O Brasil registrou mais de 314 bilhões de atividades maliciosas apenas no primeiro semestre de 2025, segundo dados da Fortinet — o equivalente a 1.750 tentativas de ataque por segundo.
Ao mesmo tempo, o custo médio de uma violação de dados no país chegou a US$ 1,36 milhão por incidente em 2024, de acordo com o relatório anual da IBM. Para as pequenas e médias empresas, o cenário é ainda mais preocupante: 15% das PMEs vítimas de ransomware não conseguem retomar operações normais após um ataque.
Diante desse cenário, uma pergunta é inevitável: se um perito forense digital chegasse à sua rede agora, o que ele encontraria?
No artigo anterior sobre a profissão de perito forense digital, explicamos quem é esse especialista, como ele atua e quais crimes já foram solucionados por meio da forense digital.
Agora, vamos um passo além: mergulhamos no olhar técnico desse profissional para mostrar, ponto a ponto, o que ele analisa após uma invasão,e como a sua empresa pode se preparar antes que o pior aconteça.
O que um perito forense digital busca após uma invasão?
A forense digital de redes não é apenas investigação após o crime.
Em 2025, ela se tornou um componente estratégico da resiliência cibernética. Organizações com capacidades forenses estruturadas identificam a causa raiz de incidentes com mais rapidez, reduzem o tempo de recuperação e fortalecem sua postura de segurança de forma contínua.
O processo forense segue quatro princípios fundamentais: integridade (a evidência deve permanecer intacta desde a coleta), autenticidade (é preciso provar que a evidência é o que diz ser), repetibilidade (qualquer outro perito deve chegar ao mesmo resultado) e legalidade (tudo deve obedecer às leis locais, incluindo a LGPD).
Com esses princípios em mente, veja os 10 pontos que um perito forense examinaria na sua rede hoje.
1. Logs de acesso e autenticação
O primeiro passo de qualquer investigação forense em redes é a análise dos registros de autenticação. O perito busca tentativas de login em horários incomuns, acessos a partir de localizações geográficas suspeitas, múltiplas falhas seguidas de um acesso bem-sucedido, o clássico padrão de força bruta, e contas privilegiadas que foram acionadas fora do expediente normal.
Esses logs são a "linha do tempo" do ataque. Sem eles, é impossível reconstruir o caminho do invasor e apresentar provas válidas em um processo judicial ou regulatório.
O que o NGFW Starti registra: cada tentativa de autenticação, incluindo usuário, IP de origem, horário e resultado, com armazenamento estruturado e rastreável.
2. Tráfego de rede em busca de movimentação lateral
Após ganhar acesso inicial, a maioria dos atacantes não permanece no primeiro dispositivo comprometido. Eles realizam movimentação lateral — navegando pela rede interna em busca de dados valiosos, servidores críticos e credenciais de maior privilégio.
O perito forense examina o tráfego interno entre dispositivos em busca de padrões anômalos: um computador comum se comunicando diretamente com o servidor de banco de dados, volumes incomuns de dados sendo transferidos entre estações de trabalho ou protocolos raramente usados sendo acionados de repente.
Esse tipo de análise só é possível quando o firewall registra o tráfego interno com granularidade suficiente para identificar origem, destino, protocolo e volume.
3. Indicadores de Comprometimento (IOCs)
Os Indicadores de Comprometimento (IOCs) são as "impressões digitais" deixadas pelos atacantes: endereços IP maliciosos conhecidos, domínios suspeitos acessados, hashes de arquivos que correspondem a malwares catalogados e padrões de comportamento que correspondem a ataques documentados.
O perito cruza os logs da rede com bases de dados internacionais de IOCs para identificar se a empresa foi alvo de um grupo de ameaça específico, qual o vetor de entrada utilizado e se há comunicação ativa com servidores de comando e controle (C2) — o que indicaria que o ataque ainda está em curso.
Um NGFW com integração a feeds de threat intelligence realiza essa correlação automaticamente e em tempo real, gerando alertas que se tornam evidências documentadas.
4. Exfiltração de dados
Uma das perguntas mais críticas em qualquer investigação forense é: os dados saíram da empresa? A exfiltração, envio não autorizado de informações para o exterior, frequentemente passa despercebida por dias ou semanas.
O perito analisa volumes de dados transferidos para destinos externos, conexões com serviços de armazenamento em nuvem não autorizados, uso de protocolos de tunelamento para disfarçar o tráfego malicioso e transferências em horários de baixo movimento na rede.
Sob a LGPD, detectar e documentar uma exfiltração de dados é obrigatório para fins de notificação à ANPD. Sem logs que comprovem o que saiu, quando e para onde, a empresa fica em posição juridicamente vulnerável.
5. Alterações em configurações e políticas de segurança
Invasores sofisticados não querem apenas roubar dados, eles querem persistir na rede.
Para isso, frequentemente alteram configurações de segurança: desativam regras de firewall, criam contas de backdoor, modificam políticas de grupo e instalam serviços que iniciam automaticamente.
O perito busca alterações não autorizadas em arquivos de configuração, criação de contas privilegiadas sem registro de chamado técnico, modificações nas regras do firewall e qualquer mudança em configurações de segurança que não corresponda a janelas de manutenção documentadas.
Um firewall que registra toda e qualquer alteração em suas políticas, com timestamp, usuário responsável e descrição da mudança, fornece ao perito uma linha do tempo clara de quando e como a segurança foi comprometida.
6. Análise de DNS e requisições suspeitas
O DNS é frequentemente subestimado como vetor de ataque e fonte de evidências.
Muitos malwares utilizam consultas DNS para se comunicar com servidores de comando e controle, técnica conhecida como DNS tunneling. Ransomwares modernos frequentemente realizam centenas de consultas DNS a domínios gerados algoritmicamente antes de iniciar a criptografia de arquivos.
O perito analisa o histórico de consultas DNS em busca de domínios recém-registrados acessados pela rede, alto volume de consultas para domínios com nomes aparentemente aleatórios, consultas a domínios categorizados como maliciosos e padrões de comunicação que sugerem beaconing, check-ins periódicos de malware com o servidor do atacante.
7. Tráfego criptografado e inspeção SSL/TLS
Mais de 90% do tráfego web atual é criptografado. Isso é ótimo para a privacidade dos usuários, mas cria um ponto cego crítico para equipes de segurança que dependem apenas de firewalls tradicionais. Atacantes exploram exatamente esse ponto cego para ocultar comunicações maliciosas dentro de conexões HTTPS aparentemente legítimas.
O perito forense verifica se a empresa tinha capacidade de inspeção SSL/TLS e, se sim, examina os registros desse tráfego inspecionado em busca de anomalias. A ausência dessa capacidade pode significar que evidências críticas simplesmente não existem, dificultando a reconstrução do ataque.
NGFWs modernos, como o Starti, realizam inspeção deep packet (DPI) mesmo em tráfego criptografado, registrando o que foi transmitido sem expor o conteúdo dos usuários legítimos.
8. Logs de aplicações e controle de uso
O controle de aplicações é uma camada frequentemente ignorada por firewalls tradicionais, mas que representa uma mina de ouro forense.
O perito busca quais aplicações foram utilizadas, por quem e quando — com foco especial em aplicações não autorizadas, ferramentas de administração remota instaladas sem permissão e uso de aplicativos de compartilhamento de arquivos para exfiltração.
Ferramentas legítimas de acesso remoto, como TeamViewer ou AnyDesk, são frequentemente utilizadas por atacantes que já obtiveram acesso inicial, pois são menos suspeitas que ferramentas de hacking conhecidas.
Um NGFW com controle de aplicações na camada 7 registra todo esse tráfego de forma associada ao usuário real, não apenas ao endereço IP.
9. Integridade da cadeia de custódia dos logs
Este ponto diferencia uma investigação forense séria de um relatório de TI comum: a cadeia de custódia. Para que logs sejam aceitos como prova em processos judiciais — seja uma ação contra um invasor, uma disputa trabalhista ou uma auditoria regulatória — é preciso provar que não foram alterados após o incidente.
O perito verifica se os logs foram armazenados em local separado e protegido, se há timestamps confiáveis com sincronização de tempo (NTP), se existe controle de acesso sobre quem pode ler e modificar os registros e se os logs possuem hashes criptográficos que comprovam sua integridade.
Uma pesquisa da ICTS Protiviti de 2024 revelou que apenas 30% das empresas brasileiras possuem processos de perícia forense estruturados. A falta de uma cadeia de custódia adequada é uma das principais razões pelas quais evidências coletadas nunca chegam a um tribunal.
10. Visibilidade de identidade: quem estava na rede e o que fez
Por fim, o perito precisa responder à pergunta mais fundamental: quem fez o quê?
Endereços IP sozinhos não são suficientes, precisam ser associados a usuários reais, dispositivos específicos e funções na organização.
O perito analisa a integração do firewall com diretórios corporativos como Active Directory, os registros de VPN que associam sessões a usuários nominais, os logs de DHCP que mapeiam IPs a dispositivos e os registros de autenticação multifator que confirmam identidades.
Sem essa camada de identidade, mesmo que todos os outros logs estejam disponíveis, a investigação forense enfrenta um obstáculo sério: provar que foi uma pessoa específica, e não apenas um dispositivo, que realizou determinada ação.
Por que o Edge Protect facilita a perícia e a defesa legal?
Cada um dos 10 pontos acima depende de uma condição fundamental: logs existirem, serem completos e serem confiáveis.
Essa é a diferença entre uma investigação forense que resulta em provas sólidas e um incidente que nunca é completamente elucidado.
O NGFW Starti foi desenvolvido com essa realidade em mente. Seus registros cobrem autenticação de usuários, controle de aplicações na camada 7, inspeção de tráfego criptografado SSL/TLS, integração com Active Directory para rastreabilidade de identidade, correlação com feeds de threat intelligence e alertas baseados em comportamento anômalo.
Para MSPs que atendem PMEs, isso significa poder oferecer ao cliente um nível de visibilidade e documentação que vai além da proteção em tempo real: é a capacidade de reconstruir o que aconteceu, provar o ocorrido perante autoridades e reduzir a exposição legal em caso de violação de dados.
A prevenção como primeiro passo da perícia
Existe uma ironia na forense digital: o melhor momento para preparar a investigação de um incidente é antes de ele acontecer.
Logs configurados corretamente, políticas de retenção definidas, cadeia de custódia estabelecida — tudo isso precisa estar em ordem antes da invasão, não depois.
Para gestores de TI em PMEs e os MSPs que os atendem, a pergunta não é se um perito forense precisará analisar a rede algum dia. A pergunta é se, quando esse dia chegar, haverá evidências suficientes para identificar o atacante, comprovar os danos e sustentar uma resposta legal eficaz.
Com 73% das empresas brasileiras já tendo sido vítimas de ransomware em 2024 e ataques crescendo 67% ao ano no país, essa não é uma questão de pessimismo, é de preparação responsável.
Quer saber como o Edge Protect pode estruturar a capacidade forense da sua rede? Agende uma demostração e descubra agora:
