Durante a corrida à nuvem, uma promessa atraente foi vendida: menos preocupações operacionais e, de passagem, segurança que “já viria incluída”. A realidade tem resultado mais complexa. Infra-estruturas que mudam para cada minuto, APIs superpostas, implantaçãos efêmeros em contentores e ambientes multinube criaram lacunas de visibilidade que os equipamentos de segurança não podem ignorar.
A segurança na nuvem não se arruma por arte de magia; exige visibilidade. Quando as ferramentas de proteção nos endpoints falham em detectar técnicas avançadas ou os atacantes desativam sensores locais, o tráfego de rede torna-se uma testemunha independente e, frequentemente, na única maneira de reconstruir o que aconteceu. Organizações e especialistas há anos lembrando que os princípios de defesa em rede ainda estão vigentes mesmo em arquiteturas modernas: ver o tráfego permite detectar anomalias que os logs fragmentados não mostram.
Um obstáculo recorrente é a heterogeneidade dos registros nativos de cada fornecedor: campos distintos, estruturas incompatíveis e volumes massivos de chamadas a APIs dificultam a padronização e a análise. Por isso, muitos equipamentos encontram valor na telemetria de rede como “denominador comum”: os metadados e fluxos de rede são, essencialmente, comparáveis entre fornecedores e, além disso, são algo que os analistas de segurança já sabem interpretar rapidamente. Adicionar contexto de inventário na nuvem —contas, projetos, VPC/VNet, etiquetas de cluster ou pod— transforma esses fluxos em sinais com significado e facilita a pesquisa.
Para capturar essa evidência de forma confiável existem mecanismos bem documentados pelos grandes fornecedores. As VPC Flow Logs da AWS e sua função de tráfego espelho (traffic mirroring), o equivalente no Google Cloud para registros de fluxo de VPC e as capacidades da Network Watcher do Azure são peças concretas que permitem obter tanto visão ampla quanto profundidade de pacote quando necessário. Você pode revisar os guias oficiais da AWS ( VPC Flow Logs, Traffic Mirroring), Google Cloud ( VPC Flow Logs) e Microsoft Azure ( Network Watcher NSG Flow Logs).
A detecção baseada em rede (NDR) emerge como uma solução prática para unificar e normalizar essa telemetria entre nuvens e ambientes on-premise. Uma abordagem NDR bem integrada agrega enriquecimento contextual e expõe padrões de comunicação que indicam exfiltração, command & controle, criptominaria ou movimentos laterais dentro de clusters. Além disso, a coleta por espelho de tráfego e tapes virtuais é muito menos susceptível à manipulação por um atacante que tenha conseguido privilégios em um host.
Que comportamentos devem preocupar uma equipe de defesa? Comunicações salientes incomuns para portos ou protocolos atípicos, picos súbitos de transferência de um serviço que deveria ser estável, atividade interativa dentro de contêineres de produção (como sessões SSH ou RDP que não deveriam existir em ambientes imutávels), acessos a APIs ou regiões desconhecidas e sinais de descoberta entre serviços são todos indícios relevantes. Em muitos casos, estes traços são os que permitem ligar uma intrusão ao seu vetor inicial, por exemplo uma imagem de contentor comprometida ou um pacote malicioso introduzido na cadeia de abastecimento — um risco que autoridades como a CISA Eles apontaram como crítico para as organizações modernas.
A boa notícia é que o caminho para operacionalizar visibilidade na nuvem está traçado: começa por ativar registros de fluxo e mirroring para entender latência e fidelidade de cada fonte; centraliza a telemetria em uma plataforma única onde possa se padronizar e rotular com o contexto de inventário; estabelece linhas base de comportamento por papel, serviço e destino para poder distinguir ruído de anomalias verdadeiras; e afina essas regras iterativamente para reduzir falsos positivos sem perder sinais valiosos.
O monitoramento de egresso e a detecção precoce são chaves. Instrumentar os pontos de saída dos seus VPC/VNet permite captar tentativas de exfiltração ou comunicações com infra-estruturas de comando e controle. Paralelamente, a inspeção de metadados TLS, como SNI ou sujeitos de certificados, ajuda a identificar APIs ou endpoints geridos que deveriam ser familiares para um serviço; o primeiro acesso a um domínio ou região desconhecida deve disparar uma pesquisa.
Também é prudente procurar padrões concretos que delatem atividades maliciosas: conexões a pools de criptografia, picos regulares e “lento mas persistente” (low-and-slow) em transferências de dados, ou a presença de protocolos interativos onde não têm lugar. Quando um endpoint corporativo é comprometido, a correlação entre os registros desse dispositivo e a telemetria de egress na nuvem pode ser a peça que confirme a extensão do incidente.
Não se esqueça de validar a capacidade de detecção: a simulação de técnicas adversas e exercícios de rede team permitem verificar que os sinais esperados realmente aparecem na plataforma e que os playbooks de resposta funcionam. Este processo de “por-se nos sapatos do atacante” mantém os equipamentos honestos e evita confiar cegamente em controles que, em ambientes dinâmicos, podem ficar desatualizados.
A discussão sobre essas práticas foi o ponto de partida para um episódio do podcast DefeNDR em que conversaram especialistas do Corelight; a palestra oferece exemplos práticos e perspectiva sobre como aplicar o NDR em ambientes multinube (podes ouvir o episódio aqui: episódio de DefeNDR e a série completa em a página do podcast). Se você quiser aprofundar as soluções comerciais que combinam telemetria de rede com detecção e enriquecimento contextual, as plataformas do Open NDR oferecem um bom ponto de partida; por exemplo, o Corelight explica sua abordagem em sua página de Elite Defense.
Em suma, a segurança na nuvem é alcançável se voltarmos a olhar o fluxo da rede. Aplicar princípios clássicos de monitoramento e detecção às arquiteturas modernas, enriquecer os dados com contexto de inventário e validar continuamente as capacidades de detecção transforma a visibilidade em uma vantagem estratégica: não se trata de desmitificar a nuvem, mas de instrumentá-la para deixar de ser um território escuro e se tornar um ambiente controlável.
Para aqueles que querem apoiar essas práticas com marcos e recomendações, a literatura técnica é abundante: o NIST explica considerações e riscos de adotar serviços na nuvem ( NIST SP 800-144) e a matriz ATT&CK MITRE Ainda é uma referência para entender técnicas que os adversários usam tanto em ambientes tradicionais como na nuvem.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...