CISA ordena que órgãos federais dos EUA eliminem dispositivos obsoletos em até 12 meses
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA, na sigla em inglês) publicou uma nova diretriz operacional determinando que todas as agências civis federais retirem de operação, em no máximo 12 meses, qualquer dispositivo de hardware ou software que já esteja em fim de vida útil (end-of-life) e não receba mais suporte do fabricante.
A decisão vem em resposta ao crescimento de campanhas de exploração conduzidas por grupos de hackers altamente sofisticados, incluindo atores ligados a Estados-nação, que têm mirado justamente equipamentos desatualizados e sem correções de segurança.
Dispositivos sem suporte passam a ser intoleráveis na rede federal
De acordo com a diretriz, qualquer dispositivo que não conte mais com atualizações de firmware, patches de segurança ou suporte oficial do fabricante deverá ser completamente removido das redes governamentais. Isso inclui desde equipamentos físicos, como roteadores e firewalls, até appliances de segurança e soluções de software embarcadas em dispositivos de borda.
A diretora interina da CISA, Madhu Gottumukkala, destacou que ativos sem suporte representam um risco estrutural grave e não podem continuar conectados às redes corporativas do governo. Segundo ela, manter equipamentos obsoletos ativos equivale a “deixar portas destrancadas” em infraestruturas críticas.
Foco nos dispositivos de borda, principais alvos dos invasores
A CISA aponta que os criminosos têm direcionado, de forma crescente, seus esforços contra dispositivos de borda (edge devices), muitos deles sem suporte ou com atualizações de segurança negligenciadas. Esse tipo de equipamento está diretamente exposto à internet e, ao mesmo tempo, profundamente integrado a sistemas de autenticação, gestão de identidades e segmentação de tráfego.
Entre os principais alvos listados pela agência estão:
– Balanceadores de carga
– Firewalls
– Roteadores e switches
– Pontos de acesso sem fio (Wi-Fi)
– Appliances de segurança
– Dispositivos IoT posicionados na borda da rede
Esses ativos funcionam como portas de entrada privilegiadas: uma vez comprometidos, podem ser usados para movimentação lateral, escalonamento de privilégios e acesso a dados sensíveis em redes governamentais e corporativas.
Envolvimento de atores ligados a governos estrangeiros
Durante coletiva de imprensa, Nick Andersen, diretor executivo assistente de cibersegurança da CISA, afirmou que parte desses ataques é conduzida por grupos com vínculos a governos estrangeiros. Ele não detalhou quais países ou incidentes específicos desencadearam a nova diretriz, mas reforçou que a medida não está relacionada a um único evento, e sim a um padrão de ameaças que vem se consolidando ao longo dos anos.
Segundo Andersen, o problema não é pontual: trata-se de um risco sistêmico causado pela presença contínua de dispositivos obsoletos, que permanecem conectados ao perímetro das redes e servem como ponto de apoio para campanhas persistentes de intrusão.
Cronograma rígido: inventário em 3 meses, desativação em 12 meses
A CISA estabeleceu um cronograma escalonado para que as agências federais se adequem às novas exigências:
– Em até 3 meses: as agências devem entregar um inventário completo de todos os dispositivos em fim de vida presentes em suas redes. Esse mapeamento precisa ser alinhado a uma lista oficial de equipamentos mantida pela CISA.
– Em até 12 meses: todos os dispositivos identificados como obsoletos deverão ser descomissionados, removidos da produção e substituídos.
– Em até 24 meses: as organizações deverão implantar processos contínuos de descoberta, monitoramento e gestão de ativos, capazes de identificar de forma recorrente quando um equipamento se aproxima ou atinge o estado de obsolescência.
Esse modelo tira a questão da obsolescência do campo “projetos pontuais” e a coloca como um processo permanente de gestão de risco.
Atualização obrigatória e substituição por soluções suportadas
A diretriz não trata apenas da remoção de equipamentos antigos. As agências também ficam obrigadas a:
– Atualizar todos os dispositivos ainda suportados, garantindo que estejam com patches e firmwares em dia;
– Planejar e executar a substituição de ativos obsoletos por soluções que recebam atualizações de segurança de forma contínua;
– Revisar políticas internas de aquisição para evitar compras de produtos próximos do fim de vida ou sem um roadmap claro de suporte do fabricante.
Para apoiar esse trabalho, a CISA afirma ter criado uma lista dedicada de dispositivos de borda em fim de serviço, chamada EOS Edge Device List. O documento, no entanto, não será divulgado publicamente por motivos de segurança, justamente para não fornecer a atacantes um “catálogo” de alvos potenciais.
Edge devices continuam sendo vetor crítico de invasões
A agência reforça que dispositivos de borda ainda figuram entre os principais vetores de acesso inicial utilizados por grupos maliciosos. Nos últimos anos, vulnerabilidades críticas em produtos de fabricantes como Barracuda, Ivanti e Fortinet foram amplamente exploradas por ameaças avançadas, muitas delas associadas a países como China e Rússia.
Em diversos incidentes, o compromisso inicial de um appliance de borda serviu como ponto de partida para uma intrusão prolongada, permitindo aos atacantes se movimentar lateralmente, criar backdoors, exfiltrar dados e manter persistência durante longos períodos antes de serem detectados.
Campanhas persistentes e ameaça estrutural aos ativos federais
Em comunicado oficial, a CISA alerta que os Estados Unidos enfrentam campanhas cibernéticas persistentes, muitas vezes viabilizadas justamente por dispositivos sem suporte mantidos no perímetro das redes. Essas operações têm escala ampla, são contínuas e se renovam com frequência, tornando a simples correção pontual de falhas insuficiente.
De acordo com a agência, o conjunto dessas campanhas configura uma ameaça significativa aos ativos federais, e a permanência de equipamentos EoL nas redes governamentais aumenta exponencialmente a superfície de ataque, facilitando tanto ações de espionagem quanto de sabotagem digital.
—
O que essa medida significa em termos práticos de segurança
Embora voltada para o setor público federal dos EUA, a diretriz da CISA sinaliza uma mudança de postura que interessa a qualquer organização, pública ou privada, em todo o mundo. Na prática, o recado é direto: operar com dispositivos em fim de vida deixou de ser aceitável do ponto de vista de gestão de risco cibernético.
Para órgãos do governo, isso implica:
– Redesenhar o ciclo de vida de ativos de TI, incorporando a obsolescência como critério central;
– Prever, em orçamento, a substituição periódica de dispositivos críticos de rede e segurança;
– Revisar contratos com fornecedores para garantir janelas adequadas de suporte e atualização.
Para empresas privadas – incluindo no Brasil –, a mensagem é igualmente relevante: manter um firewall antigo ou um roteador sem suporte deixa de ser um “custo economizado” e passa a ser um ponto de vulnerabilidade estratégica.
Por que dispositivos EoL são tão perigosos?
Dispositivos em fim de vida combinam vários fatores que os tornam extremamente atraentes para atacantes:
1. Ausência de correções futuras
Quando um fabricante encerra o ciclo de vida de um produto, novas brechas descobertas não serão corrigidas. Um exploit lançado hoje contra um equipamento sem suporte continuará funcional daqui a meses ou anos.
2. Visibilidade limitada
Muitas vezes, esses dispositivos são antigos, com pouca integração a ferramentas modernas de monitoramento e detecção. Isso dificulta perceber comportamentos anômalos ou acessos suspeitos.
3. Falsa sensação de “caixa preta”
Por serem equipamentos “fechados”, há a impressão de que são menos vulneráveis. Na prática, eles rodam sistemas operacionais, firmwares e serviços que podem conter falhas graves.
4. Dificuldade de substituição
Em muitas redes, esses dispositivos estão tão integrados a processos críticos que a sua troca exige planejamento, testes e possíveis janelas de indisponibilidade – o que, por comodidade, leva muitas organizações a adiá-la indefinidamente.
Como as organizações podem se preparar para diretrizes semelhantes
Mesmo fora do escopo direto da CISA, instituições interessadas em elevar seu nível de segurança podem se inspirar nessa abordagem e adotar iniciativas similares:
1. Inventário completo e confiável
Criar e manter um inventário atualizado de todos os dispositivos de rede, segurança e IoT, com informações como fabricante, modelo, versão de firmware e datas de fim de suporte.
2. Mapeamento de dependências críticas
Identificar quais serviços de negócio dependem de cada equipamento, para planejar substituições sem interrupções inesperadas.
3. Política de ciclo de vida de ativos
Estabelecer formalmente em política interna que equipamentos próximos do fim de vida devem ser incluídos em um plano de substituição, com prazos definidos.
4. Monitoramento contínuo de vulnerabilidades
Acompanhar boletins de segurança, avisos de fabricantes e publicações técnicas que tragam informações sobre novas falhas exploradas em dispositivos de rede.
5. Testes de intrusão e simulações
Realizar exercícios de Red Team ou pentests focados em dispositivos de borda, verificando se eles podem ser explorados como ponto de entrada.
Impactos para fornecedores e mercado de cibersegurança
A diretriz da CISA também deve pressionar fabricantes e integradores de soluções de rede e segurança. Ao exigir que órgãos federais descartem equipamentos em fim de vida, o governo americano, um dos maiores compradores de tecnologia do mundo, incentiva fornecedores a:
– Prolongar prazos de suporte para produtos críticos;
– Tornar mais claros os roadmaps de ciclo de vida;
– Facilitar caminhos de migração entre gerações de produtos;
– Oferecer ferramentas de gestão de ativos que indiquem automaticamente o estado de suporte de cada dispositivo.
Para o mercado de cibersegurança, abre-se espaço para serviços especializados em:
– Gestão de inventário e descoberta de ativos;
– Planejamento de renovação de infraestrutura;
– Monitoramento de dispositivos de borda;
– Consultoria em conformidade com diretrizes regulatórias semelhantes.
O papel da governança de TI e de risco
A iniciativa da CISA reforça um ponto central: obsolescência tecnológica é, antes de tudo, um problema de governança. Não se trata apenas de “comprar equipamentos novos”, mas de integrar o tema aos processos de gestão de risco, compliance, orçamento e estratégia de longo prazo.
Conselhos de administração, comitês de risco e lideranças executivas precisam enxergar o parque tecnológico não como um conjunto estático de ativos, mas como uma estrutura dinâmica, com prazos de validade claros. Ignorar essa realidade é abrir espaço para incidentes que podem gerar custos financeiros, danos reputacionais e impactos legais.
Lições aplicáveis ao contexto brasileiro
Embora a diretriz tenha como alvo específico agências federais dos Estados Unidos, sua lógica é amplamente aplicável em outros países, incluindo o Brasil. Órgãos públicos brasileiros e empresas de setores críticos – como energia, finanças, saúde, telecom e indústria – enfrentam desafios semelhantes:
– Infraestruturas legadas, muitas vezes com décadas de uso;
– Orçamentos limitados para renovação tecnológica;
– Pressão por continuidade de serviços, que dificulta janelas de manutenção.
Adotar políticas internas inspiradas no modelo da CISA pode ajudar a reduzir a exposição: criar inventários detalhados, mapear dispositivos em fim de vida, priorizar a substituição de equipamentos de borda e estabelecer processos contínuos de monitoramento são passos que qualquer organização pode seguir, independentemente de legislação específica.
De “custo inevitável” a “investimento estratégico”
Por fim, a diretriz marca uma mudança de mentalidade: a substituição de dispositivos obsoletos deixa de ser vista apenas como custo inevitável de TI e passa a ser tratada como investimento em resiliência e continuidade operacional.
Ao impor prazos e transformar a remoção de equipamentos EoL em obrigação, a CISA sinaliza que segurança cibernética eficaz exige infraestrutura atualizada, com suporte ativo e capacidade de resposta rápida a novas vulnerabilidades. Para governos, empresas e instituições em geral, a lição central é clara: ignorar a obsolescência tecnológica significa, na prática, aceitar um nível de risco que já não é mais tolerável no cenário atual de ameaças digitais.