígidas,
auditoria visível e sinais que acendam alerta quando algo foge do esperado.
Em ambientes pequenos, isso pode parecer pesado. Mas é possível avançar por etapas, começando
pelos sistemas que sustentam produção, faturamento e suporte a clientes. O critério é simples: quem
acessa, quando, de onde e para fazer o quê.
Evite a armadilha dos jargões
Termos da moda criam a ilusão de avanço enquanto mantêm portas abertas.
O que muda o jogo são decisões diretas e consistentes: VPN sem rota para administração de
infraestrutura, MFA obrigatório em tudo que é exposto e em contas privilegiadas, EDR ativo nos
equipamentos que fazem diferença, revisão contínua de privilégios.
Quando essas peças entram no lugar, Zero Trust deixa de ser enfeite de slide e vira prática cotidiana.
Comece esta semana
Minha sugestão é que, ainda nesta semana, você:
1. Faça uma revisão de privilégios de administradores e contas de serviço
2. Retire permissões que não fazem sentido hoje
3. Exija MFA onde for possível de imediato
4. Bloqueie o acesso administrativo por VPN às consoles de virtualização e de backup
Com isso, reduzimos os atalhos que o atacante procura e aumentamos nossa capacidade de controlar
o ambiente mesmo sob pressão.
É assim, passo a passo e com escolhas claras, que Zero Trust sai do slide e entra no dia a dia.
