O Gerenciamento de Risco de Superfície de Ataque (Attack surface management ou ASM) é a descoberta, avaliação e mitigação de ameaças ao ecossistema de TI de uma organização.
O Attack surface management (ASM) é uma abordagem de Cibersegurança que visa ajudar as organizações a se tornarem mais fortes na defesa de seus dados e sistemas, tornando as ameaças mais visíveis. Trata-se de saber onde os riscos existem, entender sua gravidade relativa e tomar medidas para fechar lacunas de segurança relacionadas a pessoas, processos e tecnologia.
ASM is a traditional cybersecurity approach that includes asset discovery and monitoring. Ele analisa as ameaças potenciais da mesma forma que um agente mal-intencionado as veria: como oportunidades para violar as defesas de uma organização e causar danos financeiros, operacionais ou reputacionais.
O que é a superfície de ataque?
A superfície de ataque é a soma total de todas as formas pelas quais um agente mal-intencionado pode obter acesso à rede, aos dados ou aos recursos de TI de uma organização. Ela possui três partes:
- A superfície de ataque digital é composta por todo o hardware, software e dados que podem ser acessados externamente, mesmo que estejam protegidos por criptografia, protocolos de autenticação, firewalls ou outras medidas.
- A superfície de ataque física consiste em todos os equipamentos e dispositivos físicos que podem ser roubados ou manipulados fisicamente para causar um comprometimento ou violação.
- A superfície de ataque social ou humana refere-se a todas as pessoas em uma organização com acesso a sistemas e dados que podem ser enganadas, chantageadas ou manipuladas (por exemplo, por um esquema de engenharia social como o phishing) para causar um comprometimento ou violação.
Attack surface management vs. cyber risk management
O Attack surface management (ASM) é um elemento essencial do cyber risk management e, juntos, ajudam as organizações a melhorar sua consciência situacional em Cibersegurança—identificando, priorizando e mitigando ameaças de forma proativa.
O Cyber risk management é uma abordagem abrangente de Cibersegurança que vai além do ASM, com foco em conhecer e mitigar riscos em toda a organização. Um bom framework de Gerenciamento de Risco Cibernético ajuda a determinar quais riscos são mais relevantes, apoiando a “tomada de decisões baseada em risco” para reduzir a exposição geral a ameaças. Isso permite que as equipes de segurança reforcem as defesas, minimizem vulnerabilidades e contribuam para os processos gerais de gerenciamento de riscos e planejamento estratégico de suas organizações.
Attack surface management vs. external attack surface management (EASM)
O External attack surface management (EASM) foca especificamente nas vulnerabilidades e riscos associados a dispositivos e sistemas voltados para o exterior, incluindo aqueles conectados à internet. A superfície de ataque interna, que pode incluir equipamentos locais e recursos particionados, não é coberta pelo EASM.
Por que o ASM é importante?
O ASM se tornou extremamente importante porque os ambientes de TI das empresas estão mais dinâmicos e interconectados do que nunca, tornando a superfície de ataque maior e mais variada. As abordagens tradicionais de descoberta e monitoramento de ativos e as soluções pontuais de Cibersegurança com propósito único não conseguem fornecer a visibilidade, a inteligência ou a proteção necessárias. O ASM, por outro lado, permite que as equipes de segurança reduzam o número de caminhos de entrada no ecossistema de TI da empresa e obtenham uma visão em tempo real das vulnerabilidades emergentes e dos vetores de ataque.
Contra o que o ASM oferece proteção?
O ASM ajuda as organizações a se defenderem contra uma ampla variedade de ameaças, também conhecidas como “vetores de ataque”. Isso inclui, mas não se limita a:
- Ciberataques: Ransomware, vírus e outros tipos de malware podem ser injetados nos sistemas corporativos, permitindo que agentes mal-intencionados acessem redes e recursos, exfiltrem dados, sequestrem dispositivos e causem danos a ativos e dados.
- Problemas de codificação e configurações incorretas: Configurações incorretas de tecnologias de rede e segurança em nuvem, como portas, pontos de acesso, protocolos e similares, deixam “portas” abertas para agentes mal-intencionados e são uma causa comum de violações.
- Esquemas de phishing: Isso inclui e-mails fraudulentos, mensagens de texto, mensagens de voz (e até, atualmente, chamadas de vídeo com deepfakes gerados por IA) que enganam os usuários e os induzem a tomar ações que comprometem a Cibersegurança. Isso pode incluir o compartilhamento de informações sensíveis, o clique em links que levam a malware, a liberação de fundos que não deveriam ser pagos, entre outros. A IA tem tornado o phishing mais difícil de detectar e mais direcionado.
- Tecnologias e aplicações desatualizadas: Softwares, firmwares e sistemas operacionais de dispositivos precisam ser codificados corretamente e atualizados com correções contra vulnerabilidades e ameaças conhecidas; caso contrário, podem oferecer aos agentes mal-intencionados uma forma de violar uma organização. Dispositivos antigos que ainda fazem parte do ambiente de TI, mas não são mantidos ou utilizados ativamente, também podem fornecer pontos de acesso convenientes para Agentes mal-intencionados, já que frequentemente não são monitorados.
- Senhas fracas e criptografia insuficiente: Senhas fáceis de adivinhar — seja por serem óbvias, simples demais ou reutilizadas em várias contas — podem dar aos Agentes mal-intencionados acesso aos recursos digitais de uma organização. Credenciais roubadas também estão em alta demanda entre os cibercriminosos pelos mesmos motivos. A criptografia serve para disfarçar informações de modo que apenas pessoas autorizadas possam lê-las. Se ela não for suficientemente forte, hackers podem extrair dados que podem ser usados para lançar ataques em maior escala.
- Shadow IT: Ferramentas utilizadas pelos colaboradores de uma organização que não fazem parte do ambiente de TI conhecido ou autorizado são consideradas “shadow IT” e podem criar vulnerabilidades justamente porque a equipe de Cibersegurança não tem conhecimento delas. Isso inclui aplicativos, dispositivos de armazenamento portátil, celulares e tablets pessoais, entre outros.
Como o ASM funciona?
O ASM possui três fases principais: descoberta, avaliação e mitigação. Como a superfície de ataque está em constante mudança, as três fases devem ser executadas continuamente.
Descoberta
A fase de descoberta define a superfície de ataque e todos os ativos que a compõem. O objetivo da descoberta é identificar todos os dispositivos, softwares, sistemas e pontos de acesso conhecidos e desconhecidos que compõem a superfície de ataque — incluindo até mesmo aplicativos de shadow IT, tecnologias de terceiros conectadas e tecnologias que não faziam parte de inventários anteriores. Embora muitas soluções ofereçam a descoberta como parte de sua solução de ASM, é necessário ter discernimento. Busque uma solução que integre compliance e quantificação de risco cibernético para garantir uma visão completa do risco, indo além da descoberta de ativos para revelar a verdadeira exposição. Um processo contínuo de descoberta ajuda a revelar como a superfície de ataque pode estar mudando ao longo do tempo.
Avaliação
Após a descoberta, as equipes de segurança avaliam cada ativo quanto a possíveis vulnerabilidades — desde configurações incorretas e erros de codificação até fatores sociais/humanos, como suscetibilidade a esquemas de phishing ou ataques de comprometimento de e-mail corporativo (BEC). Cada risco recebe uma pontuação, permitindo que as equipes de segurança priorizem aqueles que precisam ser tratados com mais urgência.
A pontuação de risco é geralmente baseada no nível de risco, probabilidade de ataque, danos potenciais e dificuldade de remediação. Idealmente, ela também levará em conta a inteligência global de ameaças sobre quais vulnerabilidades estão sendo exploradas com mais frequência e facilidade.
Exemplo: Se um software oferece acesso a dados sensíveis, está conectado à internet e possui uma vulnerabilidade conhecida que já foi explorada por Agentes mal-intencionados no mundo real, corrigi-lo provavelmente será uma prioridade máxima.
Uma vez que todos os riscos são pontuados, o total é calculado para fornecer uma pontuação geral de risco da empresa. Isso permite que a organização estabeleça uma referência e monitore seu perfil de risco ao longo do tempo.
Mitigação
Mitigação trata de tomar medidas para lidar com as vulnerabilidades que foram descobertas. Isso pode significar executar atualizações de software ou instalar patches, configurar controles de segurança e hardware, ou implementar frameworks de proteção como o Zero Trust. Também pode incluir a eliminação de sistemas e softwares antigos. De qualquer forma, é fundamental contar com a solução certa para ajudar a abordar a mitigação de maneira escalável.
Quais são os benefícios do ASM?
Um bom gerenciamento de risco de superfície de ataque oferece uma ampla gama de benefícios para as organizações, começando pelo fortalecimento da postura geral de segurança ao proporcionar mais visibilidade de todo o ambiente de TI e da superfície de ataque. Isso, por sua vez, ajuda a reduzir o risco, com o apoio de monitoramento contínuo e reavaliações para manter os níveis de risco baixos.
Isso proporciona tranquilidade à equipe de segurança, ao mesmo tempo em que oferece benefícios significativos para o negócio como um todo. Ter visibilidade da superfície de ataque permite maior transparência e controle sobre os ativos, reduzindo o risco de ciberataques e aumentando a economia de custos. Quando as equipes de segurança conseguem agir com mais rapidez e eficácia, as organizações podem estar melhor posicionadas para garantir a continuidade dos negócios. Pois, quando os ataques são identificados e mitigados mais cedo, há menos risco de interrupções significativas.
Como podemos implementar o ASM?
O ASM requer uma solução de cyber risk exposure management integrada a uma plataforma de Cibersegurança que adote uma abordagem proativa para executar as fases de descoberta, avaliação e mitigação.
Escolher uma plataforma com fortes recursos de operações de segurança, como security information and event management (SIEM), endpoint detection and response (EDR) e extended detection and response (XDR), é especialmente importante. O XDR, em particular, fornece dados e análises essenciais sobre o desempenho das proteções atuais da superfície de ataque. Esses insights ajudam a tornar a fase de avaliação de risco mais precisa.
Onde posso obter ajuda com o Gerenciamento de Risco de Superfície de Ataque?
O Gerenciamento de Risco de Superfície de Ataque não é suficiente no exigente cenário de riscos atual. As organizações precisam de recursos de cyber risk exposure management para prever, descobrir, avaliar e mitigar riscos de forma proativa, a fim de reduzir significativamente sua exposição ao risco cibernético.
O Trend Vision One™ oferece uma solução de Cyber Risk Exposure Management (CREM) que adota uma abordagem revolucionária ao combinar recursos essenciais — como External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management e Security Posture Management — abrangendo nuvem, dados, identidade, APIs, IA, Compliance e aplicações SaaS em uma única solução poderosa e fácil de usar.
Saiba mais sobre como o Cyber Risk Exposure Management pode ajudar você com o Gerenciamento de Risco de Superfície de Ataque e além.