CISA manda agências federais aposentar dispositivos obsoletos em até 12 meses
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (Cybersecurity and Infrastructure Security Agency – CISA) publicou uma diretriz operacional determinando que todas as agências civis federais removam, em no máximo um ano, qualquer dispositivo de hardware ou software que esteja em fim de vida útil (end-of-life). A ordem atinge sistemas que já não recebem atualizações de firmware, correções de vulnerabilidades ou qualquer tipo de suporte oficial dos fabricantes.
A decisão vem na esteira de um aumento consistente nas campanhas de exploração conduzidas por grupos de hackers altamente sofisticados, muitos deles com ligação direta ou indireta a Estados-nação. Segundo a CISA, esses atores têm concentrado esforços justamente em tecnologias desatualizadas, que permanecem ativas nas redes governamentais, mas estão abandonadas do ponto de vista de segurança.
A diretora interina da CISA, Madhu Gottumukkala, foi categórica ao afirmar que equipamentos sem suporte representam um risco inaceitável para a infraestrutura federal. Na visão da agência, não há justificativa técnica para manter esses ativos conectados a ambientes corporativos sensíveis, especialmente em redes que processam dados governamentais críticos ou informações pessoais de cidadãos.
Um dos focos da diretriz são os chamados dispositivos de borda (edge devices), equipamentos posicionados nos limites da rede e frequentemente expostos diretamente à internet. Enquadram-se nessa categoria balanceadores de carga, firewalls, roteadores, switches, pontos de acesso Wi‑Fi, appliances de segurança e uma ampla gama de dispositivos IoT. Por estarem na linha de frente do tráfego e frequentemente integrados a sistemas de autenticação e gestão de identidades, esses ativos se tornam alvos prioritários para ataques.
Em coletiva com a imprensa, Nick Andersen, diretor executivo assistente de cibersegurança da CISA, ressaltou que diversos ataques recentes a esses equipamentos envolvem grupos vinculados a governos estrangeiros. Ele evitou citar países ou incidentes específicos, mas enfatizou que a diretriz não é resposta a um único caso, e sim ao reconhecimento de um problema estrutural: a dependência crônica de tecnologias legadas, sem suporte e com falhas conhecidas, que permanecem operando em ambientes críticos.
O plano de ação imposto pela CISA é dividido em etapas. Em até três meses, todas as agências federais deverão apresentar um inventário detalhado de todos os dispositivos em fim de vida em suas redes. Esse levantamento terá como base uma lista oficial de equipamentos mantida pela própria CISA, o que ajuda a padronizar a identificação de produtos obsoletos. A partir daí, começa a contagem regressiva: em até 12 meses, todos esses ativos deverão ser efetivamente descomissionados.
O trabalho, no entanto, não termina com a remoção inicial. Em um prazo de até dois anos, as agências precisam implementar mecanismos contínuos de descoberta, monitoramento e gestão de ativos, capazes de identificar, de forma automática e recorrente, quando um equipamento entra em estado de obsolescência. A proposta é transformar o processo em uma prática permanente de governança de TI, e não apenas em uma ação pontual.
Além de retirar dispositivos sem suporte, os órgãos federais são obrigados a garantir que todos os equipamentos ainda em uso estejam atualizados com as versões mais recentes de firmware e com os patches de segurança disponíveis. Quando o fim de vida não puder ser evitado, os ativos deverão ser substituídos por soluções modernas, com ciclo ativo de atualizações e compromisso claro dos fabricantes em corrigir vulnerabilidades.
A CISA afirmou ainda ter elaborado uma lista específica de dispositivos de borda em fim de serviço (EOS Edge Device List), cujo objetivo é orientar o governo sobre quais tecnologias precisam ser priorizadas na substituição. Por motivos de segurança, esse documento não será tornado público, evitando que grupos maliciosos obtenham um roteiro detalhado de equipamentos desatualizados ainda em operação.
A agência reforça que dispositivos de borda continuam entre os vetores mais explorados para acesso inicial a redes governamentais e corporativas. Nos últimos anos, foram registradas campanhas de exploração de falhas críticas em produtos de fabricantes como Barracuda, Ivanti e Fortinet. Em diversos incidentes, esses equipamentos serviram como porta de entrada para movimentação lateral dentro das redes, permitindo que invasores alcançassem servidores internos, bases de dados e sistemas sensíveis.
Em comunicado oficial, a CISA alertou que os Estados Unidos enfrentam campanhas de intrusão persistentes, distribuídas em larga escala, que se aproveitam de dispositivos antigos ou abandonados conectados ao perímetro das redes. Esse cenário, segundo a agência, configura uma ameaça estratégica aos ativos federais, uma vez que combina vulnerabilidades conhecidas, falta de suporte e exposição direta à internet.
—
Por que a CISA está atacando o problema agora?
A pressão pela remoção de dispositivos obsoletos não é um movimento isolado. Ela se encaixa em uma tendência global de endurecimento de requisitos mínimos de cibersegurança no setor público. A própria CISA, em documentos anteriores, vinha insistindo na necessidade de reduzir o uso de tecnologias legadas em ambientes críticos, mas a nova diretriz transforma essa recomendação em obrigação com prazos e metas claras.
Há também um fator de maturidade do ecossistema de ameaças: ataques que antes exigiam grande especialização agora podem ser realizados com ferramentas amplamente disponíveis, kits de exploração automatizados e exploits já prontos para falhas antigas. Em outras palavras, manter um dispositivo em fim de vida conectado à rede significa, na prática, deixar uma porta destrancada em um bairro cada vez mais perigoso.
—
Risco estrutural de dispositivos em fim de vida
Dispositivos em end-of-life costumam reunir um conjunto de problemas que, combinados, elevam muito o risco operacional:
– Não recebem patches para vulnerabilidades recém-descobertas.
– Frequentemente rodam sistemas operacionais ou firmwares desatualizados.
– Muitas vezes não são compatíveis com ferramentas modernas de monitoramento e detecção.
– Costumam ter configurações herdadas, com senhas fracas, protocolos inseguros ou permissões excessivas.
Mesmo quando esses ativos estão “funcionando bem” do ponto de vista operacional, do ponto de vista de segurança eles se tornam elementos frágeis, incapazes de acompanhar a escalada de sofisticação das ameaças. O que a CISA está fazendo é, essencialmente, forçar as agências a internalizar esse custo de risco e transformá-lo em um plano concreto de substituição.
—
Impactos práticos para as agências governamentais
A diretriz representa um desafio significativo para equipes de TI e segurança. Remover e substituir dispositivos críticos em prazos relativamente curtos envolve:
– Planejamento de capacidade de rede para não causar indisponibilidades.
– Processos formais de aquisição e contratação de novos equipamentos, que frequentemente são burocráticos.
– Testes de compatibilidade com sistemas legados ainda em produção.
– Atualização de políticas de acesso, autenticação e segmentação de rede.
Para muitas agências, o primeiro grande obstáculo será o próprio inventário. Muitos órgãos ainda não possuem um mapeamento completo, confiável e atualizado de todos os ativos conectados, principalmente em ambientes híbridos que misturam data centers tradicionais, nuvem e dispositivos IoT espalhados por unidades remotas.
—
Lições e implicações para empresas privadas
Embora a diretriz seja voltada às agências civis federais dos EUA, as recomendações têm reflexos diretos para empresas privadas e órgãos públicos em outros países, inclusive no Brasil. Organizações que dependem fortemente de equipamentos de rede de longa data tendem a enfrentar problemas semelhantes:
– Dificuldade de justificar a substituição de ativos que “ainda funcionam”.
– Orçamentos de TI focados em novas funcionalidades, e não em modernização da infraestrutura.
– Resistência interna a mudanças em sistemas considerados críticos.
Adotar uma política clara de ciclo de vida de ativos – com datas definidas para substituição e descomissionamento – passa a ser uma boa prática essencial. O que a CISA faz de forma mandatória, empresas poderiam adotar como padrão voluntário de governança para reduzir riscos futuros e evitar incidentes de grande impacto.
—
Boas práticas para lidar com dispositivos legados
A partir da diretriz da CISA, é possível extrair um conjunto de boas práticas que qualquer organização pode aplicar:
1. Inventário contínuo de ativos
Manter um mapeamento vivo e automatizado de todos os dispositivos conectados à rede, incluindo localização, função, versão de firmware e status de suporte do fabricante.
2. Classificação de criticidade
Identificar quais equipamentos estão em posições mais sensíveis – por exemplo, dispositivos de borda, gateways de VPN, controladores de acesso – e priorizar a substituição desses ativos.
3. Planejamento de fim de vida
Desde a aquisição, registrar a data de término de suporte oficial e planejar a troca antes do fim do ciclo, evitando janelas de exposição sem patches.
4. Segmentação de rede
Enquanto não é possível substituir um dispositivo legado, isolar ao máximo esse ativo em segmentos de rede específicos, com regras de acesso muito restritivas.
5. Monitoramento intensivo
Aumentar o nível de observabilidade e logging nos equipamentos antigos, de forma a detectar comportamentos suspeitos ou tentativas de exploração.
—
Desafios específicos com dispositivos IoT e de borda
Um ponto sensível da diretriz é o tratamento de dispositivos IoT e appliances especializados, presentes em grande número em ambientes governamentais e corporativos. Esses equipamentos frequentemente:
– Foram projetados com foco em funcionalidade, não em segurança.
– Não possuem processos maduros de atualização de firmware.
– Podem ficar anos instalados em campo, sem manutenção adequada.
Substituí-los exige não apenas investimento financeiro, mas revisão de arquiteturas inteiras, especialmente em ambientes industriais, de infraestrutura crítica ou de automação predial. Mesmo assim, a experiência recente mostra que ignorar esse problema resulta em brechas amplamente exploradas por atacantes.
—
O papel dos fabricantes na gestão de obsolescência
A diretriz da CISA também implicitamente pressiona fabricantes de hardware e software. Ao condicionar o uso de tecnologias ao fornecimento de atualizações de segurança, a agência reforça a responsabilidade das empresas em oferecer transparência sobre:
– Políticas e prazos de suporte.
– Calendário de fim de vida e fim de serviço.
– Compromisso com correção de vulnerabilidades críticas.
Para clientes corporativos, isso significa que critérios de segurança e ciclo de vida devem pesar tanto quanto preço e performance no momento da compra. Soluções com suporte limitado ou pouco claro tendem a se transformar em passivos de risco no médio prazo.
—
Caminho para uma postura de segurança mais madura
A medida da CISA pode ser vista como parte de uma mudança mais ampla na postura de segurança cibernética: sair de uma abordagem reativa, centrada em resposta a incidentes, para uma estratégia preventiva, baseada em gestão de risco contínua. Remover dispositivos obsoletos é um passo concreto nessa direção.
Organizações que quiserem se alinhar a esse nível de maturidade precisarão:
– Integrar segurança à gestão de ativos e de contratos de TI.
– Tratar obsolescência como risco estratégico, e não apenas problema técnico.
– Envolver alta gestão em decisões de investimento em modernização de infraestrutura.
Ao exigir que agências federais mapeiem, substituam e monitorem ativamente dispositivos em fim de vida, a CISA envia uma mensagem clara: em um cenário de ameaças cada vez mais sofisticadas, manter tecnologia obsoleta em produção deixou de ser apenas um erro operacional – passou a ser uma vulnerabilidade crítica que precisa ser eliminada de forma sistemática.