TRIBUNAL DE CONTAS DA UNIÃO TC 036.

750/2023-9

GRUPO I – CLASSE VII – Plenário

TC 036.750/2023-9
Natureza(s): Administrativo
Órgão/Entidade: não há.
Responsável: Identidade preservada (art. 55, caput, da Lei n.
8.443/1992).
Interessado: Identidade preservada (art. 55, caput, da Lei n.
8.443/1992).
Representação legal: não há

SUMÁRIO: PROPOSTA DE FISCALIZAÇÃO. MODALIDADE

OPERACIONAL. PROTEGE-TI 2023. VULNERABILIDADES
DOS SERVIÇOS DE DOMÍNIO DO ACTIVE DIRECTORY.
AUTORIZAÇÃO. ORIENTAÇÕES.

RELATÓRIO

Adoto, como Relatório, extrato do conteúdo da proposta de peça 3, de autoria da Unidade

de Auditoria Especializada em Tecnologia da Informação (AudTI), com os ajustes de forma
pertinentes. Dada a natureza sensível do tema, foram suprimidas informações cuja divulgação
ostensiva poderia gerar riscos à realização do trabalho ou às próprias organizações auditadas.
Breve descrição
1. O objetivo da fiscalização é promover a melhoria na gestão de riscos de segurança da
informação dos órgãos auditados no contexto dos Serviços de Domínio do Active Directory (AD-
DS) da Microsoft, por meio da avaliação dos controles administrativos e técnicos existentes nas
organizações a serem fiscalizadas.
2. Esta auditoria foi avaliada com risco ALTO.
3. O trabalho proposto consiste em uma das fiscalizações que comporá o PROTEGE-TI
2023 (TC 008.018/2023-5), cujo foco é contribuir para a redução de riscos no caminho (path) de
ataque de ransomware.
Problema ou Risco
Devido a falhas de configurações dos Serviços de Domínio Active Directory (AD-DS) das
organizações públicas poderá ocorrer o comprometimento dos domínios de rede das organizações,
o que poderá levar à exfiltração, ao sequestro ou à destruição de informações por meio de ataques
de ransomware e impactar negativamente a prestação de serviços públicos ao cidadão bem como a
imagem da organização.
4. O relatório “The State of Ransomware”, de 20231, apresentou estudo sobre
monitoramento dos ataques por ransomware nos mercados do mundo. A análise constatou que o
Brasil lidera o ranking mundial de pagamento de resgates, com 55% das empresas entrevistadas no
país admitindo se renderem à extorsão em troca de dados descriptografados.
5. O país reportou um crescimento nos casos de ransomware em relação ao apanhado
anterior, de 2022: 68% das empresas tiveram seus sistemas atingidos por ransomware no último
ano. Esse dado representa um aumento de 13 pontos percentuais quando comparado à mesma taxa
no ano passado.

1 The State of Ransomware 2023. Disponível em https://www.sophos.com/en-us/content/state-of-ransomware.

1

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870820.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

6. O serviço de diretório Microsoft Active Directory (AD) é a solução de gerenciamento

de redes de computadores mais utilizada nas organizações, com estimativas de que 90% das
grandes organizações utilizam-na para prover autenticação e autorização a ativos tecnológicos em
seus negócios.
7. Em um ataque de ransomware típico, os agentes de ameaça, após obterem o acesso
inicial, buscam escalar privilégios e se movimentar lateralmente na rede da organização alvo. Para
tanto, utilizam-se de vulnerabilidades e falhas de configurações no AD. Uma vez que obtenham
sucesso e obtenham credenciais de administração do domínio, implantam ransomwares e
conseguem subtrair informações, muitas vezes realizando ganhos financeiros.
8. Nesse contexto, a Microsoft, em seu relatório “Microsoft Digital Defense Report”, de
20222, aponta, como um dos principais fatores nos ataques de ransomware os controles de
identidade fracos, tema intimamente ligado ao ambiente do AD.
9. Nigel Ng, consultor da empresa Tenable, afirma que “um ambiente Active Directory
inseguro é um ransomware prestes a ser executado”3.
10. Nesse cenário, a segurança do ambiente AD desempenha um papel fundamental
na mitigação de ataques de ransomware. Quando configurado e protegido adequadamente, alinhado
a processos seguros de trabalho, o AD previne e combate efetivamente os ataques de ransomware.
Portanto, a avaliação dos controles de segurança nesse cenário consiste em medida fundamental
para que os órgãos da Administração Pública possam evitar essa ameaça cibernética.
11. Este risco está relacionado com tema 112 - Segurança da Informação e
Segurança Cibernética da Lista de Alto Risco (LAR) do TCU.
Oportunidade
12. Três fatos demonstram a oportunidade de atuar neste tema:
12.1. Conforme apresentado na subseção anterior, os ataques de ransomware continuam prevalentes
(os dados são de 2022).
12.2. Além da complexidade do tema, não se conhece orientação técnica sobre o tema para os
gestores públicos no Brasil, como ocorre, por exemplo, nos EUA (a agência CISA elabora e
promove documentos técnicos orientativos).
12.3. A Dasi/AudTI conta hoje com um auditor cedido temporariamente pela Setid que é especialista
no tema, com várias certificações profissionais na área. Atualmente o auditor especialista encontra-
se ministrando treinamento técnico altamente especializado sobre o tema para auditores da Dasi e
da Setid.
Materialidade
13. Os valores envolvidos na segurança digital de organizações da APF estão
ligados ao valor da informação que estão sob sua guarda e que podem perder a confidencialidade,
integridade e disponibilidade ante um ataque cibernético.
14. A mensuração desse montante é de difícil estimativa, pois envolve, por vezes,
valores relacionados ao negócio da organização ou até valores intangíveis, devido às possíveis
movimentações laterais do atacante na rede invadida. Por exemplo, o acesso não autorizado a
ativos de informação permite que o agente de ameaça execute operações fraudulentas (desvio de
recursos), e o universo de transferência é o montante disponível para execução da política gerida
pelo sistema comprometido, ou, ainda, afete o valor de mercado regulado (em caso de a
organização ter poder de polícia). Na sequência, o agente de ameaça pode realizar uma

2 Microsoft Digital Defense Report 2022. Disponível em https://www.microsoft.com/en-us/security/business/microsoft-

digital-defense-report-2022.
3 An insecure Active Directory is just ransomware waiting to happen. Disponível em https://www.frontier-

enterprise.com/an-insecure-active-directory-is-just-ransomware-waiting-to-happen/.
2

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870820.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

movimentação lateral e ir para outro ativo da organização, adicionando montante ao valor que pode
manipular.
Relevância
15. Quando agentes de ameaça obtém acesso privilegiado ao ambiente AD das
organizações, esses são capazes de criptografar a quase totalidade de seus ativos, exigindo
pagamentos financeiros (“resgates”) para que a organização vítima do ataque tenha acesso
novamente a seus dados. Em muitos casos, quando há a negativa de pagamento por parte da vítima,
os atacantes publicam as informações sensíveis em sites da internet, gerando, além de danos à
imagem da vítima, possíveis prejuízos de ordem legal.
16. Esse cenário já foi observado em ataques realizados às organizações públicas
federais, como no caso do Superior Tribunal de Justiça (STJ) em 2020, noticiado amplamente na
mídia4. Esse ataque causou interrupções dos sistemas críticos da organização por quase vinte dias.
Casos similares ocorreram no Supremo Tribunal Federal (STF), em 20215, Ministério da Saúde, em
20216, Presidência da República, em 20227, dentre outros casos.
17. Em síntese, um ataque aos serviços de domínio Active Directory pode causar:
17.1. Paralisação dos serviços públicos prestados;
17.2. Danos à imagem da organização;
17.3. Prejuízos financeiros da magnitude dos valores geridos ou regulados pela organização.
Benefício esperado (por stakeholder “cliente”)
18. Após proferida decisão desta Corte de Contas referente ao relatório desta
auditoria, será realizada uma capacitação à distância para o maior número possível de gestores de
segurança da informação do setor público, de forma a ampliar os benefícios alcançados por esta
ação.
Alinhamento estratégico
Esta ação alinha-se à estratégia da AudTI da seguinte forma:
18.1. Risco mapeado: Aumento do número de ataques cibernéticos com consequente diminuição da
confiança no ambiente digital e outros danos decorrentes dos ataques o que impacta a aceleração
da transformação digital do país.
18.2. Objetivo: Fortalecer o gerenciamento de riscos de segurança da informação e cibernética do
país.
18.3. Resultado-Chave: KR 1.2 - Em um ano, obter resultado de avaliações de 80% dos gestores
participantes dos eventos de difusão de conhecimento no sentido de que as ações de controle
contribuem para que as organizações aperfeiçoem a gestão de riscos de Segurança da Informação e
Segurança Cibernética.
Avaliação que será realizada
19. O objeto da auditoria são os controles técnicos de segurança da informação nos
serviços de domínio do Active Directory de quatro organizações a serem auditadas.
20. O nível de asseguração desta fiscalização será a asseguração razoável.

4 https://www.cisoadvisor.com.br/stj-comunica-superacao-do-incidente-cibernetico-com-ransomware/
5 https://www.uol.com.br/tilt/noticias/redacao/2021/05/10/apos-sairem-do-ar-servicos-do-site-do-stf-comecam-a-ser-
restabelecidos.htm
6 https://www.securityreport.com.br/ministerio-da-saude-segue-trabalhando-para-o-reestabelecimento-de-plataformas-

afetadas/
7 https://www.securityreport.com.br/malware-impacta-sistemas-e-presidencia-da-republica/

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870820.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

Objetivo
21. O objetivo da fiscalização é promover a melhoria na gestão de riscos de
segurança da informação no contexto dos Serviços de Domínio do Active Directory (AD-DS) por
meio da avaliação dos controles administrativos e técnicos existentes nas organizações a serem
fiscalizadas.
Riscos da auditoria
22. A matriz de riscos atual da auditoria proposta encontra-se no anexo único, e os
riscos estão em uma escala de 5 degraus (muito baixo, baixo, médio, alto, muito alto).
23. O nível de risco desta auditoria é atualmente considerado alto, maior nível
de risco existente na matriz.
24. Os seguintes riscos são considerados altos e estão fora da governabilidade
da equipe. Foi prevista ação de contingência para o primeiro deles:
24.1. Testes planejados não funcionarem no ambiente do auditado podendo levar à não execução da
auditoria.
24.2. Auditado não consentir na realização dos procedimentos, podendo levar a equipe a não executar
os procedimentos técnicos necessários à realização da auditoria.
25. Em especial, o segundo risco supra decorre da possibilidade de o relator incluir
no acórdão autorizador a obtenção de anuência prévia da autoridade competente do órgão auditado
para a realização de procedimentos técnicos de auditoria (varredura automática de vulnerabilidades,
por exemplo), de forma análoga ao que ocorreu em auditoria anterior integrante do PROTEGE-TI
2023 (Acórdão 1.105/2023-TCU-Plenário):
9.2. orientar a Segecex, por meio da SecexEstado e da AudTI, a: 9.2.1. assegurar a
obtenção de anuência expressa de autoridade competente dos órgãos auditados, prévia
à realização de procedimentos de auditoria que envolvam a simulação de ataques ou a
exploração de possíveis vulnerabilidades de controles administrativos, técnicos e
organizacionais;
26. No caso de a autoridade competente do órgão auditado não anuir com os
procedimentos técnicos de auditoria, risco que se materializou na fiscalização autorizada pelo
Acórdão 1.105/2023-TCU-Plenário, o único controle mitigatório que se vislumbra é a realização de
contato do Relator com a autoridade competente da organização com objetivo de sensibilizá-la.
27. Não há medida de contingência caso o risco supracitado se materialize, o que
significaria, em caso de concretização, na impossibilidade de executar a auditoria na organização.
28. Com objetivo de oferecer elementos adicionais ao relator para decidir sobre a
real necessidade de incluir a obrigação de anuência da autoridade competente da organização
auditada na decisão que vier a autorizar a fiscalização, faz-se as seguintes considerações:
28.1. Segundo documento da Secretaria de Governo Digital do Ministério da Gestão e Inovação de
Serviços Públicos8, teste de invasão é uma “Metodologia para testar a eficácia e a resiliência de
ativos através da identificação e exploração de fraquezas nos controles de segurança e da simulação
das ações e objetivos de um atacante”.
28.2. A Dasi/AudTI não propõe nem executa teste de invasão, pois não executa procedimentos de
“exploração de fraquezas” nem “simulação das ações e objetivos” de um atacante, o que consistiria,
por exemplo, em obter credenciais de usuários e utilizá-las para realizar operações, obter acessos
privilegiados em servidores, exfiltrar dados de qualquer natureza (lista exemplificativa).

8Modelo de Política de Gerenciamento de Vulnerabilidades. Disponível em https://www.gov.br/governodigital/pt-

br/seguranca-e-protecao-de-dados/ppsi/modelo_politica_gerenciamento_vulnerabilidades.pdf.
4

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870820.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

28.3. A Dasi/AudTI realiza auditorias operacionais, cujo objetivo em sentido amplo é avaliar os
processos de governança, riscos e controles de segurança da informação relacionados aos objetos
ou organizações auditados, conforme mandato do TCU.
28.4. A concepção que a Dasi/AudTI utiliza em algumas auditorias que realiza, assim como nesta,
objeto da presente proposta, leva em conta o ponto de vista dos agentes de ameaça (atacantes), ou
seja, utiliza uma visão de segurança ofensiva. Essa concepção é utilizada exclusivamente para
escolher os controles que serão avaliados segundo o pensamento do agente de ameaça, não
havendo previsão de procedimentos que se constituam em teste de invasão.
28.5. Quando, para alcançar os objetivos da auditoria, é necessário o uso de ferramentas e
procedimentos mais técnicos (e.g., execução de um script para análise de controles), as equipes da
Dasi/AudTI, seguindo as boas práticas de auditoria operacional, apresentam antecipadamente os
procedimentos aos técnicos da organização auditada e solicita que estes acompanhem os testes, não
só pelas boas práticas de auditoria, mas como uma forma de troca de conhecimentos durante as
fiscalizações.
28.6. No caso específico desta fiscalização, não haverá sequer contato com os usuários de sistemas de
informação das organizações fiscalizadas, mas tão somente com técnicos de TI.
29. Considerando o exposto no parágrafo acima, não se vislumbra risco que
justifique a necessidade de anuência da autoridade competente da organização para a execução das
auditorias de segurança da informação, em especial da auditoria descrita na presente proposta de
fiscalização.

É o relatório.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870820.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

VOTO

Trago à apreciação deste Colegiado proposta de fiscalização, na modalidade Operacional,

encaminhada pela Secretaria de Controle Externo de Governança, Inovação e Transformação Digital
do Estado (SecexEstado), que tem por objetivo avaliar a gestão de riscos de segurança da informação
no contexto dos Serviços de Domínio do Active Directory (AD-DS) nas organizações a serem
fiscalizadas, por meio da avaliação dos controles administrativos e técnicos existentes.
2. Trata-se de uma das fiscalizações integrantes do PROTEGE-TI 2023 (TC 008.018/2023-5),
que será conduzida pela Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI).
3. Esclareço que alguns detalhes constantes da proposta, em especial aqueles que informam
sobre os entes públicos e os aspectos técnicos e organizacionais que compõem o escopo do trabalho,
foram omitidos no relatório precedente devido à necessidade de assegurar o sigilo de informações que
poderiam colocar em risco a realização da ação de controle, e até mesmo a própria segurança
cibernética das instituições fiscalizadas.
4. Feita essa ressalva, observo que os autos foram instruídos com as informações necessárias
à avaliação por parte deste Colegiado e destaco que a proposta está em conformidade com as
orientações contidas na Resolução-TCU 308/2019 c/c a Portaria-Segecex 14/2014, além de estar
alinhada ao Plano Estratégico do TCU 2023-2028, à Estratégia de Fiscalização do TCU em Segurança
da Informação e Proteção de dados 2022-2025, aprovada pelo Acórdão 1.768/2022-TCU-Plenário, de
Relatoria do Ministro Vital do Rêgo, e à abordagem sistêmica prevista no âmbito do PROTEGE-TI.
***
5. A exemplo do que fiz em outros processos vinculados ao PROTEGE-TI, destaco a
perspectiva inovadora do trabalho, que busca identificar vulnerabilidades e sugerir medidas
preventivas com base na visão do atacante, no que se convencionou chamar de segurança ofensiva.
6. Reitero, outrossim, que o aumento da complexidade técnica dos procedimentos a serem
executados, bem como a criticidade dos ativos envolvidos, demanda a adoção de cuidados redobrados
por parte da equipe.
7. A esse respeito, a AudTI informa que a visão de segurança ofensiva será utilizada pela
equipe apenas para “escolher os controles que serão avaliados”, não havendo previsão de
procedimentos que se constituam em testes de invasão, caracterizados pela “exploração de fraquezas”
ou pela “simulação de ações e objetivos” que poderiam ser executadas por um agente malicioso, na
intenção de violar a segurança da informação das instituições fiscalizadas.
8. Apesar de tal esclarecimento, entendo pertinente inserir, na proposta de Acórdão que trago
à apreciação deste Plenário, as mesmas orientações que fiz constar no Acórdão 1105/2023-Plenário, as
quais deverão ser observadas pela unidade técnica de modo a assegurar a plena ciência e anuência das
autoridades competentes caso, quando do planejamento ou da execução da presente fiscalização, seja
identificada a necessidade de realização de procedimentos que envolvam a simulação de ataques ou a
exploração de possíveis vulnerabilidades de controles administrativos, técnicos e organizacionais.
***
9. Registro, ainda, que a proposta da AudTI solicita autorização para organizar ações de
capacitação à distância para gestores de segurança da informação do setor público e usuários de
sistemas da Administração Pública Federal, com possibilidade de alcance até mesmo de organizações
da iniciativa privada.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870821.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

10. Sem dúvida, a conscientização sobre o tema é aspecto fundamental do trabalho, de modo a
ampliar o alcance da atuação pedagógica desta Corte, e o TCU certamente reúne condições para
exercer o relevante papel de indutor da evolução do setor público, assim como tem feito nos últimos
anos em relação à transformação digital e ao uso de análise de dados.
11. Por outro lado, entendo que a estratégia a ser adotada para tal fim carece de maior
amadurecimento quanto ao formato e à abrangência das ações propostas, em especial diante de assunto
de grande complexidade técnica e dinâmica acelerada de atualização, características inerentes ao
conhecimento sobre vulnerabilidades e medidas de segurança de serviços do Active Directory.
12. Por esse motivo, e considerando ainda a necessidade de que os resultados da presente
fiscalização sejam avaliados por este Relator e pelo Colegiado antes que as ações de capacitação e
disseminação venham a ser autorizadas, entendo que propostas nesse sentido deverão ser refinadas
pela AudTI ao longo do trabalho e apresentadas quando da elaboração do relatório final.
***
Ante o exposto, entendo que a proposta de fiscalização em tela está em condições de ser
autorizada, com os ajustes pontuais e as orientações complementares que acabo de apresentar, e VOTO
por que este Tribunal adote a deliberação que ora submeto à consideração deste Colegiado.

TCU, Sala das Sessões, em 8 de novembro de 2023.

AROLDO CEDRAZ
Relator

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870821.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

ACÓRDÃO Nº 2265/2023 – TCU – Plenário

1. Processo nº TC 036.750/2023-9.
2. Grupo I – Classe de Assunto: VII – Administrativo.
3. Interessados/Responsáveis:
3.1. Interessado: Identidade preservada (art. 55, caput, da Lei n. 8.443/1992).
3.2. Responsável: Identidade preservada (art. 55, caput, da Lei n. 8.443/1992).
4. Órgão/Entidade: não há.
5. Relator: Ministro Aroldo Cedraz.
6. Representante do Ministério Público: não atuou.
7. Unidade Técnica: Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI).
8. Representação legal: não há.

9. Acórdão:
Vistos, relatados e discutidos estes autos de proposta de fiscalização encaminhada pela
Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado
(SecexEstado), na modalidade Operacional.
Acordam os ministros do Tribunal de Contas da União, reunidos em sessão do Plenário,
diante das razões expostas pelo relator, em:
9.1. autorizar a realização da fiscalização integrante do PROTEGE-TI 2023, na modalidade
proposta, com o objetivo de avaliar a gestão de riscos dos órgãos auditados no contexto de segurança
da informação dos Serviços de Domínio do Active Directory (AD-DS);
9.2. orientar a Segecex, por meio da SecexEstado e da AudTI, a:
9.2.1. assegurar a obtenção de anuência expressa de autoridade competente dos órgãos
auditados, prévia à realização de procedimentos de auditoria que envolvam a simulação de ataques ou
a exploração de possíveis vulnerabilidades de controles administrativos, técnicos e organizacionais;
9.2.2. assegurar que a realização de tais procedimentos seja acompanhada por servidor da
área de TI da organização auditada, previamente designado para tanto por autoridade competente;
9.2.3. submeter à análise do Relator as propostas de ações de capacitação e disseminação
de conhecimento após a execução da presente fiscalização, quando da elaboração do respectivo
relatório;
9.3. restituir os autos à Segecex/SecexEstado para as providências necessárias.

10. Ata n° 47/2023 – Plenário.

11. Data da Sessão: 8/11/2023 – Ordinária.
12. Código eletrônico para localização na página do TCU na Internet: AC-2265-47/23-P.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870834.

 TRIBUNAL DE CONTAS DA UNIÃO TC 036.750/2023-9

13. Especificação do quórum:

13.1. Ministros presentes: Bruno Dantas (Presidente), Augusto Nardes, Aroldo Cedraz (Relator), Vital
do Rêgo e Jhonatan de Jesus.
13.2. Ministros-Substitutos convocados: Augusto Sherman Cavalcanti e Marcos Bemquerer Costa.

(Assinado Eletronicamente) (Assinado Eletronicamente)

BRUNO DANTAS AROLDO CEDRAZ
Presidente Relator

Fui presente:

(Assinado Eletronicamente)
CRISTINA MACHADO DA COSTA E SILVA
Procuradora-Geral

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 74870834.