Superfície de ataque: mapear é o primeiro passo
TL;DR
Você não defende o que não conhece. Attack Surface Management (ASM) descobre e monitora continuamente todos os ativos digitais expostos da empresa — incluindo aqueles que ninguém lembra que existem. É a base de todo programa de segurança ofensiva.
Pergunte a qualquer CISO: "quantos ativos digitais sua empresa expõe na internet?". A resposta confiante é, na maioria das vezes, otimista. ASM (Attack Surface Management) existe porque a realidade quase sempre é maior do que a percepção.
O que conta como "superfície de ataque"
- Domínios e subdomínios — incluindo os que o TI esqueceu
- IPs e ranges expostos
- Aplicações web e APIs (incluindo ambientes de staging e dev expostos)
- Serviços de cloud (S3 buckets, blobs, repos)
- Painéis administrativos, VPNs, RDP, paneis de impressora, IoT
- Certificados SSL/TLS e seus metadados
- Aplicativos mobile publicados
- Subdomínios de marketing, microsites, landing pages criadas por agências
- Tecnologias terceirizadas com sua marca (SaaS, fornecedores integrados)
- Contas corporativas em SaaS — Microsoft 365, Google Workspace, GitHub, Slack
- Tudo o que aparece atrelado ao nome da empresa em registros e bancos públicos
O problema do Shadow IT
Departamento de marketing contrata um SaaS sem avisar TI. Time de produto sobe um POC com dados reais em uma VM AWS e esquece. Engenheiro testa novo CMS em um subdomínio. Estagiário cria repositório no GitHub público com snippets de produção. Tudo isso é superfície de ataque que ninguém está monitorando.
Diferença entre ASM, EASM e CAASM
- ASM (Attack Surface Management): termo guarda-chuva, gestão da superfície
- EASM (External ASM): visão externa, do ponto de vista de um atacante na internet
- CAASM (Cyber Asset ASM): visão interna unificada de ativos, integrando dados de várias fontes (CMDB, EDR, IdP, scanners)
Programa maduro combina ambos: EASM para descobrir o que o adversário vê, CAASM para consolidar o que o time interno gerencia.
Como mapear (na prática)
1. Descoberta de domínios
Começar pelo domínio principal e expandir: registros públicos, certificate transparency logs, DNS bruteforce, scrapers de subdomínios, análise de DNS histórico, descoberta a partir de IPs reversos.
2. Descoberta de IPs
ASN da empresa, ranges em provedores de cloud (lookup por nome de organização), expansão a partir de domínios resolvidos.
3. Identificação de serviços
Para cada IP/domínio vivo: que portas estão abertas? Que software roda? Qual versão? Tudo isso vira potencial vulnerabilidade.
4. Fingerprinting de tecnologias
WAFs, CMSs, frameworks, bibliotecas, painéis. Cruzar com bases de CVEs.
5. Detecção de exposições
- Painéis administrativos sem ACL
- Buckets de storage públicos
- Endpoints com debug ligado
- Backups acessíveis
- Repositórios git expostos
- Variáveis de ambiente em endpoints
- Endpoints de monitoring (Prometheus, Grafana) sem auth
6. Continuidade
ASM não é projeto, é capacidade. Empresas que param na primeira varredura encontram problemas novos toda semana — porque ativos novos surgem toda semana.
Métricas que importam
- Número total de ativos descobertos (e quantos eram desconhecidos da TI)
- Ativos críticos identificados — painéis administrativos, bancos de dados, ambientes de dev expostos
- Tempo médio para tirar do ar uma exposição crítica
- Cobertura — quanto da superfície está sob monitoramento e controle
Por que ASM antes de Pentest
É comum começar segurança ofensiva contratando pentest. Mas pentest sobre escopo errado dá falsa segurança: o ativo que vaza é o que ninguém sabia que existia. ASM define onde testar — e revela quantos pontos cegos a empresa tem.
Conclusão
Reduzir superfície de ataque é uma das ações com melhor retorno em segurança. Cada serviço desnecessariamente exposto, cada subdomínio esquecido, cada bucket aberto é uma porta a menos para fechar — e uma a mais para o atacante. Mapear é o começo. Reduzir continuamente é o programa.