EASM (Gerenciamento de Superfície de Ataque Externo)
Uma disciplina de segurança focada em descobrir, mapear e continuamente monitorar a superfície de ataque externa de uma organização para identificar e remediar exposições.
O Que É EASM?
EASM (Gerenciamento de Superfície de Ataque Externo) é uma disciplina de cibersegurança que descobre, inventaria, analisa e monitora continuamente todos os ativos digitais voltados para a internet de uma organização — alertando equipes de segurança sobre exposições antes que os atacantes possam explorá-las.
A palavra-chave é externo: o EASM foca exatamente no que os adversários podem ver e sondar a partir da internet pública, sem qualquer conhecimento prévio ou credenciais. Ele responde à pergunta: “O que um ator de ameaça vê quando olha para a nossa organização?”
Diferente da varredura interna de vulnerabilidades (que requer saber quais ativos escanear), o EASM começa pela perspectiva do atacante e trabalha de fora para dentro — descobrindo ativos que as próprias equipes podem ter esquecido, configurado incorretamente ou nunca souberam que existiam.
Por Que o EASM Surgiu
O gerenciamento tradicional de ativos e a varredura de vulnerabilidades presumiam que as organizações sabiam o que possuíam. Essa suposição foi quebrada quando:
- A adoção de nuvem tornou trivial criar nova infraestrutura em minutos
- O Shadow IT se espalhou com cada unidade de negócio adotando sua própria pilha SaaS
- A aceleração DevOps significou que o código era implantado continuamente, não trimestralmente
- A atividade de M&A fundiu superfícies de ataque externas desconhecidas da noite para o dia
- O trabalho remoto estendeu o perímetro a roteadores domésticos e dispositivos pessoais
O resultado: a maioria das organizações tem dezenas a centenas de ativos voltados para a internet desconhecidos a qualquer momento. Os atacantes escaneiam toda a internet continuamente usando ferramentas como Shodan, Censys e FOFA. O EASM dá aos defensores a mesma visibilidade externa.
Como o EASM Funciona
Etapa 1: Descoberta de Ativos Semente
O EASM começa com um pequeno conjunto de ativos “semente” conhecidos — tipicamente:
- Os nomes de domínio principais da organização (ex.:
empresa.com.br) - Ranges de IP e ASNs conhecidos
- Nomes de marca e subsidiárias
Etapa 2: Enumeração Recursiva
A partir das sementes, as plataformas EASM descobrem ativos conectados usando:
- Enumeração DNS — subdomínios, registros MX, registros NS, DNS wildcard
- Logs de transparência de certificados — certificados SSL/TLS revelam novos subdomínios assim que são emitidos
- Lookups de IP reverso — encontrar todos os domínios hospedados nos mesmos blocos de IP
- Expansão de ranges de IP e ASN — mapear todo o espaço de IP de propriedade da organização
- Web crawling — seguir links para descobrir domínios e serviços relacionados
- Dados WHOIS e de registro — identificar domínios registrados pela mesma entidade
Etapa 3: Fingerprinting e Classificação
Cada ativo descoberto é sondado (de forma não intrusiva) para determinar:
- Qual tecnologia está rodando (servidor web, banco de dados, CMS, frameworks)
- Qual versão e se CVEs conhecidos se aplicam
- Se autenticação é necessária
- Validade e configuração de certificados SSL/TLS
- Portas abertas e serviços expostos
Etapa 4: Pontuação de Exposição e Alertas
Os ativos descobertos são pontuados por risco:
- Crítico — interfaces de gerenciamento expostas sem autenticação, bancos de dados com acesso público, sistemas com CVEs ativamente explorados
- Alto — certificados expirados, serviços com vulnerabilidades críticas conhecidas, apps de Shadow IT
- Médio — software desatualizado com exploits públicos, subdomínios com cabeçalhos de segurança ausentes
- Baixo — descobertas informacionais, configurações incorretas menores
As equipes recebem alertas quando novos ativos aparecem ou ativos existentes mudam de estado.
Capacidades-Chave do EASM
Descoberta de Ativos
Automaticamente encontra todos os ativos voltados para a internet que sua organização possui ou opera:
- Domínios e subdomínios (incluindo wildcard e domínios estacionados)
- Endereços IP e ranges CIDR
- Ativos hospedados em nuvem (AWS, Azure, GCP, outros provedores)
- Aplicações web e portais de login
- APIs e endpoints para desenvolvedores
- Servidores de email e infraestrutura de correio
- Gateways VPN e de acesso remoto
- Certificados SSL/TLS e status de vencimento
- Ativos hospedados por terceiros (CDNs, páginas SaaS, páginas de status)
Classificação de Ativos
Organiza o inventário descoberto por:
- Tipo de ativo — web app, API, banco de dados, dispositivo de rede, servidor de email, etc.
- Ambiente de hospedagem — provedor cloud, on-premise, terceiros
- Propriedade de unidade de negócio — qual equipe é responsável
- Stack tecnológico — CMS, framework, software de servidor, SO
- Nível de risco — baseado em exposição e criticidade
Monitoramento Contínuo
O EASM não é uma varredura pontual — monitora continuamente:
- Alertas de novos ativos — notificação imediata quando um novo domínio ou IP é descoberto
- Monitoramento de certificados — alertas antes de certificados expirarem
- Deriva de configuração — detecta quando a postura de segurança de um ativo muda
- Correlação de CVE — quando uma nova vulnerabilidade é divulgada, o EASM identifica quais de seus ativos são afetados
- Monitoramento de remoção — alertas quando um ativo removido anteriormente reaparece
Detecção de Exposição
Identifica configurações incorretas e riscos comuns em ativos externos:
- Autenticação padrão ou inexistente em interfaces de administração
- Bancos de dados expostos (MongoDB, Elasticsearch, Redis)
- Armazenamento cloud aberto (buckets S3 públicos, Azure Blobs)
- Certificados SSL/TLS ausentes ou inválidos
- Versões TLS obsoletas (TLS 1.0, 1.1)
- Cabeçalhos de segurança ausentes (CSP, HSTS, X-Frame-Options)
- Software desatualizado com CVEs públicos
- Ambientes de desenvolvimento e staging expostos
- Registros DNS órfãos (risco de subdomain takeover)
EASM vs. Outras Disciplinas de Segurança
EASM vs. Gerenciamento de Vulnerabilidades
| EASM | Gerenciamento de Vulnerabilidades |
|---|---|
| Descobre ativos desconhecidos | Escaneia ativos conhecidos |
| Perspectiva do atacante externo | Visão interna com credenciais |
| Encontra Shadow IT esquecido | Profundidade sobre amplitude |
| Não requer credenciais ou acesso de rede | Requer acesso aos alvos de varredura |
| Monitoramento contínuo da internet | Ciclos de varredura agendados |
| Encontra o que você não sabia que tinha | Encontra falhas no que você conhece |
Ambos os programas são complementares. O EASM alimenta o inventário de ativos que o gerenciamento de vulnerabilidades precisa para ser completo.
EASM vs. Testes de Penetração
| EASM | Testes de Penetração |
|---|---|
| Contínuo, automatizado | Pontual, manual |
| Cobertura ampla de todos os ativos | Mergulho profundo em alvos específicos |
| Identifica exposições | Explora vulnerabilidades para provar impacto |
| Ferramenta de segurança operacional | Atividade de conformidade e garantia |
| Assinatura contínua | Engajamento anual ou trimestral |
Os testes de penetração são mais impactantes quando o EASM já identificou e remediou as descobertas mais fáceis.
Casos de Uso Comuns do EASM
Due Diligence em M&A
Ao adquirir outra empresa, o EASM pode avaliar a superfície de ataque externa do alvo em dias — identificando serviços expostos, ativos vulneráveis e lacunas de segurança antes que o negócio seja fechado.
Descoberta de Shadow IT
Unidades de negócio regularmente implantam apps cloud, ambientes de desenvolvimento e microsites sem informar o TI. O EASM torna esses ativos visíveis para que possam ser trazidos para a governança de segurança ou descomissionados.
Gerenciamento de Certificados
O EASM monitora continuamente o vencimento de certificados SSL/TLS em todos os ativos descobertos, prevenindo interrupções de serviço e riscos de man-in-the-middle por certificados expirados.
Prevenção de Ransomware
Os vetores de acesso inicial de ransomware mais comuns são voltados para a internet: RDPs expostos, VPNs sem patch, phishing via formulários web comprometidos. O EASM os identifica antes que os atores de ransomware o façam.
Risco da Cadeia de Suprimentos
O EASM pode monitorar as superfícies de ataque externas de fornecedores e parceiros críticos, fornecendo alerta antecipado quando a infraestrutura de um fornecedor está comprometida ou exposta.
Conformidade Regulatória
Frameworks como NIST CSF, ISO 27001 e SOC 2 exigem que as organizações mantenham um inventário preciso de ativos. O EASM automatiza o componente de descoberta desse requisito.
EASM para PMEs
Grandes empresas têm equipes de segurança dedicadas para gerenciamento de superfície de ataque. As PMEs tipicamente carecem dessa capacidade — mas enfrentam as mesmas ameaças.
Plataformas EASM projetadas para PMEs fornecem:
- Descoberta automatizada sem exigir expertise interna em TI
- Descobertas priorizadas para que a equipe de segurança limitada foque no que mais importa
- Monitoramento contínuo a uma fração do custo de avaliações manuais
- Relatórios em linguagem clara acessíveis a partes interessadas não técnicas
O threats.report foi construído especificamente para dar às PMEs visibilidade de superfície de ataque externa de nível empresarial, tornando suas exposições mais críticas visíveis em um formato acionável sem uma equipe SOC dedicada.
Implementação do EASM: Primeiros Passos
Fase 1: Descoberta (Semana 1–2)
- Inserir ativos semente (domínios principais, ranges de IP, nomes de subsidiárias)
- Executar varredura inicial de descoberta
- Revisar o inventário de ativos descobertos para verificar precisão
- Identificar exposições críticas imediatas
Fase 2: Priorização (Semana 2–3)
- Classificar ativos por criticidade de negócio e exposição
- Pontuar vulnerabilidades por CVSS e exploitabilidade real
- Construir um backlog de remediação priorizado por risco
Fase 3: Remediação (Contínuo)
- Endereçar exposições críticas imediatamente (corrigir, restringir ou descomissionar)
- Estabelecer responsabilidade para cada classe de ativo
- Construir processos para lidar com alertas de novos ativos
Fase 4: Monitoramento Contínuo (Contínuo)
- Configurar alertas para novos ativos e mudanças de configuração
- Integrar descobertas do EASM no fluxo de trabalho de gerenciamento de vulnerabilidades
- Revisar métricas mensalmente: tendências de contagem de ativos, MTTR por severidade
Métricas-Chave do EASM
| Métrica | O Que Mede |
|---|---|
| Contagem de ativos externos | Tamanho e tendência de crescimento da superfície de ataque |
| Taxa de ativos desconhecidos | % de ativos não previamente no inventário |
| Contagem de exposições críticas | Ativos com descobertas de severidade crítica |
| Tempo Médio de Remediação (MTTR) | Velocidade de resposta de segurança por severidade |
| Cobertura de certificados | % de certificados ativamente monitorados |
| Taxa de descoberta de Shadow IT | Novos ativos não sancionados encontrados por período |