Auditoria de seguranca de uma rede air-gapped: como auditar um ambiente isolado sem falsa confianca
Uma auditoria seguranca rede air gapped deve comecar provando o que o ambiente realmente e, nao assumindo que "sem internet" significa "sem caminho de ataque alcancavel". Na pratica, muitos ambientes empresariais descritos como air-gapped sao apenas logicamente isolados, fortemente segmentados ou dependentes de caminhos de transferencia controlados. Essa distincao muda o que pode ser coletado, como os findings sao validados e quais riscos residuais permanecem dentro do perimetro.
Este artigo fica no escopo de redes empresariais isoladas, nao de programas de seguranca OT ou ICS. Se a sua pergunta principal continua sendo a auditoria de Active Directory dentro de uma floresta isolada, use Como auditar Active Directory em um ambiente air-gapped como deep dive. O objetivo aqui e mais amplo: como revisar controles de identidade, host, rede, logging e transferencia que continuam importando quando o ambiente nao pode depender de ferramentas conectadas a internet nem de visibilidade cloud-native.
O que conta como rede air-gapped para uma auditoria seguranca rede air gapped
A orientacao de implementacao da CISA para a BOD 23-01 e util porque traça uma linha clara entre ambientes fisicamente air-gapped e ambientes apenas logicamente isolados. Isso importa para uma auditoria porque, no momento em que ainda existe uma ponte de administracao, um broker de transferencia, um tunel de fornecedor ou um sistema conectado a outro sistema que toca o ambiente isolado, a revisao precisa incluir esse caminho.
| Modelo de isolamento | Significado pratico para uma auditoria | Consequencia para a auditoria |
|---|---|---|
| Sem internet | Nao existe acesso direto de saida para a internet, mas caminhos internos de roteamento e administracao continuam existindo. | Uma auditoria local costuma ser viavel, mas workflows dependentes de cloud podem nao funcionar. |
| Isolamento logico | O acesso e restringido por bastions, brokers, jump hosts, firewalls ou caminhos de transferencia controlados. | O escopo do perimetro e dos caminhos de transferencia faz parte da auditoria, nao do pano de fundo. |
| Segmentado | O ambiente e roteavel, mas restrito por ACLs, VLANs ou politicas de firewall. | Deve ser tratado como conectado para riscos de privilegio, protocolo e movimento lateral. |
| Air-gapped fisico | Nao existe caminho de rede para a internet nem para o ambiente operacional mais amplo. | Coleta, revisao, exportacao e prova de remediacao precisam de um workflow totalmente local. |
A questao nao e vencer um debate de taxonomia. A questao e evitar falsa confianca. Um ambiente isolado ainda pode ter deriva de privilegios, administradores obsoletos, jump hosts sem gestao adequada, praticas fracas para senhas de administrador local, configuracoes inseguras de protocolo, retencao ruim de logs ou um caminho de transferencia que contorna controles que a equipe acredita possuir.
O que uma auditoria seguranca rede air gapped precisa realmente comprovar
Uma auditoria de seguranca de rede air-gapped util nao termina em "a rede e dificil de alcancar". O NIST SP 800-115 enquadra a avaliacao de seguranca em planejamento, coleta de evidencias, analise dos findings e desenvolvimento de mitigacoes. Em ambientes isolados, isso significa que a auditoria precisa comprovar pelo menos cinco coisas:
| Pergunta de auditoria | O que deve ser comprovado localmente |
|---|---|
| Qual e o perimetro real? | Quais sistemas estao dentro, quais sistemas podem administra-los e quais caminhos de manutencao ou transferencia ainda cruzam a fronteira |
| Quem detem poder efetivo? | Quais contas, grupos, service principals, administradores locais e papeis delegados podem alterar identidade, politicas, logging ou estado de atualizacao |
| O que ainda permite movimento lateral? | Quais protocolos, compartilhamentos, caminhos de relay e rotas de administracao permanecem disponiveis entre hosts ou segmentos |
| Quais evidencias sobrevivem offline? | Quais logs, subscriptions, configuracoes de retencao e procedimentos de exportacao preservam telemetria util dentro do perimetro |
| Os fixes podem ser revalidados? | Se o mesmo metodo de coleta local pode ser executado novamente apos a remediacao para provar que a condicao de risco desapareceu |
Um minimum evidence pack para esse tipo de revisao deveria incluir:
| Classe de evidencia | Por que ela importa |
|---|---|
| Documentacao atual da fronteira de rede e do roteamento | Nao se testam alegacoes de isolamento com um diagrama desatualizado |
| Inventario de jump hosts, bastions, brokers e caminhos de transferencia | Esses pontos costumam ser as pontes reais atraves do "air gap" |
| Inventario de contas privilegiadas e caminhos de administracao | O risco de identidade continua local, mesmo quando a exposicao a internet nao continua |
| Configuracao local de logs, WEF/WEC e retencao | Estar offline nao ajuda se a evidencia gira antes da revisao |
| Processo de importacao de patches, assinaturas e catalogos | A atualidade das atualizacoes e um processo operacional, nao uma suposicao |
| Metadados de rerun antes e depois | Alegacoes de remediacao sao fracas se o escopo ou o collector mudam entre execucoes |
Defina primeiro a fronteira, os caminhos de transferencia e os caminhos de administracao
O primeiro erro de escopo em um ambiente isolado e auditar apenas os servidores claramente "dentro" da zona e ignorar os sistemas que podem administra-los. Se um jump server, um credential broker, um processo de midia removivel ou um host de staging pode introduzir conteudo ou alteracoes no ambiente isolado, ele precisa entrar no escopo.
Comece mapeando quatro tipos de caminho:
- Caminhos de administracao: jump hosts, estacoes privilegiadas, contas break-glass, caminhos de manutencao de fornecedores e qualquer relacao de trust de dominio ou floresta que ainda alcance a zona isolada.
- Caminhos de transferencia: workflows com midia removivel, file brokers, estacoes de transferencia unidirecional, espelhos de pacotes e caminhos de exportacao manual de logs ou relatorios.
- Caminhos de controle: sistemas que podem empurrar GPOs, scripts, certificados, software ou catalogos de atualizacao para o ambiente.
- Caminhos de observacao: servidores WEC, collectors locais, hosts de exportacao de logs e qualquer sistema usado para revisar findings fora da rede isolada.
E aqui que muitas revisoes "air-gapped" falham. O risco central nem sempre e uma superficie publica. Muitas vezes e uma dependencia silenciosa de administracao que ninguem documentou porque nao parece acesso a internet.
Se o ambiente isolado e sustentado por AD, essa etapa de escopo deve se alinhar com a sequencia de revisao mais profunda de Auditar a seguranca do Active Directory: o que revisar primeiro e como comprovar a remediacao e com o modelo de repetibilidade de Auditoria recorrente de Active Directory: porque auditorias anuais ficam obsoletas e como monitorizar a postura continuamente. O isolamento nao elimina a necessidade de mapear quem pode realmente mudar politica, memberships, ACLs, logging ou emissao de certificados.
O que ainda pode ser auditado sem acesso a internet
Acesso a internet nao e pre-requisito para a maior parte das evidencias que importam em uma rede isolada com forte presenca de Windows. As Open Specifications da Microsoft para Active Directory e Group Policy deixam explicito o ponto central: dados do diretorio, metadados de policy e conteudo de policy armazenado em arquivos sao protocolos e repositórios locais, nao dependencias de cloud.
Uma revisao offline seria ainda pode medir:
- estrutura de identidade e privilegios: grupos privilegiados, grupos aninhados, direitos delegados, administradores obsoletos, contas de servico, trusts e caminhos de administracao
- estado de Group Policy e SYSVOL: metadados de GPO, conteudo de policy baseado em arquivo, scripts, artefatos de preferences e integridade de caminho
- postura dos hosts: rotacao de senhas de administrador local, assinatura SMB, assinatura LDAP, fallback NTLM, postura do firewall do Windows e baselines relevantes de hardening
- exposicao de rede dentro do perimetro: caminhos de administracao, protocolos permitidos, superficies relevantes para relay e reachability de jump hosts
- visibilidade de logs: geracao de eventos, forwarding, cobertura do collector, retencao e procedimento de exportacao
- servicos de certificados, se existirem: superficies de enrollment, exposicao de templates e caminhos de administracao baseados em certificados
Por isso a auditoria de rede mais ampla deve apontar para, e nao substituir, o pillar AD especifico Como auditar Active Directory em um ambiente air-gapped. A mecanica mais profunda de identidade continua importante; este artigo apenas amplia o escopo para a fronteira, transferencia, logging e restricoes operacionais ao redor.
Fontes de dados e ferramentas que ainda funcionam offline
As auditorias mais solidas em redes isoladas usam multiplas fontes locais de evidencia porque nenhum sistema individual conta toda a historia.
| Fonte de dados ou workflow | O que comprova | Limitacao principal |
|---|---|---|
| Consultas LDAP ou LDAPS | Usuarios, grupos, computadores, delegation, trusts, configuracao do diretorio e muitos atributos relevantes para privilegios | Dados de diretorio sozinhos nao mostram conteudo de GPO baseado em arquivo nem todas as configuracoes do host |
| SYSVOL por SMB | Scripts, arquivos de Group Policy template, artefatos baseados em policy e alguma exposicao de senhas ou preferences | Precisa ser correlacionado com os metadados de GPO armazenados no AD |
| Event logs locais mais WEF/WEC | O que foi realmente gerado, encaminhado, retido e centralizado dentro do perimetro | WEF e passivo; nao habilita audit policy, nao redimensiona logs e nao ativa channels desabilitados |
| PowerShell local e inventario read-only de hosts | Configuracoes de protocolo, postura de administrador local, estado de software e evidencias selecionadas de hardening | Escopo e permissoes precisam ser documentados para que os reruns permaneçam comparaveis |
Scan offline de atualizacoes Microsoft com WUA e Wsusscn2.cab | Se faltam atualizacoes de seguranca da Microsoft em sistemas Windows sem acesso live a internet | Cobre metadados de atualizacoes de seguranca, nao os payloads em si nem telemetria conectada completa |
| Pacote de exportacao controlado | Que evidencias podem sair do perimetro, sob quais aprovacoes e em que formato | Conveniencia de exportacao nao equivale a cadeia de custodia defensavel |
Dois caveats especificos da Microsoft importam aqui.
Primeiro, Group Policy nao e apenas um assunto de AD. A Microsoft documenta que GPOs possuem componentes logicos no Active Directory e componentes fisicos no Group Policy template armazenado em SYSVOL. Se voce inspeciona apenas dados LDAP, subavalia a superficie de policy.
Segundo, WEF ajuda, mas e limitado. A Microsoft afirma que WEF le eventos operacionais ou administrativos existentes e encaminha eventos selecionados para um servidor WEC, mas continua passivo em relacao a geracao de eventos. Ele nao pode alterar o tamanho dos event logs, habilitar event channels desabilitados, mudar permissoes de channels nem ajustar a security audit policy. Em outras palavras, encaminhar logs incompletos de forma mais eficiente continua sendo logging incompleto.
Em configuracoes de dominio, a Microsoft tambem observa que o trafego WEF e criptografado por Kerberos por padrao mesmo quando HTTP e usado, e que HTTPS passa a ser principalmente necessario quando a autenticacao por certificado substitui Kerberos. Isso torna WEF/WEC realista em muitos ambientes Windows isolados, mas apenas se as fontes de evento ja estiverem gerando a evidencia correta.
Revise juntos os controles de identidade, host, rede e logging
Ambientes isolados sao faceis de auditar mal quando cada familia de controles e revisada isoladamente. A abordagem mais defensavel e correlacionar controles de identidade, host, rede e logging na mesma passada.
Identidade e privilegios
Comece por quem pode mudar o ambiente, nao por quem apenas pertence a ele. Isso inclui administradores de dominio e locais, contas break-glass, contas de servico, direitos delegados e operadores de jump hosts ou servidores de transferencia. Para ambientes fortemente centrados em AD, use Auditar a seguranca do Active Directory: o que revisar primeiro e como comprovar a remediacao para a sequencia detalhada de revisao de identidade e Windows LAPS nao implantado: por que senhas locais de administrador compartilhadas continuam perigosas quando credenciais locais compartilhadas ainda existirem entre hosts Windows isolados.
Postura do host e dos protocolos
Fraquezas de protocolo nao deixam de importar so porque estao dentro do perimetro. Assinatura SMB, exposicao NTLM, assinatura LDAP, praticas antigas de administrador local e caminhos favoraveis a relay continuam sendo problemas locais de movimento lateral. Se a rede depende fortemente de autenticacao Windows, Assinatura SMB desativada: por que ainda permite NTLM relay continua diretamente relevante, assim como a revisao de caminhos de certificados por meio de Caminhos de ataque ADCS: como erros em certificados viram caminhos de escalada no Active Directory quando AD CS existe.
Rede e caminhos de transferencia
Revise quais sistemas podem se comunicar com quais sistemas para administracao, importacao de atualizacoes, exportacao de logs e transferencia de pacotes. Um bastion host que consegue alcancar domain controllers, espelhos de pacotes e file brokers e um ponto de controle de alto valor, mesmo que nunca navegue na internet publica. Se midia removivel faz parte do workflow, audite aprovacao, scan, staging e importacao como superficie de controle, nao como nota operacional.
Logging e retencao
A visibilidade local precisa ser desenhada. Revise a geracao de eventos nos sistemas que importam, a configuracao de forwarding onde WEF/WEC e usado, a saude do collector, a retencao, o comportamento diante de backlog e o procedimento de exportacao. Se a equipe precisar de um mapa event-by-event da atividade AD, use Monitoramento de Seguranca AD: Os Eventos que Importam como referencia mais profunda, mas a auditoria mais ampla de rede isolada deve primeiro responder se o ambiente consegue preservar evidencias locais suficientes para sustentar suas proprias alegacoes de seguranca.
Restricoes de atualizacoes, assinaturas e inteligencia de vulnerabilidade
E aqui que auditorias de redes isoladas frequentemente ficam otimistas demais.
A Microsoft documenta que o Windows Update Agent pode fazer scan offline de sistemas em busca de atualizacoes de seguranca usando um pacote Wsusscn2.cab fornecido localmente. Isso e util, mas nao equivale a inteligencia de patch plenamente conectada. O catalogo contem metadados de atualizacoes relacionadas a seguranca e ajuda a responder "quais atualizacoes de seguranca da Microsoft parecem estar faltando?". Ele nao inclui as atualizacoes em si e nao resolve o tema de software nao Microsoft, drivers, firmware de appliances nem a defasagem operacional introduzida por processos manuais de importacao.
Por isso, uma boa auditoria precisa verificar o processo, nao apenas o resultado do ultimo scan:
- Como os catalogos de seguranca da Microsoft sao importados e com que frequencia?
- Como assinaturas de terceiros, conteudo de EDR ou dados de vulnerabilidade sao espelhados para dentro do ambiente, se isso existir?
- Quanto tempo um pacote ou assinatura nova leva para atravessar o perimetro?
- Quais ativos sao excluidos intencionalmente porque nao existe um metodo offline confiavel?
- Quem aprova excecoes quando guidance conectada nao pode ser aplicada diretamente dentro do perimetro?
Se as respostas sao informais, o ambiente depende de as pessoas lembrarem como mantê-lo atualizado. Isso nao e um controle auditavel.
Validacao apos a remediacao
A remediacao em redes isoladas deve ser validada da mesma forma como foi descoberta: com o mesmo escopo local, do mesmo lado da fronteira e usando as mesmas classes de evidencia.
Uma sequencia pratica de validacao se parece com isto:
- Congelar o escopo do rerun: mesmos segmentos, mesmos dominios, mesmos collectors e mesmas hipoteses sobre caminhos de acesso.
- Remedir a condicao de risco: privilegios, configuracoes de host, logging, caminhos de transferencia ou estado de atualizacao.
- Confirmar que a mudanca nao quebrou a visibilidade local: logging, forwarding WEF/WEC e procedimentos de exportacao precisam continuar funcionando apos o hardening.
- Registrar as excecoes restantes com um owner e uma data de revisao, especialmente quando compatibilidade legacy ainda bloquear uma correcao limpa.
- Preservar a evidencia antes e depois com datas de coleta, hipoteses de fronteira e blind spots conhecidos.
Warning: um PDF exportavel nao e prova por si so. Em ambientes isolados, a prova depende de coleta local repetivel e de um metodo de rerun estavel.
Como a EtcSec ajuda em auditorias de redes empresariais isoladas
Para esse use case, a fronteira de produto importante e simples. Os materiais oficiais do collector da EtcSec descrevem um collector read-only que pode rodar em modo standalone totalmente local, manter os dados locais nesse modo e coletar evidencias de Active Directory por LDAP/LDAPS e SYSVOL. Esse modelo de implantacao e materialmente mais relevante em uma rede empresarial isolada do que qualquer promessa sobre dashboards ou conveniencia de cloud.
Na pratica, isso significa que uma equipe pode manter o collector dentro da mesma fronteira de confianca que os sistemas revisados, repetir a auditoria localmente apos a remediacao e manter um modelo de evidencia consistente entre ciclos de revisao. Se voce precisa do detalhe do produto em vez da orientacao de processo, use ETC Collector para o modelo de implantacao e Comparacao de ferramentas de auditoria AD: como comparar PingCastle, Purple Knight e workflows de auditoria repetiveis para entender quando um workflow local e repetivel muda a decisao.
O valor aqui nao esta em dizer que redes isoladas precisam de uma ferramenta offline magica. O valor esta em ter coleta local read-only, reruns estaveis e findings que permanecem utilizaveis apos a primeira onda de limpeza.
Primary References
- CISA: BOD 23-01 Implementation Guidance
- NIST SP 800-115: Technical Guide to Information Security Testing and Assessment
- Microsoft Learn: Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn: Using WUA to Scan for Updates Offline
- Microsoft Open Specifications: MS-ADOD
- Microsoft Open Specifications: MS-GPOD Group Policy Structure
- ANSSI: Recommandations pour l'administration securisee des SI reposant sur AD
