Enquanto você lê este artigo, é provável que credenciais de colaboradores da sua organização estejam circulando em fóruns clandestinos, bases de dados vazadas ou logs de malware. A questão não é se existe exposição. A questão é se você tem visibilidade sobre ela.
Threat Intelligence, ou Inteligência de Ameaças, é a disciplina que transforma dados brutos sobre ameaças externas em informação útil para proteger uma organização. E monitoramento da dark web é uma das suas aplicações mais importantes.
O que é Threat Intelligence
De forma direta, Threat Intelligence é o processo de coletar, analisar e entregar informações sobre ameaças que possam afetar sua empresa. Essas ameaças existem fora do perímetro da organização, em lugares como a dark web, fóruns clandestinos, bases de credenciais vazadas e logs de malware. Ferramentas tradicionais como firewalls, EDRs e SIEMs simplesmente não enxergam esse território.
A inteligência de ameaças opera em três níveis. O estratégico traz uma visão de alto nível sobre tendências de ameaça e grupos de ataque relevantes para o setor, direcionada a CISOs e liderança para orientar investimentos. O tático foca nas técnicas que adversários usam na prática, ajudando equipes de SOC e blue team a melhorar detecção. E o operacional entrega dados concretos e acionáveis como credenciais expostas, domínios de phishing recém-registrados e menções à organização em fontes clandestinas.
Por que ferramentas internas não bastam
A maioria das empresas investe em segurança focada no perímetro: antivírus, firewall, IDS/IPS, SIEM, políticas de senha, MFA. Tudo isso é essencial, mas tem um ponto cego estrutural: monitora apenas o que acontece dentro do ambiente controlado.
Nenhuma dessas ferramentas detecta se credenciais corporativas foram vazadas num breach de terceiros. Nenhuma identifica se alguém registrou um domínio idêntico ao da empresa para aplicar golpes. Nenhuma alerta se dados sensíveis estão à venda num fórum da dark web. E nenhuma avisa se um infostealer no computador pessoal de um colaborador capturou cookies de sessão e tokens da VPN corporativa.
É justamente nesse espaço entre o perímetro protegido e o mundo externo que a Threat Intelligence atua.
O que é a dark web e por que ela importa
A dark web é a parte da internet acessível apenas via redes de anonimato como Tor. Hospeda fóruns, marketplaces e canais de comunicação usados por criminosos para comercializar dados roubados, ferramentas de ataque e serviços ilícitos.
Para organizações, a dark web importa por vários motivos práticos. É onde credenciais corporativas são vendidas em bases de dados compiladas de breaches, às vezes por poucos dólares. É onde dados de infostealer circulam, capturados por malware como RedLine, Raccoon e Vidar que rouba senhas salvas no navegador, cookies de sessão e tokens de acesso. É onde ataques são planejados, com criminosos discutindo alvos e compartilhando reconhecimento. E é onde dados exfiltrados são publicados após ataques de ransomware, como forma de pressão para pagamento de resgate.
Como funciona o monitoramento na prática
Uma plataforma de Threat Intelligence faz três coisas continuamente.
Na etapa de coleta, ingere dados de múltiplas fontes externas: fóruns da dark web, canais de Telegram, marketplaces clandestinos, paste sites, bases de credenciais, logs de infostealer, registros de domínios, certificados SSL e fontes OSINT. Isso roda 24 horas por dia, 7 dias por semana.
Na etapa de análise, os dados são correlacionados com os ativos da organização (domínios, e-mails, IPs, nomes de marca). Cada ocorrência é classificada por impacto, criticidade e probabilidade de exploração. Ruído e duplicatas são filtrados automaticamente.
Na etapa de entrega, alertas priorizados chegam às equipes responsáveis com contexto suficiente para agir na hora. Um alerta de credencial exposta inclui o e-mail afetado, a fonte da exposição, a data do vazamento e se a senha ainda é válida em algum sistema ativo.
O que vale a pena monitorar
Credenciais corporativas. E-mails e senhas de colaboradores que apareceram em breaches de terceiros, logs de infostealer e bases compiladas. Cada credencial deveria ser correlacionada com sistemas internos para avaliar o risco real.
Domínios e marca. Registro de domínios que imitam o da organização (typosquatting), páginas de phishing usando a marca da empresa e menções em fontes clandestinas. Detecção precoce permite derrubar a fraude antes que atinja clientes.
Superfície de ataque externa. Todos os ativos acessíveis pela internet: subdomínios, IPs, portas abertas, serviços e tecnologias expostas. Inclusive aquilo que o time de TI nem sabe que existe (shadow IT).
Vulnerabilidades em ativos expostos. CVEs identificados nos ativos externos, priorizados pela probabilidade real de exploração, não apenas pelo score CVSS.
Configurações de e-mail. Validação contínua de SPF, DKIM e DMARC, que são as configurações que protegem contra falsificação de e-mail. Esse é um vetor central em ataques de BEC e spear phishing.
O problema das credenciais vazadas
Para dimensionar a questão: estima-se que mais de 24 bilhões de credenciais comprometidas circulam em mercados clandestinos. Cada novo breach adiciona milhões de combinações de e-mail e senha a essas bases.
O risco concreto para organizações é a reutilização de senhas. Quando um colaborador usa a mesma senha no LinkedIn (que já sofreu breach) e na VPN corporativa, o atacante não precisa de nenhuma técnica sofisticada. Basta testar credenciais já expostas contra os portais da empresa. Essa técnica se chama credential stuffing e é executada de forma totalmente automatizada.
MFA ajuda muito, mas não resolve tudo. Nem todos os sistemas têm MFA ativo, e existem técnicas de bypass (como roubo de tokens via infostealer) que tornam o monitoramento de credenciais relevante mesmo quando MFA está habilitado.
Métricas que colocam o problema em perspectiva
O custo médio de uma violação de dados no Brasil é de aproximadamente R$ 7 milhões. O tempo médio para identificar uma violação sem monitoramento proativo é de 194 dias. E cada dia adicional entre a exposição e a detecção aumenta o custo do incidente.
Organizações que investem em Threat Intelligence conseguem reduzir esse intervalo de forma drástica, detectando exposições em horas ou dias em vez de meses.
Como avaliar uma solução de Threat Intelligence
Se você está avaliando uma plataforma para sua empresa, vale prestar atenção em alguns pontos que separam soluções sérias de dashboards bonitos sem substância.
Primeiro, cobertura de fontes. A plataforma monitora apenas a surface web ou também cobre dark web, deep web, fóruns fechados e logs de infostealer?
Segundo, correlação com ativos. Os alertas são genéricos ou correlacionados com os domínios, e-mails e sistemas específicos da sua organização?
Terceiro, priorização por contexto. Você recebe uma lista interminável de alertas ou a plataforma prioriza pelo impacto real no seu contexto?
Quarto, tempo de alerta. Qual o intervalo entre a detecção de uma exposição e o alerta à equipe? Horas, dias ou semanas?
Quinto, integrações. A plataforma se conecta com ferramentas existentes como SIEM, SOAR, Slack, Telegram e e-mail?
Sexto, relatórios para compliance. Gera evidências estruturadas para auditorias de LGPD, ISO 27001 e GDPR?
Prevenção, não reação
A maioria das organizações descobre que foi comprometida quando já é tarde. Os dados já foram roubados, o ransomware já criptografou os servidores, o cliente já caiu no golpe de phishing.
Threat Intelligence inverte essa lógica. Em vez de reagir a incidentes, a organização monitora o ambiente externo continuamente em busca de sinais que antecedem ataques: credenciais expostas, domínios fraudulentos, vulnerabilidades exploráveis, menções em fóruns clandestinos.
O custo de monitorar é uma fração do custo de remediar. E o tempo entre a exposição e a contenção é a variável que mais impacta o custo final de qualquer incidente de segurança.
