# M1030 — Network Segmentation ## Visão Geral *Fonte: [MITRE ATT&CK — M1030](https://attack.mitre.org/mitigations/M1030)* ## Descrição A segmentação de rede consiste em dividir uma rede em segmentos menores e isolados para controlar e limitar o fluxo de tráfego entre dispositivos, sistemas e aplicações. Ao segmentar redes, as organizações podem reduzir a superfície de ataque, restringir o movimento lateral de adversários e proteger ativos críticos contra comprometimento. A segmentação de rede eficaz utiliza uma combinação de fronteiras físicas, separação lógica via VLANs e políticas de controle de acesso aplicadas por appliances de rede como firewalls, roteadores e configurações baseadas em cloud. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["📋 Inventariar ativos<br/>e classificar por risco"] --> B["🗂️ Definir zonas<br/>DMZ / Interna / OT / Cloud"] B --> C["🔀 Implementar VLANs<br/>+ Firewalls de borda"] C --> D["🔬 Microsegmentação<br/>SDN por workload"] D --> E["📊 Monitorar fluxos<br/>leste-oeste e norte-sul"] E --> F["🔁 Revisar e testar<br/>regras periodicamente"] ``` Segmentar Sistemas Críticos: - Identifique e agrupe sistemas com base em sua função, sensibilidade e risco. Exemplos incluem sistemas de pagamento, bancos de dados de RH, sistemas de produção e servidores expostos à internet. - Use VLANs, firewalls ou roteadores para aplicar a separação lógica. Implementar DMZ para Serviços Expostos: - Hospede servidores web, servidores DNS e servidores de e-mail em uma DMZ para limitar seu acesso aos sistemas internos. - Aplique regras rígidas de firewall para filtrar o tráfego entre a DMZ e as redes internas. Usar Segmentação Baseada em Cloud: - Em ambientes cloud, utilize VPCs, sub-redes e grupos de segurança para isolar aplicações e aplicar regras de tráfego. - Aplique AWS Transit Gateway ou Azure VNet peering para conectividade controlada entre segmentos cloud. Aplicar Microssegmentação para Workloads: - Use ferramentas de software-defined networking (SDN) para implementar segmentação em nível de workload e prevenir o movimento lateral. Restringir Tráfego com ACLs e Firewalls: - Aplique Listas de Controle de Acesso (ACLs) a dispositivos de rede para aplicar políticas de "negar por padrão". - Use firewalls para restringir tanto o tráfego norte-sul (externo-interno) quanto o leste-oeste (interno-interno). Monitorar e Auditar Redes Segmentadas: - Revise periodicamente regras de firewall, ACLs e políticas de segmentação. - Monitore fluxos de rede em busca de anomalias para garantir que a segmentação seja eficaz. Testar a Eficácia da Segmentação: - Realize testes de penetração periódicos para verificar que o acesso não autorizado entre segmentos de rede está bloqueado. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1565.003 | [[t1565-003-runtime-data-manipulation\|T1565.003 — Runtime Data Manipulation]] | | T1613 | [[t1613-container-and-resource-discovery\|T1613 — Container and Resource Discovery]] | | T1098 | [[t1098-account-manipulation\|T1098 — Account Manipulation]] | | T1136 | [[t1136-create-account\|T1136 — Create Account]] | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | | T1190 | [[t1190-exploit-public-facing-application\|T1190 — Exploit Public-Facing Application]] | | T1602.002 | [[t1602-002-network-device-configuration-dump\|T1602.002 — Network Device Configuration Dump]] | | T1136.003 | [[t1136-003-cloud-account\|T1136.003 — Cloud Account]] | | T1563.002 | [[t1563-002-rdp-hijacking\|T1563.002 — RDP Hijacking]] | | T1489 | [[t1489-service-stop\|T1489 — Service Stop]] | | T1210 | [[t1210-exploitation-of-remote-services\|T1210 — Exploitation of Remote Services]] | | T1048 | [[t1048-exfiltration-over-alternative-protocol\|T1048 — Exfiltration Over Alternative Protocol]] | | T1612 | [[t1612-build-image-on-host\|T1612 — Build Image on Host]] | | T1482 | [[t1482-domain-trust-discovery\|T1482 — Domain Trust Discovery]] | | T1098.001 | [[t1098-001-additional-cloud-credentials\|T1098.001 — Additional Cloud Credentials]] | | T1610 | [[t1610-deploy-container\|T1610 — Deploy Container]] | | T1046 | [[t1046-network-service-discovery\|T1046 — Network Service Discovery]] | | T1563 | [[t1563-remote-service-session-hijacking\|T1563 — Remote Service Session Hijacking]] | | T1571 | [[t1571-non-standard-port\|T1571 — Non-Standard Port]] | | T1133 | [[t1133-external-remote-services\|T1133 — External Remote Services]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1669 | [[t1669-wi-fi-networks\|T1669 — Wi-Fi Networks]] | | T1021.003 | [[t1021-003-distributed-component-object-model\|T1021.003 — Distributed Component Object Model]] | | T1048.002 | [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol\|T1048.002 — Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] | | T1557 | [[t1557-adversary-in-the-middle\|T1557 — Adversary-in-the-Middle]] | | T1552.007 | [[t1552-007-container-api\|T1552.007 — Container API]] | | T1602 | [[t1602-data-from-configuration-repository\|T1602 — Data from Configuration Repository]] | | T1048.003 | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003 — Exfiltration Over Unencrypted Non-C2 Protocol]] | | T1095 | [[t1095-non-application-layer-protocol\|T1095 — Non-Application Layer Protocol]] | | T1565 | [[t1565-data-manipulation\|T1565 — Data Manipulation]] | | T1602.001 | [[t1602-001-snmp-mib-dump\|T1602.001 — SNMP (MIB Dump)]] | | T1557.001 | [[t1557-001-llmnrnbt-ns-poisoning-and-smb-relay\|T1557.001 — LLMNR/NBT-NS Poisoning and SMB Relay]] | | T1021.006 | [[t1021-006-windows-remote-management\|T1021.006 — Windows Remote Management]] | | T1048.001 | [[t1048-001-exfiltration-over-symmetric-encrypted-non-c2-protocol\|T1048.001 — Exfiltration Over Symmetric Encrypted Non-C2 Protocol]] | | T1136.002 | [[t1136-002-domain-account\|T1136.002 — Domain Account]] | | T1040 | [[t1040-network-sniffing\|T1040 — Network Sniffing]] | | T1199 | [[t1199-trusted-relationship\|T1199 — Trusted Relationship]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A segmentação de rede é obrigatória para instituições financeiras reguladas pelo BACEN 4893/2021 e pelo PCI-DSS, tendo alta adoção em bancos e processadoras de pagamento do Brasil. Entretanto, em setores como saúde, educação e varejo, redes planas sem segmentação significativa ainda são comuns — facilitando o movimento lateral de ransomware como [[lockbit]] e [[g1024-akira]], que foram amplamente reportados afetando organizações brasileiras em 2024-2025. A migração para cloud híbrida aumenta a complexidade da segmentação entre ambientes on-prem e AWS/Azure. > - Adoção em SOCs brasileiros: alto (financeiro), médio (outros setores) > - Regulamentações relevantes: BACEN 4893/2021, PCI-DSS v4.0 (Req. 1), LGPD, ANATEL (redes de telecomúnicações) > - Desafios regionais: legado de redes planas em infraestruturas antigas, custo de refatoração de topologia, falta de visibilidade de fluxos leste-oeste em ambientes cloud