O Inimigo Mora ao Lado: Guia Completo de Varredura Interna (IASM)

Introdução: A Fronteira da Segurança Não Termina no Perímetro

A era em que a segurança de perímetro era a única linha de defesa de uma organização está terminada. A complexidade das redes modernas, a mobilidade dos colaboradores e a sofisticação das ameaças cibernéticas exigem uma mudança de paradigma. Ameaças internas e o movimento lateral de atacantes que já conseguiram penetrar as defesas iniciais representam riscos críticos que não podem ser ignorados. De acordo com o relatório State of Ransomware 2025 da Sophos, 40% das organizações atingidas por ransomware no último ano foram vítimas de uma exposição da qual não tinham conhecimento, muitas vezes em ativos internos. Uma vez dentro da rede, um adversário pode operar sem ser detectado, explorando vulnerabilidades em ativos internos para alcançar dados e sistemas críticos. Este guia técnico fornecerá um passo a passo detalhado para gestores e diretores de TI implementarem uma estratégia robusta de Varredura Interna da Superfície de Ataque (IASM) utilizando a solução Sophos Managed Risk, garantindo visibilidade e controle sobre os ativos que residem dentro do seu ambiente.

——————————————————————————–

1. Por Que a Varredura Interna é Indispensável? O Perigo do Movimento Lateral e Ameaças Ocultas

Dados da Sophos demonstram que uma grande parte das organizações opera com ativos desconhecidos, não corrigidos ou subprotegidos dentro de suas próprias redes. Esses sistemas se transformam em alvos fáceis e pontos de pivô para ataques mais profundos. Ignorar o ambiente interno é deixar a porta aberta para incidentes de segurança devastadores.

• Movimento Lateral: Um atacante que obtém um ponto de apoio inicial, seja através de phishing ou de uma vulnerabilidade externa, pode se mover lateralmente pela rede interna. Sem uma varredura interna constante, esse movimento é praticamente invisível, permitindo que o invasor escale privilégios e acesse ativos de alto valor, como servidores de banco de dados e controladores de domínio, sem ser detectado.
• Ameaças Internas: O risco não vem apenas de fora. Credenciais comprometidas, funcionários mal-intencionados ou simplesmente vulnerabilidades não corrigidas em sistemas internos podem ser exploradas para iniciar um ataque. A superfície de ataque moderna expandiu-se muito além das fronteiras tradicionais de TI, e o que acontece dentro da rede é tão crítico quanto o que acontece no perímetro.
• Visibilidade Total: A máxima da cibersegurança permanece irrefutável: você não pode proteger o que não pode ver. A varredura interna (IASM) é a única forma de descobrir, analisar e catalogar todos os ativos conectados à sua rede. Este processo elimina os pontos cegos, permitindo que sua equipe identifique exposições, priorize correções e reduza proativamente o risco de um comprometimento bem-sucedido antes que ele ocorra.

——————————————————————————–

2. Arquitetura e Requisitos do Appliance de Varredura Interna

Antes de iniciar o deploy do appliance de varredura do Sophos Managed Risk, é crucial garantir que sua infraestrutura de virtualização atenda às especificações técnicas necessárias para um desempenho estável e eficaz.

2.1. Requisitos de Plataforma de Virtualização

• VMware ESXi:
  • Versão 6.7 Update 3 ou superior.
  • Hardware de VM versão 11 ou superior.
  • Suporte para VMware Enhanced vMotion Compatibility (EVC) Modes: Skylake ou superior.
• Microsoft Hyper-V:
  • Versão 6.0.6001.18016 (Windows Server 2016) ou superior.
  • O modo “Processor Compatibility Mode” não é suportado.

2.2. Requisitos Mínimos de Sistema

• CPUs: 4
• RAM: 16GB
• Armazenamento: 160GB

2.3. Requisitos de CPU (Microarquitetura)

O sistema que hospeda a máquina virtual deve utilizar uma das seguintes microarquiteturas de CPU.

Tabela 1: CPUs Intel Suportadas

Nota: Se utilizar o VMware EVC mode, é mandatório selecionar a geração Skylake ou posterior.

Tabela 2: CPUs AMD Suportadas

——————————————————————————–

3. Guia de Instalação Massivo: Do Sophos Central ao Deploy na Sua Rede

Este tutorial detalha o processo completo para configurar e implantar o appliance de varredura interna em seu ambiente.

3.1. Passo 1: Adicionar o Scanner no Sophos Central

1. No Sophos Central, navegue até My Products > Managed Risk > Scans e selecione a aba Internal.
2. Clique em Add scanner.
3. Preencha os campos obrigatórios:
   • Scanner name: Um nome identificável para o seu appliance (ex: IASM-Datacenter-SP).
   • Description: Uma breve descrição da sua finalidade ou localização.
   • Virtual Platform: Selecione VMware ou Hyper-V, conforme sua infraestrutura.
4. Configure as opções de IP para a interface de gerenciamento:
   • DHCP: Atribuição automática de IP. É fundamental que você crie uma reserva de IP no seu servidor DHCP para garantir que o appliance mantenha sempre o mesmo endereço.
   • Manual: Configure um endereço IP estático, máscara de sub-rede, gateway e DNS.
5. Clique em Save. Uma janela pop-up exibirá as credenciais do appliance. Essas credenciais são mostradas apenas uma vez. Copie-as e armazene-as em um local seguro, como um gerenciador de senhas.
6. Aguarde alguns minutos até que a imagem virtual seja criada. O status do scanner mudará e a opção Download ficará disponível. Clique nela para baixar o arquivo da imagem virtual (OVA para VMware, Zip para Hyper-V).

Dica de Especialista: Adote uma convenção de nomenclatura clara para seus scanners, especialmente se você planeja ter múltiplos appliances. Usar nomes como IASM-Datacenter-SP-VLAN10 ou IASM-Escritorio-RJ-RedeCorp facilita a identificação rápida do scanner ao criar e revisar varreduras, economizando tempo e evitando erros de configuração.

3.2. Passo 2: Deploy do Appliance Virtual na Sua Infraestrutura

Para VMware ESXi:

1. No seu host ESXi, clique em Create/Register VM e selecione Deploy a virtual machine from an OVF or OVA file.
2. Dê um nome à VM e selecione o arquivo OVA que você baixou do Sophos Central.
3. Escolha o datastore de destino e, nas opções de provisionamento de disco (Disk Provisioning), certifique-se de que Thin está selecionado.

Dica de Especialista: A opção de provisionamento Thin é ideal para laboratórios e ambientes onde o espaço de armazenamento é uma preocupação. Para ambientes de produção com alta performance, considere usar Thick Provision Lazy Zeroed se o seu storage permitir, pois oferece um desempenho de disco ligeiramente mais previsível.

1. Configure as interfaces de rede:
   • MGMT: Selecione a rede de gerenciamento que o appliance usará para se comunicar com o Sophos Central e realizar as varreduras.
   • SPAN1, SPAN2, SYSLOG: Estas interfaces não são utilizadas para a varredura de vulnerabilidades. Você pode selecionar qualquer port group como placeholder.
2. Marque a opção Power on automatically e conclua o assistente. O primeiro boot pode levar até 30 minutos enquanto o appliance se configura e se conecta ao Sophos Central. No console da Sophos, o status do scanner mudará para Connected.

Para Microsoft Hyper-V:

1. Extraia o conteúdo do arquivo Zip baixado para uma pasta em seu disco.
2. Clique com o botão direito no arquivo nessus-scanner e selecione Run with PowerShell.
3. O script fará uma série de perguntas para configurar a VM. Responda a cada uma delas:
   • Nome da VM.
   • Número de processadores (CPUs).
   • Quantidade de memória RAM em GB.
4. Selecione os vSwitches apropriados para as interfaces de rede:
   • Management Interface (MGMT): Escolha o vSwitch que dará ao appliance acesso à rede de gerenciamento e aos alvos da varredura.
   • Syslog Interface: Esta interface não é utilizada; selecione o mesmo vSwitch da interface de gerenciamento.
5. O script criará e configurará a VM. Após a conclusão, ligue a máquina virtual no Hyper-V Manager. O primeiro boot pode levar até 30 minutos. No console da Sophos, o status do scanner mudará para Connected.

3.3. Passo 3: Criar e Agendar as Varreduras Internas

Criando uma Varredura de Descoberta (Discovery Scan):

Esta varredura inicial tem como objetivo relatar todos os ativos detectados na rede, sem analisar vulnerabilidades. É altamente recomendável executá-la primeiro para garantir que o scanner está vendo todos os ativos esperados. Para criar, clique em Create discovery scan, selecione o scanner recém-criado, dê um nome à varredura, adicione os alvos (IPs, ranges CIDR, hostnames) e defina o agendamento de execução.

Criando uma Varredura de Vulnerabilidades:

Esta é a varredura que ativamente procura por brechas—como software desatualizado ou configurações inseguras—que um atacante exploraria para realizar movimentos laterais dentro da sua rede.

1. Na aba Internal, clique em Create vulnerability scan.
2. Selecione o scanner apropriado na lista.
3. Preencha os detalhes, como nome e descrição da varredura.
4. Em Add scan targets, adicione os endereços IP, ranges CIDR ou hostnames dos ativos que você deseja analisar.
5. Defina o agendamento em Schedule the weekly scan, escolhendo o dia da semana e o fuso horário.
6. Clique em Save. A varredura será executada conforme o agendamento. Os relatórios detalhados estarão disponíveis na página Report History após a conclusão.

——————————————————————————–

4. Melhores Práticas: Otimizando Suas Varreduras Para Máxima Eficiência e Mínimo Impacto

• Agendamento Estratégico: Agende suas varreduras para horários de baixo impacto na rede, como durante a noite ou nos fins de semana. O padrão é a execução à meia-noite no fuso horário selecionado, o que é ideal para a maioria dos ambientes corporativos.
• Evite Timeouts em Redes Grandes: Evite configurar varreduras únicas para grandes blocos de rede, como CIDRs com sufixos /16 ou menores. Isso pode causar “scan timeouts”, onde o scanner não consegue concluir a análise de todos os IPs no tempo previsto. A melhor abordagem é criar múltiplas varreduras menores para diferentes segmentos de rede (VLANs, sub-redes), agendadas em dias e horários distintos.
• Acesso de Rede: Para garantir a máxima eficácia, o appliance de varredura deve ter acesso bidirecional completo (todas as portas e protocolos) às VLANs e sub-redes que serão escaneadas. Para isso, crie uma regra de firewall específica que permita todo o tráfego (qualquer porta, qualquer protocolo) originado do endereço IP do seu appliance de varredura para as sub-redes/VLANs alvo. Isso garante que a varredura não seja bloqueada e possa realizar uma análise completa.
• Revisão de Relatórios: Assim que os relatórios estiverem disponíveis na seção Report History do Sophos Central (em formatos HTML, PDF e CSV), revise-os prontamente. Utilize os filtros para priorizar as vulnerabilidades críticas e de alto risco e iniciar o processo de remediação.

——————————————————————————–

Conclusão: Transforme a Visibilidade Interna em Defesa Proativa com a SN Informática

A implementação de uma rotina de Varredura Interna da Superfície de Ataque (IASM) não é mais uma opção, mas um componente crítico de qualquer estratégia de cibersegurança madura. Ganhar visibilidade sobre os ativos internos e suas vulnerabilidades é o primeiro passo para se defender contra movimentos laterais e ameaças ocultas. Como parceira especialista Gold da Sophos, a SN Informática está capacitada para auxiliar sua organização na implementação, gerenciamento e otimização da solução Sophos Managed Risk, transformando os dados de vulnerabilidade em ações de defesa concretas e eficazes.

——————————————————————————–

Fortaleça Sua Segurança Interna Agora

Não espere que uma ameaça interna se manifeste. Entre em contato com os especialistas da SN Informática hoje mesmo para uma análise de segurança ou para saber mais sobre como o Sophos Managed Risk pode proteger sua organização de dentro para fora.

Fale com nossos especialistas em cibersegurança

——————————————————————————–

Sobre a SN Informática

A SN Informática é uma empresa especialista em Cibersegurança como Serviço (CSaaS) e Partner Gold Sophos. Nossas especializações abrangem as soluções mais críticas para a proteção de ambientes corporativos, incluindo Firewall, MDR (Managed Detection and Response), XDR (Extended Detection and Response), NDR (Network Detection and Response) e EDR (Endpoint Detection and Response).

• LinkedIn: https://www.linkedin.com/company/sninformatica/
• Instagram: https://instagram.com/sninformatica.rio
• WhatsApp: https://api.whatsapp.com/send?phone=552122157892