Iniciante Fundamentos
Defesa em Profundidade
Defesa em profundidade é o princípio de nunca depender de um único controle de segurança. Se uma camada falhar, a próxima ainda protege.
A analogia do castelo
Castelo medieval:
1. Fosso → dificulta aproximação
2. Muralha → barreira primária
3. Torres de vigia → detecção de invasores
4. Portão com guarda → controle de acesso
5. Keep (torre central) → último refúgio
Se o fosso secar, ainda há a muralha.
Se a muralha cair, ainda há as torres de vigia.O mesmo raciocínio se aplica a sistemas digitais.
Camadas em um sistema web típico
[Internet]
│
▼
[Firewall de borda / WAF] ← camada 1: filtra tráfego malicioso
│
▼
[CDN / DDoS mitigation] ← camada 2: absorve volumetria
│
▼
[Load Balancer + TLS termination] ← camada 3: criptografia em trânsito
│
▼
[API Gateway + autenticação] ← camada 4: valida identidade
│
▼
[Serviço de aplicação] ← camada 5: autorização por função
│
▼
[Banco de dados criptografado] ← camada 6: dado protegido em repousoExemplo prático: ataque de credencial comprometida
Atacante tem usuário e senha de um funcionário.
Camada 1 — MFA bloqueia: senha sozinha não basta
Camada 2 — IP incomum gera alerta (UEBA)
Camada 3 — RBAC limita: usuário só acessa seus dados
Camada 4 — Logs auditam cada ação
Camada 5 — Anomalia detectada → sessão revogada automaticamenteMesmo com credencial válida, o atacante encontra barreiras em cada passo.
Controles por categoria
Preventivos → firewall, MFA, criptografia, RBAC
Detectivos → SIEM, IDS, logs de auditoria, UEBA
Responsivos → bloqueio automático, quarentena, alerta SOC
Recuperação → backup, DRP, runbook de incidenteO erro comum
Investir pesado em perímetro (firewall) e negligenciar controles internos. Quando o atacante atravessa o firewall (via phishing, VPN comprometida), encontra caminho livre por dentro.
Conclusão
Defesa em profundidade não elimina ataques — reduz a probabilidade de sucesso e limita o impacto quando ocorrem. Cada camada adicional aumenta o custo e o tempo necessário para o atacante avançar.