Você não consegue proteger o que não sabe que existe. Essa é a premissa por trás do Attack Surface Management (ASM), ou Gestão da Superfície de Ataque: a disciplina que mapeia, inventaria e monitora continuamente todos os pontos por onde um atacante pode entrar na sua organização. Num mundo de nuvem, SaaS, APIs e trabalho remoto, esse conjunto de pontos cresce e muda todos os dias — e quase sempre é maior do que a equipe de segurança imagina.
O que é a superfície de ataque
A superfície de ataque é a soma de todos os pontos de entrada que um adversário poderia usar para acessar, comprometer ou extrair dados de uma organização. Isso vai muito além dos servidores listados em uma planilha. Inclui domínios e subdomínios, endereços IP, portas e serviços expostos, certificados digitais, aplicações web, APIs, repositórios de código, ativos em nuvem, aplicativos SaaS, contas de usuário e até credenciais corporativas que vazaram em incidentes de terceiros.
A superfície tem uma dimensão digital (tudo o que está conectado em rede), uma dimensão humana (pessoas suscetíveis a phishing e engenharia social) e uma dimensão física. Quando falamos de ASM, o foco está sobretudo na superfície digital — porque é a que mais cresce, a que muda mais rápido e a que pode ser mapeada de forma automatizada e contínua.
O que é Attack Surface Management
ASM é a prática contínua de descobrir, inventariar, classificar, priorizar e monitorar a superfície de ataque, sempre a partir da perspectiva de quem ataca. A diferença essencial em relação a uma auditoria tradicional é a continuidade: a superfície de ataque não é uma fotografia, é um filme. Um subdomínio criado hoje para uma campanha de marketing, um bucket de nuvem aberto por engano, um SaaS contratado por uma área de negócio na semana passada — tudo isso entra na superfície sem passar pela segurança. O ASM existe para enxergar esses ativos no momento em que aparecem.
O Gartner consolidou o ASM como categoria a partir de 2021/2022, descrevendo seus pilares e incorporando-o ao conceito mais amplo de CTEM (Continuous Threat Exposure Management). A CISA, agência americana de cibersegurança, oferece serviços de mapeamento de superfície de ataque externa para apoiar organizações, e o NIST trata a redução da superfície de ataque como princípio de engenharia de segurança em publicações como o SP 800-160.
Os tipos de ASM
Sob o guarda-chuva do ASM existem abordagens complementares, cada uma respondendo a uma pergunta diferente.
EASM — External Attack Surface Management
O EASM olha de fora para dentro. Sem agentes e sem acesso interno, ele mapeia tudo o que está exposto à internet a partir do mesmo ponto de vista de um atacante: domínios e subdomínios, IPs, serviços abertos, certificados, aplicações e APIs publicamente acessíveis. É o EASM que costuma revelar a maior parte do shadow IT — ativos desconhecidos e órfãos que ninguém sabia que estavam no ar. Por não exigir instalação, é o melhor ponto de partida para qualquer organização, de qualquer porte.
CAASM — Cyber Asset Attack Surface Management
O CAASM olha de dentro. Em vez de descobrir o desconhecido, ele reconcilia o conhecido: integra-se via API às ferramentas que a empresa já usa — EDR, CMDB, plataformas de nuvem, IAM, scanners de vulnerabilidade — e agrega tudo em um inventário unificado e consultável. O CAASM responde a perguntas como "quais máquinas não têm endpoint protegido?" ou "quais ativos críticos estão sem dono?". Juntos, EASM e CAASM dão a visão completa: o que o atacante vê e o que a empresa tem.
Shadow IT e ativos desconhecidos
O shadow IT é, na prática, o coração do problema que o ASM resolve. Subdomínios esquecidos, ambientes de teste expostos, SaaS contratados fora do controle de TI e credenciais reutilizadas formam a parte da superfície que mais frequentemente vira porta de entrada — justamente porque ninguém a estava observando.
Por que o perímetro morreu
Por décadas, a segurança se organizou em torno de um perímetro: um firewall separava o "dentro" confiável do "fora" hostil. Esse modelo deixou de fazer sentido. A nuvem pública distribui ativos por múltiplas contas e regiões. O SaaS coloca dados corporativos em sistemas de terceiros que a TI nem sempre conhece. O trabalho remoto leva endpoints para fora de qualquer rede controlada. APIs e microsserviços expõem funcionalidades diretamente na internet.
O resultado é que a superfície de ataque deixou de ter uma borda nítida e passou a ser fragmentada, dinâmica e em grande parte invisível para os métodos tradicionais. O ASM é a resposta a essa realidade: como não há mais um muro para defender, o foco se desloca para saber, em tempo real, tudo o que está exposto.
O ciclo do ASM
Um programa maduro de ASM opera como um ciclo contínuo, não como um projeto com início e fim.
- Descobrir — partindo de pouca informação (um nome de domínio, um nome de empresa), enumerar automaticamente todos os ativos relacionados, inclusive os que a organização desconhece.
- Inventariar — consolidar os achados em um inventário único e vivo, atribuindo dono, criticidade e contexto a cada ativo.
- Priorizar — cruzar exposição, explorabilidade e valor de negócio para destacar o que representa risco real.
- Reduzir — desativar o que não deveria existir, corrigir configurações, fechar serviços e rotacionar credenciais.
- Monitorar — vigiar continuamente para detectar mudanças e novos ativos assim que surgem.
Mapa de exposição: ativo, risco e ação
| Tipo de ativo / exposição | Risco principal | Ação recomendada |
|---|---|---|
| Subdomínios órfãos / esquecidos | Sequestro de subdomínio, sites abandonados e vulneráveis | Inventariar, validar propriedade e remover registros DNS sem uso |
| Portas e serviços expostos (RDP, SSH, bancos de dados) | Acesso direto, força bruta, exploração de serviço | Fechar o que for desnecessário, restringir por VPN/IP, exigir MFA |
| Certificados TLS vencidos ou mal configurados | Interceptação, perda de confiança, indisponibilidade | Inventariar certificados, automatizar renovação e monitorar validade |
| APIs públicas sem documentação/governança | Vazamento de dados, abuso, APIs sombra (shadow APIs) | Descobrir, catalogar, autenticar e aplicar limites de uso |
| Buckets e armazenamento em nuvem abertos | Exposição massiva de dados sensíveis | Revisar permissões, bloquear acesso público por padrão |
| Credenciais e e-mails corporativos vazados | Account takeover, acesso inicial via reuso de senha | Forçar troca de senha, ativar MFA, monitorar continuamente |
| SaaS / shadow IT não governado | Dados fora de controle, sem visibilidade nem proteção | Descobrir, aprovar ou descontinuar, integrar à governança |
ASM, CTEM, gestão de vulnerabilidades e OSINT
É comum confundir ASM com gestão de vulnerabilidades, mas eles atacam problemas diferentes. A gestão de vulnerabilidades parte de uma lista de ativos conhecidos e procura falhas neles; o ASM resolve a etapa anterior — descobrir quais ativos existem, especialmente os que não estão em lista nenhuma. Não adianta escanear bem 80% do parque se 20% sequer foram mapeados.
O CTEM é o programa que costura tudo: define escopo, usa o ASM para descobrir e inventariar, aplica priorização e validação, e fecha o ciclo com mobilização e correção. O ASM é, portanto, um dos motores centrais de um CTEM bem implementado.
O OSINT (inteligência de fontes abertas) é o combustível da fase de descoberta externa. Bases de certificados públicos, registros DNS, dados de varredura da internet e dumps de credenciais vazadas alimentam tanto o EASM quanto a priorização. Quando o ASM identifica que credenciais de um domínio corporativo apareceram em um vazamento, isso eleva imediatamente a prioridade daquele ativo. Tudo isso se integra à gestão de ameaças como um todo.
Como reduzir a superfície de ataque
Visibilidade é o primeiro passo, mas o objetivo final é reduzir a superfície. Algumas práticas consolidadas:
- Desativar ativos órfãos, ambientes de teste expostos e subdomínios sem dono.
- Aplicar o princípio do menor privilégio e fechar portas e serviços que não precisam estar acessíveis.
- Bloquear acesso público por padrão em armazenamento de nuvem e revisar configurações regularmente.
- Catalogar e autenticar todas as APIs, eliminando APIs sombra.
- Impor MFA e rotacionar credenciais expostas em vazamentos.
- Governar o SaaS: aprovar, integrar ou descontinuar shadow IT.
- Tratar a redução da superfície como prática contínua, não como esforço pontual.
Como a Decripte ajuda
A Decripte é uma empresa B2B de cibersegurança que atende organizações de 1 a mais de 100.000 colaboradores, com a mesma profundidade técnica em qualquer porte. Nossa Gestão de Ameaças coloca o ASM em prática desde o primeiro contato: a versão gratuita já mapeia sua exposição externa — domínios e subdomínios, e-mails corporativos e credenciais vazadas — para mostrar, em minutos e sem instalar nada, parte da superfície de ataque que um atacante já consegue ver.
A partir daí, os planos pagos evoluem para descoberta contínua, inventário consolidado (EASM e CAASM), priorização por risco e monitoramento permanente, integrados a um programa de CTEM. Se você ainda não sabe o tamanho real da sua superfície de ataque, é hora de descobrir antes que outro descubra por você. Comece grátis ou conheça nossos planos.
