O perímetro não desapareceu, ele se espalhou: por que VPNs e firewalls viraram o elo mais frágil

O ataque mais perigoso, hoje, muitas vezes não começa com um e-mail convincente nem com um clique errado. Ele começa com algo mais banal e, por isso mesmo, mais difícil de perceber: um login “correto” feito no lugar errado, na hora errada, do jeito errado.

A cena é quase anticlimática. Um usuário se autentica na VPN. Nada explode. Nenhum alarmegrita. A operação segue. Só que, do outro lado, não é um usuário: é alguém que comprou uma credencial, reaproveitou uma senha vazada ou explorou o caminho mais curto até a borda. E é aí que mora o problema do nosso tempo: o perímetro não morreu, ele se pulverizou.

O “novo perímetro” é uma coleção de portas necessárias

Durante décadas, a empresa conseguia imaginar segurança como um desenho: rede interna, rede externa, um firewall no meio e uma sensação de fronteira. Só que a realidade operacional mudou. Para trabalhar, vender, integrar parceiros, suportar filiais, terceirizados e nuvem, a empresa precisa expor serviços. Precisa de acesso remoto. Precisa de conectividade. Precisa de borda.

A consequência é direta: “estar exposto” deixou de ser acidente. Virou condição de funcionamento. E isso não é um diagnóstico filosófico, é uma preocupação prática tão grande que recomendações de mercado e órgãos públicos passaram a tratar “redução de exposição à internet” como disciplina própria: inventário, fechamento do desnecessário, controle do inevitável.

O que chamamos de edge, no fim das contas, é isso: o conjunto de portas que a operação exige manter abertas.

Por que VPNs e firewalls entraram no centro do alvo

Há um motivo simples para VPNs e firewalls terem virado “elo frágil”: eles estão numa posição privilegiada do ponto de vista do atacante.

Quando uma vulnerabilidade ou uma configuração errada está num endpoint comum, o dano tende a ser localizado. Quando o problema está na borda, num gateway de acesso remoto, num firewall, numa SSLVPN, o que está em jogo é entrada com amplitude: o atacante pode ganhar um ponto inicial antes de muitos controles internos e, com frequência, com condições ideais para avançar.

Os dados e análises de incidentes vêm reforçando isso. O Verizon DBIR 2025 destaca o crescimento do uso de exploração de vulnerabilidades como vetor de acesso inicial, e chama atenção para como esse movimento foi impulsionado por falhas (incluindo zero-days) , mirando justamente tecnologias de edge e VPN.

E mesmo quando uma falha específica parece “só” derrubar um serviço, ela revela a fragilidade estrutural: indisponibilidade em VPN e borda não é inconveniente técnico; é risco operacional. O caso recente do SonicOS SSLVPN (CVE-2025-40601), registrado no NVD/NIST e em comunicações do fabricante, é um exemplo de como esses componentes ficam sob escrutínio constante.

A borda é crítica demais para errar e complexa demais para acertar sempre.

O padrão recorrente: credencial válida + VPN = acesso silencioso

Aqui está o ponto que muda o jogo: o atacante nem sempre precisa “invadir”. Às vezes, ele só precisa entrar com uma credencial que o ambiente aceita.

Essa dinâmica aparece repetidamente em alertas e análises de ransomware. O advisory atualizado do CISA sobre Akira descreve o acesso inicial por produtos VPN (incluindo SonicWall) via credenciais roubadas e/ou exploração de vulnerabilidades.

Quando a entrada é uma credencial válida, o início do incidente tende a ser silencioso por definição. Não há “arquivo malicioso” evidente. Não há comportamento grosseiro no começo. Há login, sessão, tráfego. É por isso que identidade continua sendo um eixo central: o relatório da Microsoft sobre defesa digital destaca o volume massivo de ataques baseados em senha e o peso de credenciais nesse ecossistema.

E o mercado de intrusão também se profissionalizou na etapa anterior: relatórios como M-Trends 2025 (Mandiant/Google Cloud) ressaltam credenciais roubadas como vetor relevante de acesso inicial (com destaque para o papel de infostealers), reforçando como “acesso” virou commodity.

Em outras palavras: o edge não é só explorado. Ele é comprado.

O elo frágil não é o equipamento, é o ciclo de vida

É tentador culpar “a tecnologia”: a VPN, o firewall, o fornecedor. Mas, quase sempre, o elo frágil real é o ciclo de vida, aquilo que acontece depois que a caixa está instalada:

Inventário incompleto: serviços habilitados sem necessidade, portais expostos por legado, ativos esquecidos.

Configuração que envelhece: exceções temporárias viram permanentes; regras permissivas ficam invisíveis.

Patching em atraso: a janela entre divulgação e correção vira oportunidade.

Identidade tratada como detalhe: MFA fraco, higiene de senha, contas compartilhadas, integrações mal governadas.

É por isso que a conversa sobre edge sempre termina na mesma palavra: disciplina. A disciplina de reduzir superfície, fechar o que não precisa estar aberto e reforçar o que precisa permanecer acessível, um ponto que se conecta com recomendações de “redução de exposição” e princípios de desenho mais seguros (“secure by design”) no debate público.

A ponte entre os Planos: pentest encontra intrusão, intrusão encontra resposta

Este artigo é a ligação natural entre os dois movimentos do calendário.

Plano A: pentest para descobrir e provar a exposição real

No novo perímetro, o pentest tem um papel muito específico: ele não existe para “produzir uma lista”, mas para validar caminhos.

Pentest bem direcionado ao edge responde perguntas que scanner e checklist não respondem com profundidade:

Quais portas estão expostas de verdade (incluindo o que ninguém lembrava)?

Que combinações de configuração e identidade criam acesso plausível?

Se alguém entra pela borda, até onde vai antes de ser barrado?

Ele transforma “suposições” em evidências. E evidência é o que permite priorizar.

Plano B: monitoramento contínuo para ver e conter quando a intrusão começa

O outro lado é aceitar um fato operacional: alguns acessos maliciosos vão acontecer, justamente porque credenciais válidas e serviços expostos fazem parte do mundo real.

Por isso, o edge exige capacidade contínua de detecção e resposta: observar padrões anômalos, correlacionar sinais (identidade, endpoint, rede), investigar e conter antes que o atacante consolide persistência, eleve privilégios e chegue ao impacto.

A própria lógica de mitigação em alertas de ransomware, como o caso Akira, reforça uma postura em camadas: reduzir exposição, reforçar identidade e sustentar monitoramento e resposta.

Pentest mostra por onde você cai. Monitoramento e resposta determinam se você levanta a tempo.

A pergunta que deveria guiar a estratégia em 2026 não é “temos perímetro?”. A pergunta é:

Quantas portas a operação mantém abertas, e o quanto você confia que saberá quando alguém entrar por elas?

No novo perímetro, segurança não é só bloquear. É conhecer a superfície real (pentest) e operar a contenção do inevitável (monitoramento e resposta). É assim que exposição vira decisão, e decisão vira continuidade.

Fontes

Verizon — Data Breach Investigations Report 2025 (DBIR)

CISA — Internet Exposure Reduction / orientações de redução de exposição

CISA — #StopRansomware: Akira (atualizado em 13/nov/2025)

Microsoft — Microsoft Digital Defense Report 2024

Google Cloud / Mandiant — M-Trends 2025

NVD/NIST + fabricante — CVE-2025-40601 (SonicOS SSLVPN)