Voltar para Home

RedSquad Deception

Cada endpoint é um sensor. Cada rede é monitorada.

Seus colaboradores trabalham de casa, de coworkings, de aeroportos. Seu firewall não chega lá. Nossos agentes de deception, sim.

O RedSquad Deception instala serviços-isca silenciosos em cada máquina corporativa. Invisíveis para o usuário. Irresistíveis para o atacante. Qualquer interação é uma ameaça confirmada.

redsquad@deception:~$ status --fleet

[+] 347 endpoints protegidos

[+] 12 redes distintas monitoradas

[!] ALERTA: SSH probe em notebook-mkt-042

└─ Rede: WeWork Paulista (não-corporativa)

└─ Origem: 192.168.1.87 (dispositivo desconhecido)

└─ Ação: VPN forçada, SOC notificado

[✓] Nenhuma atividade hostil nas últimas 24h em 346 endpoints

O perímetro acabou. O ponto cego é real.

Seu EDR monitora processos e arquivos no endpoint. Seu firewall protege a rede corporativa. Seu SIEM correlaciona logs dos dois.

Mas nenhum deles responde a pergunta: o que está acontecendo na rede ao redor do endpoint?

Quando o notebook do seu analista está no WiFi do hotel, do coworking ou da casa com roteador desatualizado, ninguém está olhando. Ninguém detecta o scanning, o ARP spoofing, o MITM ou o movimento lateral vindo de outra máquina comprometida na mesma rede.

Até agora.

Deception Everywhere: a lógica é simples

Cada máquina corporativa passa a rodar serviços falsos em background — leves, silenciosos, puramente passivos. Portas que nenhum usuário legítimo jamais acessaria.

Se alguém toca nesses serviços, é ameaça. Ponto.

Sem análise comportamental. Sem baseline. Sem falso positivo. A lógica é binária: interação = alerta.

O que os sensores detectam

Scanning e reconhecimento de rede

Qualquer varredura de portas na rede local toca nos serviços-isca antes de encontrar algo real. Você sabe que alguém está procurando.

Movimento lateral

Se outra máquina na rede está comprometida e tenta se espalhar, seus sensores são os primeiros a perceber. Worms, ferramentas de pentest automatizadas, ransomware em propagação.

Ataques de rede local

LLMNR/NBNS poisoning, ARP spoofing, rogue DHCP. Os ataques que seu EDR não vê porque acontecem na camada de rede, não no processo.

Redes hostis

Colaborador conectou no WiFi do aeroporto e em 30 segundos os sensores detectam atividade anômala. Alerta automático, VPN forçada, SOC notificado. Antes de qualquer dano.

Tentativas de acesso a serviços sensíveis

SSH, RDP, SMB, painéis HTTP admin, portas de banco de dados. Ninguém deveria estar batendo nessas portas no notebook de um analista de marketing.

Por que isso é diferente de tudo que existe

Não é NDR — NDR precisa de tap na rede. Você não tem tap no WiFi do Starbucks.

Não é EDR — EDR olha para dentro da máquina. Deception olha para o que acontece ao redor dela.

Não é honeypot tradicional — Honeypots ficam parados na rede corporativa. Nossos sensores viajam com o endpoint, para qualquer lugar.

É uma categoria nova: detecção de ameaças de rede que acompanha o usuário. Network threat detection portátil.

Como funciona na prática

1

Deploy silencioso

Um agente leve é instalado junto com seu stack de segurança (ou standalone). Consome recursos mínimos. Invisível para o usuário.

2

Serviços-isca ativados

O agente levanta listeners em portas estratégicas: SSH, RDP, SMB, HTTP, mDNS, bancos de dados. Tudo fake, tudo instrumentado.

3

Escuta passiva contínua

Sem tráfego gerado. Sem impacto na rede. O agente apenas escuta e registra qualquer tentativa de conexão.

4

Alerta com contexto rico

Cada evento inclui: IP de origem, fingerprint do serviço solicitado, payload enviado, SSID da rede, gateway, geolocalização aproximada. O SOC recebe tudo que precisa para agir.

5

Resposta automática (opcional)

Ativação forçada de VPN, isolamento de interface de rede, notificação ao usuário. Não é só detecção — é contenção imediata.

O que o seu SOC ganha

Alertas de altíssima fidelidade

Cada alerta é real. Não existe interação legítima com esses serviços. A relação sinal/ruído é a melhor que o seu SOC vai ter.

Visibilidade em redes não-corporativas

Pela primeira vez, você enxerga ameaças em home offices, coworkings, hotéis e redes públicas. O ponto cego desaparece.

Detecção de comprometimento lateral

Se um dispositivo na mesma rede começou a escanear, você sabe antes que ele alcance algo real. Early warning em minutos, não em 200 dias.

Threat intelligence distribuída

Dados agregados de toda a frota revelam padrões: quais redes são mais hostis, quais vetores são mais comuns, quais regiões têm mais atividade. Inteligência que ninguém mais tem.

Network reputation em tempo real

Antes mesmo de um ataque, o agente avalia a rede: "esse WiFi já teve atividade hostil detectada por outros endpoints nos últimos 7 dias." Segurança preditiva baseada em dados reais.

Honeytokens integrados

Além dos serviços de rede, o RedSquad Deception planta iscas digitais no endpoint:

Credenciais falsas

Salvas no gerenciador de credenciais do sistema. Se alguém faz dump, elas apontam para servidores monitorados.

Arquivos chamariz

Documentos como "Senhas_VPN.xlsx" ou "Acessos_Produção.pdf" no desktop. Qualquer abertura aciona alerta.

Chaves de API fake

Plantadas em arquivos de configuração. Se usadas, você sabe que houve exfiltração.

Registros de banco de dados

Entradas canárias que, se consultadas fora do contexto esperado, indicam dump ou acesso indevido.

Para quem é o RedSquad Deception

Empresas com trabalho remoto

Qualquer organização com colaboradores fora da rede corporativa tem pontos cegos que só deception resolve.

Equipes de segurança que querem alertas reais

Se o seu SOC está afogado em falsos positivos, os alertas do Deception são o sinal mais limpo que você vai encontrar.

Operações em ambientes sensíveis

Fintechs, healthtechs, escritórios de advocacia. Onde dados valem ouro e a superfície de ataque inclui redes de terceiros.

MSSPs que buscam diferenciação

Ofereça detecção de ameaças em redes não-corporativas como serviço. Nenhum concorrente oferece isso hoje.

Empresas com ambientes OT/IoT

Onde instalar agentes tradicionais nos dispositivos não é opção, mas monitorar a rede ao redor deles é crítico.

Integração com o ecossistema

O RedSquad Deception se integra nativamente com o que você já usa:

SIEM

Eventos formatados em CEF/Syslog para Splunk, QRadar, Sentinel, Elastic. Alertas de alta confiança que enriquecem suas correlações.

SOAR

Playbooks prontos para resposta automática. Detecção no Deception → contenção no SOAR → investigação no SIEM.

EDR

Complementa CrowdStrike, SentinelOne, Defender. O Deception vê o que o EDR não vê. Juntos, cobrem endpoint e rede.

RedSquad Scan

Deception detecta a ameaça. Scan encontra a brecha que ela exploraria. Ciclo fechado: detecção + correção.

A ameaça não espera você voltar ao escritório

Seus colaboradores estão em redes que você não controla agora mesmo. A pergunta não é se alguém vai tentar — é se você vai saber quando tentarem.