O que é uma superfície de ataque?

À medida que as organizações adotam cada vez mais serviços em nuvem e modelos de trabalho híbridos (no local/trabalho em casa), suas redes e as superfícies de ataque associadas a elas tornam-se maiores e mais complexas a cada dia. De acordo com o State of Attack Surface Management 2022, da Randori, 67% das organizações viram suas superfícies de ataque crescerem em tamanho nos últimos dois anos. 

Especialistas em segurança dividem a superfície de ataque em três subsuperfícies: a superfície de ataque digital, a superfície de ataque física e a superfície de ataque de engenharia social.

A superfície de ataque digital potencialmente expõe a infraestrutura em nuvem e no local da organização a qualquer hacker com uma conexão à internet. Vetores de ataque comuns na superfície de ataque digital de uma organização incluem:

1. Senhas fracas
2. Configuração incorreta
3. Vulnerabilidades de software, sistema operacional (SO) e firmware
4. Ativos voltados para a Internet
5. Bancos de dados e diretórios compartilhados
6. Dispositivos, dados ou aplicações desatualizadas ou obsoletas
7. TI invisível

• Senhas fracas: senhas que são fáceis de adivinhar (ou fáceis de quebrar via ataques de força bruta) aumentam o risco de que cibercriminosos comprometam contas de usuários para acessar a rede, roubar informações sensíveis, espalhar malware e danificar a infraestrutura. De acordo com o relatório do custo das violações de dados de 2025 da IBM, credenciais comprometidas estão envolvidas em 10% das violações.
   

• Configuração incorreta: portas de rede, canais, pontos de acesso sem fio, firewalls ou protocolos configurados inadequadamente servem como pontos de entrada para hackers. Ataques de intermediário, por exemplo, aproveitam-se de protocolos de criptografia fracos em canais de transmissão de mensagens para interceptar comunicações entre sistemas.
   

• Vulnerabilidades de software, SO e firmware: hackers e cibercriminosos podem aproveitar erros de programação ou implementação em aplicativos de terceiros, sistemas operacionais e outros softwares ou firmware para infiltrar-se em redes, acessar diretórios de usuários ou plantar malware. Por exemplo, em 2021, cibercriminosos aproveitaram uma falha na plataforma VSA (dispositivo de armazenamento virtual) da Kaseya para distribuir ransomware, disfarçado como uma atualização de software, para os clientes da Kaseya.
   

• Ativos voltados para a internet: aplicações web, servidores web e outros recursos que enfrentam a internet pública são inerentemente vulneráveis a ataques. Por exemplo, hackers podem injetar código malicioso em interfaces de programação de aplicativos (APIs) não seguras, fazendo com que elas divulguem ou até destruam informações sensíveis em bancos de dados associados.
  

• Bancos de dados e diretórios compartilhados: hackers podem explorar bancos de dados e diretórios que são compartilhados entre sistemas e dispositivos para obter acesso não autorizado a recursos sensíveis ou lançar ataques de ransomware. Em 2016, o ransomware Virlock se espalhou infectando pastas de arquivos colaborativas que são acessadas por vários dispositivos.
   

• Dispositivos, dados ou aplicações desatualizados ou obsoletos: a falha em aplicar atualizações e patches consistentemente cria riscos de segurança. Um exemplo notável é o ransomware WannaCry, que se espalhou por exploração de uma vulnerabilidade no sistema operacional Microsoft Windows para a qual havia um patch disponível. Da mesma forma, quando endpoints, conjuntos de dados, contas de usuário e aplicativos obsoletos não são desinstalados, excluídos ou descartados, eles criam vulnerabilidades não monitoradas que os cibercriminosos podem explorar facilmente.
   

• TI invisível: TI invisível é software, hardware ou dispositivos (aplicativos gratuitos ou populares, dispositivos de armazenamento portáteis, um dispositivo móvel pessoal não seguro) que os funcionários usam sem o conhecimento ou aprovação do departamento de TI. Como não é monitorada pelas equipes de TI ou segurança, a TI invisível pode introduzir sérias vulnerabilidades que os hackers podem explorar.

A superfície de ataque física expõe ativos e informações tipicamente acessíveis apenas a usuários com acesso autorizado ao escritório físico da organização ou aos dispositivos endpoint (servidores, computadores, notebooks, dispositivos móveis, dispositivos de IoT ou hardware operacional).

• Agentes internos maliciosos: funcionários insatisfeitos ou subornados ou outros usuários com intenções maliciosas podem usar seus privilégios de acesso para roubar dados sensíveis, desativar dispositivos, plantar malware ou pior.
  

• Roubo de dispositivos: criminosos podem roubar dispositivos de endpoint ou obter acesso a eles invadindo as instalações de uma organização. Depois que estão em posse do hardware, os hackers podem acessar dados e processos armazenados nesses dispositivos. Eles também podem usar a identidade e as permissões do dispositivo para acessar outros recursos da rede. Endpoints usados por trabalhadores remotos, dispositivos pessoais dos funcionários e dispositivos descartados de forma inadequada são alvos típicos de roubo.
   

• Baiting: é um ataque em que hackers deixam drives USB infectados com malware em locais públicos, esperando enganar os usuários para que conectem os dispositivos em seus computadores e baixem o malware involuntariamente.

A engenharia social manipula as pessoas para que cometam erros que comprometam a segurança ou os ativos pessoais ou organizacionais de várias maneiras, como:

• compartilhando informações que não deveriam compartilhar
• baixando software que não deveriam baixar
• visitando sites que não deveriam visitar
• envio de dinheiro para criminosos

Como explora fraquezas humanas em vez de vulnerabilidades técnicas ou digitais do sistema, a engenharia social é às vezes chamada de "hacking humano".

A superfície de ataque de engenharia social de uma organização essencialmente equivale ao número de usuários autorizados que não estão preparados para ou são vulneráveis a ataques de engenharia social.

O phishing é o vetor de ataque de engenharia social mais conhecido e prevalente. De acordo com o  relatório do custo das violações de dados de 2025 da IBM, o phishing é a principal causa de violações de dados.

Em um ataque de phishing, os golpistas enviam e-mails, mensagens de texto ou mensagens de voz que tentam manipular os destinatários para que compartilhem informações sensíveis, baixem software malicioso, transfiram dinheiro ou ativos para as pessoas erradas ou tomem alguma outra ação prejudicial. Os golpistas criam mensagens de phishing para parecer ou soar como se fossem de uma organização ou indivíduo confiável ou crível—um varejista popular, uma organização governamental ou, às vezes, até mesmo uma pessoa que o destinatário conhece pessoalmente.

O gerenciamento da superfície de ataque (ASM) refere-se a processos e tecnologias que adotam a visão e abordagem de um hacker em relação à superfície de ataque de uma organização — descobrindo e monitorando continuamente os ativos e vulnerabilidades que os hackers identificam e tentam explorar ao direcionar a organização. O ASM normalmente envolve:

Descoberta contínua, inventário e monitoramento de ativos potencialmente vulneráveis. Qualquer iniciativa de ASM começa com um inventário completo e continuamente atualizado dos ativos de TI voltados para a internet de uma organização, incluindo ativos locais e em nuvem. Adotar a abordagem de um hacker garante a descoberta não apenas de ativos conhecidos, mas também de aplicações ou dispositivos de TI invisível. Essas aplicações ou dispositivos podem ter sido abandonados, mas não excluídos ou desativados (TI órfã). Ou ativos plantados por hackers ou malware (TI desonesta), entre outros—essencialmente qualquer ativo que possa ser explorado por um hacker ou ameaça cibernética.

Uma vez descobertos, os ativos são monitorados continuamente, em tempo real, para mudanças que aumentem seu risco como um potencial vetor de ataque.

Análise da superfície de ataque, avaliação de risco e priorização. As tecnologias de ASM pontuam ativos de acordo com suas vulnerabilidades e riscos de segurança que apresentam, e os priorizam para resposta a ameaças ou remediação.

Redução da superfície de ataque e remediação. As equipes de segurança podem aplicar suas descobertas da análise da superfície de ataque e do red teaming para tomar várias ações de curto prazo para reduzir a superfície de ataque. Isso pode incluir a imposição de senhas mais fortes, a desativação de aplicações e dispositivos de endpoint que não estão mais em uso, a aplicação de patches de aplicação e sistema operacional, o treinamento de usuários para reconhecer golpes de phishing, a instituição de controles de acesso biométricos para entrada no escritório ou a revisão de controles e políticas de segurança em torno de downloads de software e mídias removíveis.

As organizações também podem adotar medidas de segurança mais estruturais ou de longo prazo para reduzir a superfície de ataque, seja como parte ou independentemente de uma iniciativa de gerenciamento de superfície de ataque. Por exemplo, a implementação de autenticação de dois fatores (2FA) ou autenticação multifator pode reduzir ou eliminar vulnerabilidades potenciais associadas a senhas fracas ou má higiene de senhas.

Em uma escala mais ampla, uma abordagem de segurança de zero trust pode reduzir significativamente a superfície de ataque de uma organização. Uma abordagem de zero trust exige que todos os usuários, sejam externos ou já dentro da rede, sejam autenticados, autorizados e continuamente validados para obter e manter acesso a aplicações e dados. Princípios e tecnologias de zero trust (validação contínua, acesso com privilégios mínimos, monitoramento contínuo, microssegmentação de rede) podem reduzir ou eliminar muitos vetores de ataque e fornecer dados valiosos para a análise contínua da superfície de ataque.