Neste artigo

O que é Attack Surface Management

Attack Surface Management (ASM) é o processo contínuo de descobrir, catalogar, classificar e monitorar todos os ativos digitais de uma organização que podem ser alvos de ataques. A superfície de ataque inclui tudo que um atacante pode ver e potencialmente explorar - domínios, IPs, aplicações, APIs, cloud resources e muito mais.

30%
dos ativos externos das empresas são desconhecidos pela equipe de segurança (Gartner)

O conceito surgiu da necessidade de responder uma pergunta fundamental: "O que um atacante ve quando olha para nossa organização de fora?" Com a expansão de cloud, SaaS e trabalho remoto, a superfície de ataque cresceu exponencialmente, tornando impossível gerenciá-la manualmente.

Perspectiva do atacante

ASM adota a visão do adversário: em vez de perguntar "quais ativos temos?", pergunta "quais ativos um atacante consegue encontrar?". Isso inclui shadow IT, ativos esquecidos, e recursos provisionados fora dos processos oficiais.

EASM vs CAASM vs DRPS

O mercado de ASM evoluiu em diferentes categorias com focos complementares:

EASM - External Attack Surface Management

Foca na descoberta de ativos externos visíveis da internet, usando técnicas de reconhecimento semelhantes às de atacantes:

  • Enumeração de domínios e subdomínios
  • Scanning de portas e serviços
  • Descoberta de aplicações web e APIs
  • Identificação de tecnologias (fingerprinting)
  • Monitoramento de certificados SSL

CAASM - Cyber Asset Attack Surface Management

Consolida dados de ativos de múltiplas fontes internas para criar um inventário unificado:

  • Integração com CMDB, Active Directory, cloud APIs
  • Correlação de dados de scanners, EDR, SIEM
  • Identificação de gaps de cobertura
  • Contexto de negócio e ownership
  • Queries flexíveis sobre o inventário

DRPS - Digital Risk Protection Services

Monitora riscos digitais além da infraestrutura própria:

  • Monitoramento de dark web e forums
  • Detecção de phishing e typosquatting
  • Credenciais vazadas
  • Menções a marca e executivos
  • Fake apps e perfis sociais
Aspecto EASM CAASM DRPS
Foco Ativos externos Inventário consolidado Riscos digitais
Perspectiva De fora para dentro De dentro para fora Ecossistema externo
Descoberta Ativa (scanning) Passiva (APIs) Monitoramento
Shadow IT Forte Limitado Parcial

Componentes da Superfície de Ataque

Domínios

Domínios principais, subdomínios, domínios similares

IPs e Ranges

IPs públicos, ranges de cloud, BGP

Aplicações Web

Sites, portais, APIs, webhooks

Cloud Resources

S3 buckets, VMs, containers

Certificados

SSL/TLS, expirações, misconfigs

Repositórios

GitHub, GitLab públicos

Email

MX records, SPF, DKIM, DMARC

Mobile Apps

Apps em stores, APIs mobile

Ativos frequentemente esquecidos

  • Ambientes de dev/staging: Frequentemente menos protegidos que produção
  • Subdomínios antigos: Aplicações desativadas mas ainda acessíveis
  • Aquisições: Ativos de empresas adquiridas não inventariados
  • Marketing: Landing pages, campanhas em domínios separados
  • IoT/OT: Dispositivos com interfaces web expostas
  • Backup storage: S3 buckets de backup com ACLs erradas

Como Funciona a Descoberta

Seed Information

O processo começa com informações sementes sobre a organização:

  • Domínios raiz conhecidos (empresa.com.br)
  • Ranges de IP registrados (ASN)
  • Nome da organização (para certificate transparency)
  • Contas cloud conhecidas

Técnicas de Descoberta

DNS Enumeration

  • Brute force de subdomínios com wordlists
  • Zone transfers (quando permitido)
  • Certificate Transparency logs
  • DNS history e passive DNS
  • Alterations e permutations

Port Scanning

  • Scan de portas comuns (top 1000)
  • Service detection e versioning
  • Banner grabbing
  • TLS inspection

Web Discovery

  • Crawling de aplicações
  • Directory enumeration
  • Technology fingerprinting (Wappalyzer-style)
  • API endpoint discovery

OSINT Sources

  • Shodan, Censys, BinaryEdge
  • Passive DNS databases
  • Certificate Transparency
  • Wayback Machine
  • GitHub code search

Shadow IT e Ativos Desconhecidos

Um dos maiores valores do ASM é descobrir shadow IT - ativos provisionados fora dos processos oficiais de TI. Estudos mostram que 30-40% dos ativos externos das organizações são desconhecidos.

Exemplos reais de shadow IT

  • Developer test server: VM na AWS com credenciais de produção
  • Marketing landing page: WordPress desatualizado com plugin vulnerável
  • POC de vendor: Aplicação de teste ainda acessível meses depois
  • Subdomain takeover: CNAME apontando para serviço desativado
  • Backup bucket: S3 público com dumps de database

Causas comuns de shadow IT

  • Velocidade: Processos de TI lentos levam usuários a provisionar por conta
  • Desconhecimento: Funcionários não sabem que devem seguir processos
  • Rotatividade: Pessoas saem e conhecimento sobre ativos se perde
  • M&A: Aquisições trazem ativos não documentados
  • Projetos temporários: "Temporário" vira permanente

Principais Ferramentas de ASM

EASM Comercial

  • Censys ASM: Forte em descoberta baseada em certificados e cloud
  • Palo Alto Cortex Xpanse: Ampla cobertura, integração com Cortex
  • CyCognito: Foco em attack path e priorização
  • Mandiant Advantage ASM: Integrado com threat intel da Mandiant
  • Microsoft Defender EASM: Bom custo-benefício para ambientes Microsoft
  • Detectify: Combina ASM com scanning de vulnerabilidades

CAASM

  • Axonius: Líder de mercado, amplas integrações
  • JupiterOne: Query language poderosa, bom para cloud-native
  • Sevco: Foco em cobertura de controles de segurança
  • runZero: Combina active scanning com asset inventory

Open Source / Gratuito

  • Amass (OWASP): Enumeração de subdomínios
  • Subfinder: Descoberta passiva de subdomínios
  • httpx: Probe de HTTP em massa
  • Nuclei: Scanning de vulnerabilidades
  • Shodan CLI: Queries no Shodan

Implementação Prática

Fase 1: Setup Inicial (2-4 semanas)

  • Coletar seed information (domínios, IPs, ASN)
  • Configurar ferramenta de EASM escolhida
  • Executar descoberta inicial
  • Revisar e validar ativos descobertos
  • Identificar e investigar shadow IT

Fase 2: Triagem e Priorização (2-4 semanas)

  • Classificar ativos por criticidade
  • Identificar exposições de alto risco
  • Definir ownership para ativos descobertos
  • Criar processo de triagem de novos ativos

Fase 3: Operacionalização (ongoing)

  • Monitoramento contínuo de mudanças
  • Alertas para novos ativos e exposições
  • Integração com vulnerability management
  • Reports periódicos de superfície de ataque
  • Métricas de redução de exposição

Quick wins

  • Subdomain takeover: Verifique CNAMEs apontando para serviços inexistentes
  • Exposed admin panels: /admin, /wp-admin, /phpmyadmin acessíveis
  • Default credentials: Serviços com senhas padrão de fábrica
  • Expired certificates: Certificados expirados indicam ativos abandonados
  • Open cloud storage: S3 buckets e blobs públicos

Perguntas Frequentes

O que é Attack Surface Management?

Attack Surface Management (ASM) é o processo contínuo de descobrir, catalogar e monitorar todos os ativos digitais de uma organização que estão expostos a internet ou podem ser alvo de atacantes. Inclui domínios, IPs, aplicações web, APIs, cloud resources e shadow IT.

Qual a diferença entre EASM e CAASM?

EASM (External ASM) foca em ativos externos visíveis da internet, descobertos de fora para dentro. CAASM (Cyber Asset ASM) consolida dados de fontes internas (CMDB, scanners, EDR) para criar inventário unificado. EASM encontra shadow IT; CAASM organiza o que jáconhecemos.

Por que a superfície de ataque estácrescendo?

A superfície cresce devido a: adoção de cloud (multi-cloud complexity), trabalho remoto (VPNs, RDP expostos), transformação digital (mais APIs e aplicações), shadow IT (funcionários provisionando recursos sem TI), M&A (aquisições trazem ativos desconhecidos), e supply chain digital (conexões com terceiros).

Preciso de EASM se játenho vulnerability scanner?

Sim. Vulnerability scanners requerem que você diga quais ativos escanear - eles não descobrem ativos desconhecidos. EASM descobre ativos que você não sabia que tinha (shadow IT). Além disso, EASM monitora continuamente mudanças na superfície de ataque, não apenas vulnerabilidades.

Conclusão

Attack Surface Management tornou-se essencial em um cenário onde a superfície de ataque cresce mais rápido que a capacidade das equipes de segurança de monitorá-la. Você não pode proteger o que não sabe que existe.

A combinação de EASM (para descobrir shadow IT e exposições externas) com CAASM (para consolidar o inventário conhecido) fornece uma visão completa da superfície de ataque. O objetivo final é reduzir a superfície ao mínimo necessário e garantir que o que permanece exposto esteja devidamente protegido e monitorado.

Descubra sua Superfície de Ataque

Precisa de ajuda para mapear e reduzir sua superfície de ataque externa? Oferecemos assessment de ASM e implementação de programas de monitoramento contínuo.

Solicitar Assessment