Vou abrir este artigo com uma afirmação que repito em praticamente toda reunião de diagnóstico: em muitos ambientes corporativos que avalio, o que realmente protege a empresa não são os controles de segurança: é simplesmente a ausência de um atacante atuando naquele momento.
Parece exagero, mas não é. Quando o atacante aparece, e ele aparece, não precisa de sofisticação
alguma. Um operador júnior, seguindo um roteiro básico comprado num fórum da dark web, faz a
festa. E faz não por mérito dele, mas por demérito de quem deixou o ambiente como um convite.
Digo isso a partir de fatos que vivencio com mais frequência do que eu gostaria. Falta de MFA é
quase regra: dados recentes apontam que 98% das contas em nuvem de empresas brasileiras
operam sem autenticação multifator, e no ambiente on-premises a situação costuma ser ainda pior.
Políticas de credenciais são frágeis: senhas que nunca expiram, complexidade mínima desativada,
contas genéricas compartilhadas entre equipes inteiras. Controles de acesso são insuficientes, com
91% das organizações mantendo privilégios excessivos que criam uma superfície de ataque
absurdamente maior do que a necessária. E quando olho para a rede, encontro ambientes que
simplesmente não foram segmentados: firewall com policy any-to-any entre VLANs, onde qualquer
estação de trabalho conversa livremente com o servidor de banco de dados, com o controlador de
domínio e com a rede de OT. É como trancar a porta da frente e derrubar todas as paredes internas. Os exemplos não param. Encontro conexões ODBC apontando direto para instâncias SQL com credencial de sysadmin, um convite explícito à movimentação lateral, porque o atacante que
comprometer qualquer aplicação conectada por ali ganha acesso irrestrito a todo o banco. Encontro
servidores JBoss de 2007 ainda em produção, verdadeiros queijos suíços de vulnerabilidades
conhecidas, muitas delas com exploit público disponível há mais de uma década. O catálogo de
vulnerabilidades exploradas da CISA cresceu 34% no último ano, e sistemas legados como esses
representaram 61% das adições. E encontro, com uma frequência que deveria assustar, RDP exposto
globalmente: porta 3389 aberta para a internet sem restrição de origem, sem MFA, sem rate
limiting. Levantamentos recentes da Forescout identificaram mais de 1,8 milhão de servidores RDP
expostos ao redor do mundo. Para cada um deles, existe um script automatizado testando
credenciais vinte e quatro horas por dia.
O Brasil, que recebeu quase 754 bilhões de tentativas de ataque cibernético em 2025 segundo a
Fortinet, é terreno especialmente fértil para esse cenário. Estudos recentes indicam que 95% das
falhas de segurança em nuvem decorrem de erro humano e misconfigurações, e as falhas de
autenticação atingiram 31% das empresas brasileiras no último período. Não estamos falando de
ameaças avançadas persistentes nem de vulnerabilidades de dia zero. Estamos falando de portas
que foram deixadas abertas, configurações que nunca foram revisadas e controles que nunca foram
implementados. O atacante que explora esse tipo de falha não precisa ser criativo. Precisa apenas de
um scanner, de uma lista de credenciais padrão e de um pouco de paciência.
Já abordei aqui no Café com Bytes, ao falar sobre BAS e validação contínua de postura, que a
pergunta certa não é “tenho NGFW, EDR e SIEM?”, mas sim “se a ameaça chegasse hoje, meus
controles responderiam?”. Este artigo é o capítulo anterior dessa conversa: antes de testar se os
controles funcionam, é preciso garantir que eles existam. A recomendação prática começa pelo
inventário honesto. Mapeie o que está exposto à internet com um scan de superfície externo. Elimine todo RDP público e substitua por VPN com MFA phishing-resistant. Revise as regras de firewall e substitua policies any-to-any por microssegmentação baseada em necessidade real de comunicação. Identifique conexões de banco de dados com privilégio excessivo e aplique o princípio do menor privilégio. Faça um censo de sistemas legados e defina um plano de descomissionamento ou isolamento para aqueles que não podem ser atualizados. E implante MFA em todo acesso administrativo e remoto, sem exceção.
A sua empresa sobrevive porque ninguém atacou até agora, ou porque realmente tem defesas que
resistiriam a um adversário determinado? Se a resposta exigir reflexão, o momento de agir é agora.
Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para
alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
• Exposed RDP: The Misconfiguration Attackers Keep Exploiting (Huntress)
• Forescout finds 3.4 million RDP and VNC servers exposed (Industrial Cyber)
• Brasil foi vitima de 753,8 bilhoes de tentativas de ataques ciberneticos em 2025 (TI Inside)
• Cybersecurity Breach Statistics 2026 (DataFeature)
• Legacy Software Vulnerabilities: The 2026 Risk Assessment Guide (Atiba)
• Key Cyber Security Statistics for 2026 (SentinelOne)
