Há quase vinte anos, praticamente nesta mesma época, a Amazon Web Services (AWS) lançou o Amazon S3. Alguns meses depois, o serviço Amazon EC2 entrou em fase beta pública antes de ser oficialmente disponibilizado em 2008. Esses marcos inauguraram a era moderna do armazenamento e da computação sob demanda na nuvem, transformando profundamente a forma como empresas e organizações de todos os portes estruturam sua infraestrutura de TI.
Atualmente, é difícil encontrar empresas que não tenham migrado ao menos parte de suas workloads para a nuvem, ou que não estejam prestes a fazer isso. Algumas já operam integralmente nesse modelo, enquanto muitas outras adotam abordagens híbridas, combinando workloads em ambientes cloud, frequentemente em estratégias multicloud, com recursos on-premises que ainda permanecem essenciais.
Apesar das diferenças, há um ponto em comum que merece atenção: a proliferação de máquinas virtuais, conhecida como VM sprawl, caracterizada pelo crescimento descontrolado desses ambientes, que muitas vezes acabam negligenciados e sem a devida gestão.
Um problema que cresce sem controle
Em muitas empresas, especialmente naquelas com ambientes multicloud que envolvem Amazon Web Services, Microsoft Azure, Google Cloud Platform e outros provedores, essa proliferação resulta em um acúmulo crescente de workloads fora do alcance das operações de cibersegurança. Os provedores até oferecem proteções básicas, mas a responsabilidade contínua recai sobre o cliente. Na prática, muitas dessas máquinas virtuais nem sequer recebem atualizações do sistema operacional; pior ainda, frequentemente não são monitoradas e seguem com políticas de acesso inalteradas desde o momento em que foram criadas. Esse cenário aumenta o risco de que uma máquina virtual se torne um ponto vulnerável e fora de controle, permanecendo invisível até que seja tarde demais.
A visibilidade no ambiente de nuvem continua sendo um desafio persistente, já que apenas cerca de 23% das empresas afirmam ter uma visão abrangente de sua presença na nuvem. O crescimento descontrolado de ativos, incluindo grandes volumes de máquinas virtuais, é um dos principais fatores por trás desse cenário. Os vetores de ataque mais comuns, como buckets de armazenamento mal configurados e APIs expostas, dominam os relatos de vazamentos, em parte por gerarem sinais visíveis externamente. Já a exploração de máquinas virtuais ocorre de forma mais sutil, dentro do próprio ambiente; por exemplo, uma identidade gerenciada que consulta um serviço de armazenamento em nuvem dificilmente gera os mesmos alertas que um endereço IP externo tentando realizar um login.
Um relatório recente da Cloud Security Alliance (CSA) apontou configurações incorretas e controles de mudança inadequados como as principais ameaças aos recursos em nuvem, seguidos por fragilidades em gestão de identidade e acesso (IAM). Esse cenário reflete a natureza orientada por identidades dos ambientes cloud, nos quais tanto a própria máquina virtual quanto os recursos que ela pode acessar exigem atenção. De acordo com o relatório State of Multicloud Security 2024, da Microsoft, as identidades de workloads atribuídas a máquinas virtuais e a outros recursos não humanos já superam amplamente as identidades humanas. E essa diferença só tende a aumentar à medida que as empresas expandem seus recursos computacionais.
A realidade, no entanto, costuma ser bem mais simples. Imagine um engenheiro de machine learning que provisiona uma máquina virtual para tarefas de processamento de dados. A máquina recebe uma identidade, mas como definir permissões seguindo o princípio do menor privilégio demandaria mais tempo, ela acaba recebendo acesso amplo de leitura e gravação a armazenamentos e outros recursos. O projeto chega ao fim, mas essas máquinas virtuais com permissões excessivas permanecem ativas, essencialmente abandonadas e operando sem supervisão adequada.
Conheça a mais nova solução para proteção de workloads em nuvem da ESET:
Abandonadas à própria sorte
Uma máquina virtual esquecida pode fazer mais do que simplesmente “juntar poeira”. Como cada máquina virtual está associada a uma identidade que define o que ela pode acessar no ambiente, instâncias abandonadas podem ser exploradas por cibercriminosos para obter um ponto inicial de acesso. Em muitos casos, máquinas virtuais dentro da mesma nuvem privada virtual (VPC) ou rede virtual (VNet) conseguem se comunicar lateralmente com poucas restrições, o chamado movimento “east-west”. Assim, uma máquina virtual comprometida pode sondar instâncias vizinhas, acessar bancos de dados internos ou serviços de armazenamento e explorar as permissões que recebeu. Não por acaso, a microssegmentação de rede ainda é vista como um desafio complexo para muitas empresas.
Em ambientes híbridos, com identidades híbridas, o cenário se torna ainda mais delicado. Quando um Active Directory local é sincronizado com o Microsoft Entra ID, por exemplo, uma máquina virtual comprometida no Microsoft Azure e vinculada a esse ambiente de identidade pode acessar compartilhamentos de arquivos, bancos de dados, aplicativos e outros recursos críticos da infraestrutura on-premises.
Exemplos reais de ataques envolvendo máquinas virtuais não faltam. Em uma dessas campanhas, cibercriminosos se movimentaram entre instâncias do Amazon EC2 por meio do protocolo RDP interno, organizaram centenas de gigabytes de dados exfiltrados em múltiplas máquinas virtuais e, em seguida, executaram ransomware dentro da rede em nuvem. Embora a atividade tenha sido detectada, a resposta automatizada não estava devidamente configurada para contê-la, permitindo que o ataque fosse concluído.
Outros grupos cibercriminosos exploram justamente a facilidade de criação dessas máquinas. A Microsoft já documentou campanhas em que contas comprometidas no Azure foram utilizadas para provisionar máquinas virtuais de curta duração como infraestrutura descartável de ataque. Como o tráfego partia de endereços IP legítimos associados à plataforma, muitos alertas acabaram sendo ignorados como falsos positivos.
Combatendo o ciclo de criação e descaso
É bastante provável que suas equipes de TI e cibersegurança sejam enxutas e precisem lidar com proteção enquanto acumulam outras responsabilidades. Isso influencia diretamente quais ferramentas funcionam nesse contexto. Soluções de segurança digital que exigem conhecimento profundo de plataformas específicas, processos complexos de implantação e múltiplas ferramentas para gerenciar diferentes partes da infraestrutura podem não ser adequadas e, pior, podem deixar passar justamente o aspecto mais crítico da proliferação de máquinas virtuais.
O cenário se complica ainda mais quando um incidente envolve exploração de identidade. Um cibercriminoso operando a partir de uma máquina virtual comprometida pode não realizar nenhuma ação aparentemente suspeita dentro da própria máquina, ao usar sua identidade para acessar recursos na nuvem ou on-premises. Detectar essa anomalia exige correlacionar o que acontece na máquina virtual com o comportamento da identidade associada a ela em todo o ambiente. Esse tipo de visibilidade depende de integrações com soluções como o Microsoft Entra ID e o Active Directory.
A velocidade também é um fator decisivo. Quando um workload comprometido na nuvem consegue acessar recursos on-premises por meio de uma cadeia de identidades integradas, o tempo entre a invasão inicial e a ocorrência de prejuízos relevantes pode ser mínimo. Nesse contexto, a capacidade de isolar automaticamente uma máquina virtual antes do início do movimento lateral precisa ser imediata e contínua. É justamente nesse tipo de cenário que a correlação orientada por IA e a detecção em tempo de execução se tornam essenciais, já que monitorar manualmente todos os workloads, em tempo real e de forma ininterrupta, é simplesmente inviável.
As consequências de ataques bem-sucedidos são significativas. Segundo uma pesquisa recente, uma em cada três pequenas e médias empresas relatou ter recebido multas substanciais após um ciberataque. Isso reforça que a não conformidade pode gerar impactos financeiros diretos. Normas como o NIST 800-53 e o PCI DSS 4.0 estão cada vez mais específicas em relação à segurança de workloads em nuvem, exigindo que as identidades atribuídas a esses recursos sejam corretamente configuradas e continuamente monitoradas. Demonstrar controles de acesso em servidores que hospedam dados sensíveis já não é suficiente quando o risco está na camada de identidade.
Enquanto isso, o relatório Cost of a Data Breach 2025, da IBM, aponta que 30% dos vazamentos de dados afetaram dados distribuídos em múltiplos ambientes, evidenciando os desafios que as organizações enfrentam para proteger ativos em cenários híbridos e multicloud. Uma parcela relevante dos custos está associada ao tempo entre a invasão e sua detecção, conhecido como dwell time. Organizações sem visibilidade adequada tendem a descobrir incidentes por sinais externos, como reclamações de clientes, quando o invasor já teve semanas ou até meses de acesso ao ambiente.
Proteção das máquinas virtuais
As máquinas virtuais estão entre os recursos mais antigos e amplamente utilizados na computação em nuvem moderna. A proliferação dessas máquinas cresce de forma silenciosa e, muitas vezes, só se torna evidente quando algo já deu errado. Workloads desprotegidos carregam identidades e se comunicam entre si e com recursos on-premises em padrões de tráfego que nem todos os controles de segurança conseguem observar ou bloquear.
Como ponto de partida, toda empresa ou organização deve mapear seu parque de máquinas virtuais em todas as plataformas de nuvem, revisar as permissões associadas à identidade de cada máquina e auditar configurações que permitam exposições desnecessárias, tanto no tráfego lateral quanto no acesso externo. Em cibersegurança, segmentação e controle continuam sendo fundamentais.
Para empresas que operam em ambientes híbridos, a questão central é saber se suas ferramentas de segurança conseguem monitorar máquinas virtuais com o mesmo nível de rigor aplicado aos endpoints corporativos e a outros componentes da infraestrutura. Só assim será possível ter visibilidade completa e proteger os dados de forma consistente em diferentes ambientes.
