O que é Extended Threat Intelligence (XTI)?

Extended Threat Intelligence (XTI) é uma abordagem de segurança que monitora ameaças fora do perímetro da organização — como dark web, fóruns clandestinos, bases de credenciais vazadas e superfície de ataque externa. Ao contrário de ferramentas tradicionais como SIEM e firewall, que monitoram apenas o ambiente interno, o XTI detecta riscos antes que se tornem incidentes.

Como o BreachFinder monitora credenciais vazadas?

O BreachFinder coleta dados de dark web, fóruns clandestinos, logs de infostealer e bases de credenciais comprometidas — indexando mais de 15 bilhões de registros. Quando credenciais associadas ao domínio da sua organização são detectadas, o sistema gera um alerta priorizado em menos de 1 hora, com contexto de impacto e recomendação de ação.

Quanto tempo leva para detectar uma credencial exposta?

O BreachFinder emite alertas em menos de 1 hora após a detecção de uma credencial exposta. A média do setor para detecção de violações é de 194 dias (IBM 2024). Essa diferença significa que sua equipe pode agir muito antes de um atacante explorar a exposição.

O BreachFinder ajuda com conformidade com a LGPD?

Sim. O BreachFinder gera evidências estruturadas de monitoramento e incidentes que podem ser utilizadas em auditorias de LGPD, ISO 27001 e outros frameworks de conformidade. O histórico de alertas e relatórios executivos fornece documentação pronta para apresentação a reguladores e comitês de auditoria.

Qual a diferença entre o BreachFinder e um SIEM?

Um SIEM monitora logs e eventos internos da organização — endpoints, servidores e redes. O BreachFinder monitora o ambiente externo: dark web, credenciais vazadas, phishing, vulnerabilidades expostas e superfície de ataque. As duas ferramentas são complementares: o SIEM detecta incidentes internos, o BreachFinder detecta exposições externas antes que se tornem incidentes.

O BreachFinder tem programa de parceiros para MSSPs?

Sim. O BreachFinder oferece um programa de parceiros para MSSPs, consultorias de segurança e integradores de TI. O programa inclui entrega white-label, painel multi-tenant para gestão de múltiplos clientes, modelos flexíveis de receita e suporte dedicado da equipe XPSec.

Monitoramento de dark web para empresas: o que é monitorado e por que importa

Quando a maioria das pessoas pensa em dark web, pensa em anonimato absoluto e conteúdo ilegal inacessível. A realidade do dia a dia dos profissionais de segurança corporativa é bem mais mundana e por isso mais preocupante: a dark web é, em grande parte, um mercado. Um mercado onde dados corporativos, credenciais de acesso e ferramentas de ataque são comprados e vendidos com a mesma lógica transacional que qualquer comércio.

Para organizações que levam segurança a sério, monitorar o que acontece nesses mercados não é opcional. É parte fundamental da inteligência de ameaças.

O que realmente é a "dark web" no contexto corporativo

O termo dark web é frequentemente usado de forma imprecisa. Para fins de monitoramento corporativo, o universo relevante é mais amplo:

Dark web propriamente dita inclui sites que só são acessíveis via redes como Tor. Aqui estão os grandes marketplaces de dados roubados, fóruns de hackers com acesso restrito, e serviços de venda de acesso inicial a redes corporativas comprometidas.

Deep web engloba conteúdo indexado de forma restrita ou não indexado por mecanismos de busca públicos. Fóruns privados, plataformas de compartilhamento de arquivos com acesso restrito e bases de dados comprometidas que circulam em ambientes semiclandestinos.

Canais fechados em plataformas públicas são talvez os mais relevantes em termos de volume. Grupos do Telegram com acesso por convite, servidores do Discord dedicados a atividades criminosas, e fóruns em plataformas como o XSS Forum e o Exploit Forum operam no limiar entre a superfície e o underground. Muita venda de credenciais e ferramentas acontece aqui, não necessariamente na dark web clássica.

Paste sites e serviços de compartilhamento anônimo são frequentemente usados para publicar listas de credenciais comprometidas de forma gratuita, seja como demonstração de poder, seja para ganhar reputação em comunidades criminosas.

O que é vendido e monitorado

Credenciais corporativas

Este é o item de maior volume. Credenciais de acesso a sistemas corporativos, desde email até VPNs e painéis de administração, são vendidas tanto individualmente quando têm alto valor, como em lote em listas chamadas "combos". O BreachFinder monitora continuamente essas fontes buscando combinações de email e senha, ou apenas usuário e senha, associadas aos domínios das organizações clientes.

Logs de infostealer

Como descrito em outros artigos, infostealers capturam credenciais e cookies de sessão de dispositivos infectados. Esses logs são vendidos em marketplaces específicos. Monitorar esses ambientes permite detectar quando funcionários de uma organização tiveram seus dispositivos comprometidos, mesmo que a organização em si não tenha sido o alvo direto.

Acessos iniciais (Initial Access Brokers)

Uma das evoluções mais preocupantes do ecossistema criminoso é a especialização. Initial Access Brokers são grupos que se especializam em comprometer redes corporativas e vender o acesso a outros grupos, geralmente operadores de ransomware. Quando um anúncio de venda de acesso a uma empresa aparece nesses fóruns, o tempo entre o anúncio e o ataque de ransomware pode ser de dias.

Dados exfiltrados

Após uma violação bem-sucedida, dados roubados frequentemente aparecem para venda antes mesmo de o grupo responsável pressionar a organização vítima. Documentos financeiros, propriedade intelectual, dados de clientes e contratos: tudo pode aparecer nesses mercados. Detectar essa publicação cedo pode ser crítico para a resposta ao incidente.

Discussões e planejamento de ataques

Fóruns especializados frequentemente têm discussões abertas sobre alvos específicos, técnicas a serem usadas e vulnerabilidades exploráveis. Monitorar essas conversas dá visibilidade sobre ameaças em estágio de planejamento.

Os desafios do monitoramento de dark web

Fazer isso de forma eficaz é tecnicamente complexo por vários motivos.

Volume e ruído: O volume de dados que circula nessas plataformas é imenso, e a grande maioria não é relevante para nenhuma organização específica. Filtrar o que é sinal do que é ruído requer tanto tecnologia quanto experiência humana.

Acesso: Muitos fóruns e marketplaces exigem registro, reputação acumulada e às vezes pagamento para acesso. Criar e manter identidades nesses ambientes sem comprometer a legalidade das operações é um desafio que poucos conseguem navegar corretamente.

Velocidade: Muitos conteúdos são ephemeros. Posts são deletados, marketplaces são derrubados por ações policiais e substituídos por outros, canais migram de plataforma. Quem monitora precisa ser rápido para capturar o conteúdo relevante antes que desapareça.

Contexto: Encontrar uma senha que parece ser da sua organização numa lista não é suficiente. É necessário entender quando foi coletada, qual é a fonte, se é credencial ativa ou antiga, e qual nível de risco ela representa.

Como o BreachFinder resolve esses desafios

O BreachFinder foi construído para resolver esses problemas de forma operacional, não apenas teórica. A plataforma mantém acesso contínuo a um amplo conjunto de fontes do underground, incluindo dark web, fóruns especializados e canais de distribuição de dados comprometidos.

O processo de correlação filtra automaticamente os resultados relevantes para cada organização monitorada, eliminando o ruído e apresentando apenas alertas acionáveis. Cada alerta inclui contexto sobre a fonte, a data e o nível de risco estimado.

Quando o alerta é gerado, a organização recebe informação suficiente para tomar a decisão de resposta imediata. Não é um dump bruto de dados. É inteligência processada e contextualizada.

Para MSSPs e times de segurança que gerenciam múltiplas organizações, o BreachFinder oferece visibilidade consolidada com separação clara por cliente, permitindo escalar o monitoramento sem multiplicar o esforço operacional.

Integração com resposta a incidentes

O monitoramento de dark web só entrega valor completo quando está integrado ao processo de resposta a incidentes da organização. Um alerta sem um processo de resposta definido é um alerta desperdiçado.

O BreachFinder facilita essa integração ao fornecer alertas com severidade categorizada, informações acionáveis e integração com ferramentas de gestão de incidentes. O objetivo é que o tempo entre a detecção e o início da resposta seja o menor possível.

Conclusão

O underground criminoso que ameaça organizações não é um ambiente misterioso e inacessível. É um mercado que opera com lógica própria, onde dados e acessos corporativos têm preço e compradores. Monitorar esse mercado é, hoje, uma necessidade operacional para organizações que levam a sério a proteção de seus ativos digitais.

A questão não é se dados da sua organização vão aparecer nesses ambientes em algum momento. A questão é se você vai saber antes ou depois que o dano for feito.