O External attack surface management (gerenciamento da superfície de ataque externa ou EASM) é uma abordagem de Cibersegurança focada em identificar, monitorar e mitigar riscos associados a dados, sistemas e tecnologias que estão conectados ao mundo externo.
A superfície de ataque de uma organização é o conjunto total de vulnerabilidades, pontos de acesso e vetores de ataque que agentes mal-intencionados podem usar para obter acesso não autorizado a sistemas e dados. É o que os criminosos visam quando querem interromper sistemas, roubar dados, extorquir um resgate ou realizar qualquer outro tipo de ação maliciosa.
Toda organização possui uma superfície de ataque interna e externa. A superfície de ataque interna compreende tudo o que compõe o ambiente de rede interno: infraestrutura, dispositivos, aplicações, usuários e mais.
A superfície de ataque externa, como o nome sugere, é toda a tecnologia que se conecta e interage com o mundo externo por meio da internet, serviços em nuvem, conectividade móvel e afins. Também inclui conexões com fornecedores terceirizados, parceiros, vendedores e trabalhadores remotos.
O gerenciamento da superfície de ataque externa (EASM) é o processo de proteger esses ativos, recursos e tecnologias expostos externamente. Ele recebe atenção especial porque muitas ameaças vêm de fora das organizações e porque a superfície de ataque externa, em particular, é mais dinâmica e complexa do que nunca. Uma organização que pode gerenciar proativamente sua superfície de ataque externa é capaz de fortalecer drasticamente sua postura de segurança.
Gerenciamento da Superfície de Ataque Externa vs. Gerenciamento da Superfície de Ataque
O gerenciamento da superfície de ataque (ASM) é um termo abrangente que cobre toda a superfície de ataque, interna e externa. O gerenciamento da superfície de ataque externa é focado apenas nos riscos externos. Ambos os tipos de gerenciamento da superfície de ataque têm três dimensões — digital, física e social/humana — e ambos exigem um processo contínuo de três etapas: descoberta, avaliação e mitigação.
Por que o EASM é importante?
O EASM tornou-se cada vez mais importante à medida que as redes se tornaram interconectadas e abertas. Acabaram-se os dias em que gateways e firewalls podiam manter os invasores afastados de forma confiável, respaldados por testes rotineiros de vulnerabilidade e penetração. Hoje em dia, as redes têm menos "fronteiras rígidas" para proteger de maneiras tradicionais, criando abundantes novas oportunidades para cibercriminosos obterem acesso a sistemas e dados e causar danos.
Ao mesmo tempo, a TI corporativa tornou-se altamente descentralizada. As unidades de negócios e os usuários individuais podem criar recursos em nuvem sem a ajuda do departamento de TI. Aplicativos e serviços de Shadow IT são abundantes, e muitos trabalhadores usam dispositivos pessoais em redes corporativas ou para fins de trabalho.
Tudo isso significa que a superfície de ataque externa tem mais vulnerabilidades do que nunca e exige uma abordagem coordenada e abrangente para o gerenciamento de cyber risk. O EASM traz toda a superfície de ataque externa à vista, permitindo monitoramento contínuo e mitigação. Isso permite que as equipes de Cibersegurança entendam onde suas organizações estão mais vulneráveis e tomem medidas para agir sobre isso.
Contra o que o EASM protege?
A maioria dos vetores de ataque (métodos de conduzir um ataque cibernético) tem como alvo a superfície de ataque externa. Os mais comuns incluem ransomware e esquemas de phishing, assim como incursões com a intenção de roubar dados privados ou de alto valor, ou de interromper sistemas operacionais. O EASM ajuda as equipes de segurança a reduzir a superfície de ataque externa, de modo que vetores como esses tenham menos oportunidades de invadir o ambiente da empresa.
O EASM também capacita as organizações a cumprirem leis e regulamentações de privacidade e proteção de dados, fornecendo maior visibilidade sobre a superfície de ataque externa e permitindo que as equipes de segurança previnam ou contenham violações.
Exemplos de elementos da superfície de ataque externa:
Qualquer sistema ou serviço acessível pela internet pode fazer parte da superfície de ataque externa. Cada organização terá sua própria combinação específica de dispositivos e tecnologias que estão voltados para o exterior e potencialmente expostos. Alguns exemplos comuns incluem:
- Aplicações web: Qualquer empresa com um site de e-commerce ou motor de reservas está executando uma aplicação web (web app). Isso faz das aplicações web uma parte importante da superfície de ataque externa de muitas organizações, acessíveis a qualquer pessoa com uma conexão à internet. Se uma aplicação web estiver mal configurada ou mal protegida, um agente mal-intencionado pode explorar essas vulnerabilidades para implantar malware, roubar dados ou acessar sistemas corporativos internos conectados à aplicação web.
- Serviços em nuvem: Os serviços em nuvem e a infraestrutura virtualizada oferecem às organizações acesso a recursos de computação convenientes, flexíveis e altamente escaláveis. Mas, como exigem uma conexão externa à rede para que uma organização os utilize, eles ficam expostos e potencialmente vulneráveis a ataques. Assim como nas aplicações web, quando a infraestrutura em nuvem é configurada de forma inadequada, os hackers podem explorar essas fraquezas.
- Sistemas de acesso remoto: A explosão do trabalho remoto e híbrido durante e após a pandemia exige que os trabalhadores acessem sistemas e dados corporativos a partir de suas redes domésticas ou de redes potencialmente inseguras durante viagens. As tecnologias usadas para proteger essas conexões, como redes privadas virtuais (VPNs), passaram a ser alvo de atacantes como vias de acesso aos ambientes de TI corporativos.
- Dispositivos da Internet das Coisas (IoT): Muitas empresas e edifícios agora são habilitados para IoT, para tudo, desde controles ambientais até sistemas de segurança, incluindo casas de trabalhadores e escritórios em casa. Esses dispositivos também compõem uma parte crescente da superfície de ataque externa.
Outra área de exposição externa que as organizações precisam considerar em suas estratégias de EASM envolve os relacionamentos com fornecedores terceiros. Muitas empresas dependem de terceiros para serviços comerciais, financeiros e técnicos — como provedores de serviços gerenciados (MSPs) para TI e parceiros de processamento de pagamentos. Qualquer conectividade entre esses terceiros e os ativos de TI da organização pode ser um alvo potencial para atacantes.
Como o EASM funciona?
Assim como o gerenciamento geral da superfície de ataque (ASM), o EASM envolve um processo contínuo e repetitivo de descoberta, avaliação e mitigação.
Descoberta
Uma plataforma de Cibersegurança com capacidades de gerenciamento da superfície de ataque externa deve ser capaz de identificar todos os ativos voltados para o exterior, incluindo aqueles que podem não estar incluídos nos inventários existentes. Os ativos e elementos verificados como parte do processo de descoberta incluem serviços em nuvem, aplicações web, endereços IP, domínios e outros. Uma solução de EASM também pode descobrir aplicações shadow IT na nuvem que representam lacunas totais de Cibersegurança (“desconhecidos desconhecidos”).
Avaliação
Após a descoberta, a solução de EASM pode então ser usada para a avaliação dos riscos da superfície de ataque externa. Isso normalmente inclui a verificação de configurações incorretas, softwares sem virtual patching, sistemas desatualizados, vulnerabilidades conhecidas e potenciais, entre outros. Uma vez que as vulnerabilidades tenham sido identificadas dessa forma, elas podem ser priorizadas de acordo com seu nível relativo de risco (conhecido como pontuação de risco). Isso oferece à organização uma maneira de determinar quais riscos são mais urgentes ou significativos, para que os recursos possam ser alocados de forma adequada para responder.
Mitigação
A mitigação pode envolver a desativação de hardwares antigos, a atualização e aplicação de virtual patching em softwares, a correção de configurações incorretas, a inclusão de aplicações shadow IT sob gerenciamento, entre outras ações. Como parte do processo contínuo de EASM, a superfície de ataque externa deve ser monitorada de forma contínua para que, à medida que o ambiente de TI e o cenário de ameaças mudem, a organização possa ser proativa e manter uma postura de segurança robusta.
Quais são os benefícios do EASM?
O EASM oferece diversos benefícios relacionados para as organizações:
- Visibilidade: O EASM oferece às organizações uma visão abrangente de seus ativos tecnológicos voltados para o exterior, revelando vulnerabilidades anteriormente desconhecidas para possibilitar defesas cibernéticas mais fortes e completas.
- Efetividade: O EASM contribui para uma resposta a incidentes mais rápida e precisa, graças à detecção mais ágil de ameaças e a uma visão mais completa do ambiente de TI, tornando possível conter as ameaças de forma mais rápida e completa.
- Compliance: Organizações de diversos setores são obrigadas a cumprir estruturas legais e regulatórias para proteção de dados e privacidade. O EASM apoia o Compliance como parte de uma boa abordagem geral de gerenciamento de risco cibernético.
Todos esses fatores combinados proporcionam uma postura geral de segurança mais robusta, baseada em inteligência em tempo real e respostas de Cibersegurança direcionadas.
Como o EASM se encaixa no gerenciamento de risco cibernético?
O gerenciamento de risco cibernético é uma forma de aprimorar a consciência situacional de Cibersegurança de uma organização — identificando, priorizando e mitigando ameaças. O EASM é apenas uma pequena parte de uma estrutura geral de gerenciamento de risco cibernético.
De modo geral, o gerenciamento de risco cibernético tem como objetivo ajudar as organizações a serem mais proativas na identificação e no gerenciamento de ameaças, com medidas e controles de segurança personalizados para atender às necessidades específicas, ao contexto do setor e ao cenário de ameaças do negócio em questão. Seu objetivo é possibilitar uma visão em tempo real das ameaças por meio de monitoramento contínuo e avaliações constantes, além de garantir que todos os colaboradores compartilhem a mesma mentalidade proativa de Cibersegurança.
As fases do gerenciamento de risco cibernético são as mesmas do EASM: descoberta, avaliação e mitigação.
Uma solução completa de cyber risk exposure management incluirá ASM, EASM, Cyber Asset Attack Surface Management (CAASM), gerenciamento de risco de vulnerabilidades, postura de segurança, quantificação de risco de Compliance e pontuação de risco, além de políticas, procedimentos e outros componentes relacionados à governança para garantir objetivos claros e uma execução consistente.
Onde posso obter ajuda com EASM?
O EASM é uma parte importante do ASM, mas para construir uma verdadeira resiliência ao risco, as organizações precisam de um amplo conjunto de recursos avançados de cyber risk exposure, como EASM, Cyber Asset Attack Surface Management (CAASM), gerenciamento de vulnerabilidades e gerenciamento da postura de segurança. O Trend Vision One oferece uma solução de Cyber Risk Exposure Management que combina todos esses recursos para permitir o monitoramento contínuo dos pontos de entrada, a priorização de ações de mitigação com base no impacto, a tradução dos riscos em termos financeiros e a previsão de ameaças futuras para neutralizar os riscos antes que se materializem.
Saiba mais sobre como o Cyber Risk Exposure Management pode ajudar você a ir além do simples gerenciamento da superfície de ataque.