Quais ferramentas de seguranca funcionam em redes isoladas sem acesso a internet? A resposta pratica e mais estreita do que a maioria das paginas de produto sugere. Algumas ferramentas continuam funcionando totalmente em local. Outras so se sustentam se voce conseguir atravessar a fronteira com updates, licencas ou pacotes de plugins. Outras deixam de servir assim que o ambiente nao consegue mais alcancar um cloud control plane, um feed em tempo real ou uma API exposta na Internet.
Este artigo fica no escopo de redes corporativas isoladas com um modelo operacional centrado em Active Directory e Windows. Nao tenta cobrir programas de seguranca OT ou ICS. Se sua pergunta principal ainda e como auditar o proprio ambiente, use Auditoria de seguranca de uma rede air-gapped como guia process-first e Como auditar Active Directory em um ambiente air-gapped como deep dive AD. O objetivo aqui e outro: quais ferramentas e quais workflows continuam realistas quando o acesso a Internet esta ausente, fortemente mediado por brokers, ou so existe por meio de transferencias offline controladas.
Quais ferramentas de seguranca funcionam em redes isoladas sem acesso a internet?
Uma ferramenta so deveria contar como utilizavel sem acesso a Internet se a funcao principal de seguranca ainda puder rodar dentro do perimetro e se as dependencias restantes forem explicitas. Na pratica, isso significa responder primeiro a quatro perguntas:
| Pergunta | Por que isso importa em uma rede isolada |
|---|---|
| A ferramenta consegue coletar ou analisar dados localmente? | Se a coleta exige um cloud control plane, ela nao cabe em um air gap real. |
| Ela precisa de feeds em tempo real ou consegue funcionar com staged offline updates? | Algumas ferramentas continuam uteis, mas so com um workflow de transferencia disciplinado. |
| Voce consegue rodar novamente depois da remediacao a partir do mesmo lado da fronteira? | Um scan unico e mais fraco do que um modelo de rerun local estavel. |
| A ferramenta mantem as evidencias dentro do ambiente quando isso e necessario? | Em redes isoladas, a saida de dados costuma ser uma superficie de controle, nao uma comodidade. |
Essa distincao importa porque muitos ambientes descritos como offline na pratica sao apenas logicamente isolados ou dependem de bastions, brokers ou caminhos manuais de transferencia. A implementation guidance do BOD 23-01 da CISA continua sendo o lembrete oficial mais claro de que um ambiente fisicamente air-gapped nao e o mesmo que um ambiente apenas isolado. Uma ferramenta que funciona com imports staged atraves de uma fronteira de transferencia nao e a mesma coisa que uma ferramenta que funciona sem qualquer dependencia externa.
Comece separando workflows local-only de ferramentas cloud-dependent
A forma mais limpa de avaliar ferramental em um ambiente isolado e separar tres modelos.
| Modelo de ferramenta | O que continua funcionando | Restricao principal |
|---|---|---|
| Workflow local-only | Coleta e analise acontecem inteiramente dentro do perimetro. | Ainda e preciso ter fontes locais de evidencia suficientes e capacidade operacional para interpreta-las. |
| Offline-capable com staged updates | A ferramenta roda localmente, mas assinaturas, plugins, licencas ou catalogos precisam ser importados manualmente. | A atualizacao operacional depende do processo de transferencia, nao so da ferramenta. |
| Cloud-dependent | O produto assume um plano de controle SaaS, APIs acessiveis pela Internet ou conteudo online continuo. | Em um air gap real, normalmente deixa de encaixar, mesmo que o instalador rode localmente. |
Esse e o quadro para o restante do artigo. A pergunta nao e se um fornecedor diz que o software pode ser instalado em um host Windows. A pergunta e se o valor de seguranca continua existindo quando nao ha acesso direto a Internet nem um caminho invisivel de excecao fazendo o trabalho real.
Ferramentas nativas do Windows e do Active Directory continuam funcionando offline
O ponto de partida mais confiavel em uma rede corporativa isolada continua sendo o modelo nativo de evidencia do Windows e do Active Directory.
A documentacao da Microsoft e as Open Specifications deixam o ponto central explicito: dados de diretorio, metadados de Group Policy, arquivos de politica armazenados em SYSVOL, logs de eventos locais e Windows Event Forwarding nao precisam de Internet para existir nem para serem revisados. Isso significa que um workflow local serio ainda pode se apoiar em:
- consultas LDAP ou LDAPS para usuarios, grupos, delegacoes, trusts e atributos ligados a privilegios
- revisao de Group Policy cobrindo tanto metadados de AD quanto conteudo de politica carregado por SYSVOL
- logs de eventos locais e WEF/WEC para centralizar evidencia dentro do perimetro
- PowerShell local para configuracao de host, postura de protocolos e validacao de controles
- o scan offline do Windows Update Agent com
Wsusscn2.cabpara detectar updates de seguranca da Microsoft ausentes
O limite e que as ferramentas nativas entregam fontes de evidencia, nao um programa de seguranca pronto. WEF/WEC ajuda a encaminhar o que ja existe, mas a Microsoft documenta explicitamente que o mecanismo continua passivo em relacao a geracao de eventos, tamanho de logs, canais desabilitados e politica de auditoria. Do mesmo modo, o scan offline de WUA pode indicar updates de seguranca da Microsoft ausentes, mas nao substitui um workflow conectado de inteligencia de vulnerabilidades.
Por isso as ferramentas nativas aparecem na primeira linha da matriz abaixo. Elas sao a base offline mais defensavel, mas nao sao a resposta completa sozinhas.
Ferramentas de avaliacao point-in-time que podem rodar em redes isoladas
Duas ferramentas centradas em AD ainda podem ser citadas aqui com seguranca, porque o comportamento offline ou desconectado delas esta documentado oficialmente e porque seu papel e mais estreito do que o de uma plataforma cloud de seguranca.
PingCastle
PingCastle e um dos exemplos mais claros de ferramenta que continua encaixando em redes isoladas, porque a documentacao oficial descreve explicitamente varios padroes de implantacao desconectados. Health Check e o relatorio padrao. A documentacao Deploy cobre dominios sem conexao de rede, coleta por bastion, agendamento semanal e transferencia criptografada de relatorios por canais nao confiaveis. A documentacao Consolidation cobre o agrupamento de varios relatorios em uma visao de nivel mais alto.
Isso faz de PingCastle uma opcao realista de avaliacao AD point-in-time quando o requisito e:
- apenas Active Directory on-prem
- um relatorio local HTML-first
- execucao a partir de cada dominio ou de um bastion
- um modelo viavel de coleta de relatorios mesmo quando a centralizacao e desconfortavel
E um bom fit para scorecards AD offline. Nao e uma plataforma geral de seguranca offline e nao resolve inteligencia de updates, identidade hibrida nem visibilidade ampla de host e rede fora do seu modelo orientado a AD.
Purple Knight
Purple Knight continua relevante, mas apenas se for descrito com precisao.
A Semperis afirma na FAQ oficial que Purple Knight e software instalado, que nao faz alteracoes no Active Directory, que requer a capacidade de executar scripts PowerShell, que usa consultas LDAP sobre RPC para alguns scans de vulnerabilidades e que nao possui capacidades de phone-home. A mesma FAQ tambem afirma que ele fornece uma scorecard point-in-time e que o relatorio inclui indicadores analisados, status pass/fail, mapeamento MITRE ATT&CK e orientacao de remediacao.
Isso torna Purple Knight utilizavel para uma avaliacao de AD on-prem em um ambiente Windows-centric isolado quando voce quer uma ferramenta de avaliacao instalada localmente, e nao um plano de controle cloud. Mas Purple Knight tambem e posicionado pela Semperis como um produto de avaliacao de AD e Entra. A FAQ oficial explica que a avaliacao de Entra exige app registration e permissoes de Microsoft Graph.
ℹ️ Inferencia a partir das docs oficiais: Purple Knight continua valido para revisar AD on-prem dentro de uma rede isolada, mas a parte de Entra sai do escopo de um ambiente realmente sem Internet porque a conectividade com Microsoft Graph fica fora dessa fronteira.
Esse caveat importa. Purple Knight pertence a este artigo pelo lado AD, nao como afirmacao geral de que todo o seu escopo hibrido continuaria funcionando em um air gap real.
Scanners de vulnerabilidades que continuam funcionando com staged offline updates
O exemplo de scanner mais defensavel aqui e o Tenable Nessus em offline mode, porque a Tenable documenta o workflow explicitamente.
A documentacao oficial da Tenable afirma que o Nessus pode ser colocado em offline mode e recomenda esse modo para scanners offline ou air-gapped. A mesma documentacao tambem afirma que o offline mode desabilita funcoes que exigem conexao com o feed do Nessus, incluindo updates de core e de plugins, feed status updates, vinculacao com Tenable Vulnerability Management e outras funcoes do aplicativo.
O ponto operacional importante e que offline-capable nao significa self-sufficient. A documentacao da Tenable sobre instalacao e updates offline deixa claro que:
- o registro offline e um processo separado
- um sistema auxiliar conectado a Internet e usado para obter os artefatos necessarios
- os pacotes de plugins precisam ser transferidos manualmente
- a atualizacao do scanner depende da qualidade real desse processo de transferencia
Isso ainda faz do Nessus uma entrada valida em um artigo tools-first sobre redes isoladas. Isso nao o torna simples. Em um air gap real, o scanner so esta tao atualizado quanto o caminho de staged updates que o alimenta.
O que normalmente quebra em um air gap real
Algumas categorias de ferramentas normalmente deixam de encaixar assim que o ambiente nao consegue mais alcancar a Internet ou uma API externa aprovada.
- produtos SaaS-only cujo modelo principal de analise, politica ou evidencia vive em um plano de controle remoto
- produtos que exigem atualizacao continua de assinaturas, reputacao ou threat intelligence sem um caminho documentado de importacao offline
- ferramentas que podem ser instaladas localmente mas ainda assumem registro de tenant, acesso a APIs cloud ou correlacao via Internet para entregar seu valor principal
- ecossistemas de agentes em que versionamento, sincronizacao de politica ou analitica se degradam fortemente assim que o ambiente perde conectividade online
E aqui que as equipes perdem tempo. Uma demo de produto pode parecer suficientemente local ate que a cadeia oculta de dependencias seja mapeada: registro, checagens de licenca, feeds de plugins, acesso Graph, scoring cloud ou ajuda e atualizacoes entregues pela web. Em ambientes isolados, essas dependencias fazem parte da revisao de desenho, nao do ruido de fundo.
Matriz curta: ferramentas de seguranca para redes isoladas sem acesso a internet
| Ferramenta ou workflow | Funciona sem Internet? | O que ainda precisa | Melhor fit | Onde quebra em um air gap real |
|---|---|---|---|---|
| Native Windows / AD tooling | Sim | Capacidade operacional, acesso local a coleta e um modelo de evidencia disciplinado | Revisao local basica de AD, GPO, logs, WEF/WEC, PowerShell e scan WUA offline | Nao entrega sozinho um programa de seguranca empacotado. |
| PingCastle | Sim, para avaliacao AD | Conectividade AD, um ponto de execucao local ou bastion e coleta de relatorios | Health checks AD point-in-time em ambientes desconectados ou dificeis de centralizar | Continua estreito: focado em AD, HTML-first, e nao um workflow completo de identidade hibrida ou inteligencia de vulnerabilidades. |
| Purple Knight | Sim, para avaliacao AD on-prem | Execucao local, PowerShell e LDAP sobre RPC para certos scans | Avaliacao AD local rapida com remediacao em nivel de indicador | A parte Entra depende de Microsoft Graph, entao o escopo hibrido nao se sustenta em um air gap real. |
| Tenable Nessus Offline Mode | Sim, com condicoes | Registro offline e transferencia manual de plugins e artefatos | Vulnerability scanning local quando um processo de staged updates ja foi aceito | Perde conveniencias dependentes do feed e fica operacionalmente pesado se os updates offline nao forem bem mantidos. |
| ETC Collector standalone | Sim | Implantacao local, acesso read-only e o mesmo workflow de rerun dentro da fronteira apos remediacoes | Revisoes de seguranca repeatable por coleta local e reruns em ambientes corporativos prudentes ou isolados | Nao foi feito para substituir toda fonte de inteligencia conectada; e mais forte quando evidencia local e reruns repeatable contam mais. |
O ponto desta matriz nao e declarar um vencedor. E separar ferramentas que permanecem operacionalmente honestas offline daquelas que so parecem offline ate que sua cadeia de dependencias seja examinada.
Como escolher a mistura certa para uma rede corporativa isolada
Uma boa pilha de ferramentas para uma rede isolada normalmente e uma mistura, nao um produto unico.
- Comece pelas fontes locais de evidencia que ainda funcionam nativamente: dados AD, SYSVOL, logs locais, WEF/WEC e revisao de configuracao de host.
- Adicione uma ferramenta de avaliacao AD point-in-time se voce precisar de uma visao mais rapida sobre privilegios e politicas. PingCastle e Purple Knight sao validos, mas por motivos diferentes.
- Adicione um scanner offline-capable apenas se a organizacao estiver preparada para manter corretamente o caminho de staged updates. Caso contrario, a saida do scanner envelhecera mais rapido do que o ambiente muda.
- Prefira ferramentas que possam ser rerun localmente apos remediacoes a partir do mesmo lado da fronteira. Isso importa mais do que a aparencia polida do primeiro dashboard.
- Mantenha produtos cloud-dependent fora do escopo, a menos que o ambiente seja apenas logicamente isolado e que o caminho de dependencia esteja formalmente aprovado e documentado.
E aqui que os artigos de fundo continuam uteis. Use Como auditar a seguranca do Active Directory para a sequencia de revisao, Auditoria recorrente de Active Directory para a logica de rerun, Windows LAPS nao implantado quando a reutilizacao de admins locais ainda existe, e Assinatura SMB desativada quando o risco de movimento lateral continua moldado pela postura de protocolos.
Se AD CS existir no ambiente isolado, a exposicao de certificados continua pertencendo ao primeiro nivel de revisao, embora nao seja o tema principal aqui. Use ADCS certificate template attacks para esse caminho.
Como a EtcSec se encaixa em workflows de seguranca offline
Para este caso de uso, o unico claim de produto que realmente importa e o modelo de implantacao e coleta.
O material oficial do collector da EtcSec descreve um collector read-only que pode rodar em um modo standalone totalmente local. Nesse modelo, GUI e API REST permanecem locais, os dados permanecem locais, e a coleta ainda pode cobrir evidencias de Active Directory via LDAP ou LDAPS e SYSVOL. Esse e o limite de produto correto para enfatizar em uma rede isolada, porque ele corresponde a restricao real: coleta local e reruns locais importam mais do que conveniencia cloud.
Se voce precisar do enquadramento processual mais amplo, use Auditoria de seguranca de uma rede air-gapped. Se precisar do enquadramento mais amplo de avaliacao de ferramentas, use Comparacao de ferramentas de auditoria AD. Se precisar do detalhe de implantacao do modelo de collector local em si, use ETC Collector.
O encaixe pratico e simples: a EtcSec pertence a conversa quando o requisito e coleta local read-only repeatable e revisao baseada em reruns dentro da mesma fronteira de confianca, nao quando a equipe so quer uma captura pontual.
Actionable next steps
- Mapeie primeiro as fontes de evidencia que continuam totalmente locais: AD, SYSVOL, logs, WEF/WEC e scans WUA offline.
- Verifique depois quais ferramentas exigem transferencia manual de updates, licencas ou plugins antes de trata-las como realmente viaveis.
- Teste por fim um rerun apos uma remediacao pequena e real para confirmar que a ferramenta continua util depois da mudanca, e nao apenas para um primeiro snapshot.
Referencias primarias
- CISA: BOD 23-01 Implementation Guidance
- Microsoft Learn: Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn: Using WUA to Scan for Updates Offline
- Microsoft Open Specifications: MS-ADOD
- Microsoft Open Specifications: MS-GPOD Group Policy Structure
- PingCastle Documentation
- PingCastle Health Check
- PingCastle Deploy
- PingCastle Consolidation
- Semperis: Purple Knight FAQ
- Semperis: Active Directory Security Assessment | Purple Knight
- Tenable Nessus: Offline Mode
- Tenable Nessus: Install Tenable Nessus Offline
- Tenable Nessus: Update Plugins Offline
- ETC Collector
- ANSSI: Recommandations pour l'administration securisee des SI reposant sur AD
