O que é gerenciamento de superfície de ataque?

Ao contrário de outras disciplinas de cibersegurança, o ASM é conduzido inteiramente da perspectiva de um hacker, em vez da perspectiva do defensor. Ele identifica alvos e avalia riscos com base nas oportunidades que eles apresentam para um atacante mal-intencionado.

O ASM se baseia em muitos dos mesmos métodos e recursos que os hackers utilizam. Muitas tarefas e tecnologias de ASM são concebidas e executadas por hackers éticos, que estão familiarizados com os comportamentos dos cibercriminosos e habilidosos em duplicar suas ações.

O gerenciamento da superfície de ataque externo (EASM), uma tecnologia relativamente nova de ASM, às vezes é usado de forma intercambiável com ASM. No entanto, o EASM se concentra especificamente nas vulnerabilidades e riscos apresentados pelos ativos de TI externos ou voltados para a internet de uma organização — às vezes referidos como a superfície de ataque digital da organização.

O ASM também aborda vulnerabilidades nas superfícies de ataque físicas e de engenharia social de uma organização, como agentes internos maliciosos ou treinamento inadequado dos usuários finais contra golpes de phishing.

Aumentos na adoção de nuvem, transformação digital e expansão do trabalho remoto nos últimos anos tornaram a pegada digital e a superfície de ataque da empresa média maiores, mais distribuídas e mais dinâmicas, com novos ativos conectando-se à rede da empresa diariamente.

Os processos tradicionais de descoberta de ativos, avaliação de riscos e gerenciamento de vulnerabilidades, que foram desenvolvidos quando as redes corporativas eram mais estáveis e centralizadas, não conseguem acompanhar a velocidade com que novas vulnerabilidades e vetores de ataque surgem nas redes de hoje. O teste de penetração, por exemplo, pode testar vulnerabilidades suspeitas em ativos conhecidos, mas não pode ajudar as equipes de segurança a identificar novos riscos cibernéticos e vulnerabilidades que surgem diariamente.

Mas o fluxo de trabalho contínuo e a perspectiva de um hacker do ASM permitem que as equipes de segurança e os centros de operações de segurança (SOCs) estabeleçam uma postura de segurança proativa diante de uma superfície de ataque em constante crescimento e mutação. As soluções de ASM fornecem visibilidade em tempo real sobre vulnerabilidades e vetores de ataque à medida que surgem.

Elas podem aproveitar informações de ferramentas e processos tradicionais de avaliação de riscos e gerenciamento de vulnerabilidades para maior contexto ao analisar e priorizar vulnerabilidades. E podem se integrar a tecnologias de detecção e resposta de ameaças, incluindo gerenciamento de eventos e informações de segurança (SIEM), detecção e resposta de endpoint (EDR) ou detecção e resposta estendidas (XDR), para melhorar a mitigação de ameaças e acelerar a resposta a ameaças em toda a empresa.

O ASM consiste em quatro processos principais: descoberta de ativos, classificação e priorização, remediação e monitoramento. Novamente, como o tamanho e a forma da superfície de ataque digital mudam constantemente, os processos são realizados continuamente, e as soluções de ASM automatizam esses processos sempre que possível. O objetivo é equipar as equipes de segurança com um inventário completo e atualizado de ativos expostos e acelerar a resposta às vulnerabilidades e ameaças que representam o maior risco para a organização.

A descoberta de ativos verifica e identifica hardware, software e ativos de nuvem voltados para a Internet que podem atuar como pontos de entrada para um hacker ou cibercriminoso que tenta atacar uma organização, de forma automática e contínua. Esses ativos podem incluir:

• Ativos conhecidos: toda a infraestrutura e recursos de TI que a organização conhece e está gerenciando ativamente — roteadores, servidores, dispositivos emitidos pela empresa ou de propriedade privada (PCs, notebooks, dispositivos móveis), dispositivos IoT, diretórios de usuários, aplicações implementadas no local e na nuvem, sites e bancos de dados proprietários.
  
  
• Ativos desconhecidos: ativos "não inventariados" que usam recursos de rede sem o conhecimento da equipe de TI ou de segurança. TI invisível (hardware ou software implementado na rede sem aprovação e/ou supervisão administrativa oficial) é o tipo mais comum de ativo desconhecido. Exemplos de TI invisível incluem sites pessoais, aplicações em nuvem e dispositivos móveis não gerenciados que utilizam a rede da organização. TI órfã (software antigo, sites e dispositivos não mais em uso que não foram devidamente desativados) são outro tipo comum de ativo desconhecido.
  
  
• Ativos de terceiros ou fornecedores: ativos que a organização não possui, mas que fazem parte da infraestrutura de TI ou da cadeia de suprimentos digital da organização. Incluem aplicações de software como serviço (SaaS), APIs, ativos de nuvem pública ou serviços de terceiros usados no site da organização.
  
  
• Ativos de subsidiárias: qualquer ativo conhecido, desconhecido ou de terceiros que pertença às redes das empresas subsidiárias de uma organização. Após uma fusão ou aquisição, esses ativos podem não chegar imediatamente ao conhecimento das equipes de TI e segurança da organização matriz.
  
  
• Ativos maliciosos ou fraudulentos: ativos que os agentes de ameaças criam ou roubam para atacar a empresa. Podem incluir um site de phishing que se passa pela marca de uma empresa ou dados sensíveis roubados como parte de uma violação de dados sendo compartilhados na dark web.

Depois que os ativos são identificados, eles são classificados, analisados em busca de vulnerabilidades e priorizados por "atacabilidade" — essencialmente uma medida objetiva da probabilidade de hackers atacá-los.

Os ativos são inventariados por identidade, endereço IP, propriedade e conexões com outros ativos na infraestrutura de TI. Eles são analisados quanto às exposições que possam ter, as causas dessas exposições (por exemplo, configurações incorretas, erros de programação, patches ausentes) e os tipos de ataques que os hackers podem realizar através dessas exposições (por exemplo, roubo de dados sensíveis, disseminação de ransomware ou outro malware). 

Em seguida, as vulnerabilidades são priorizadas para remediação. A priorização é um exercício de avaliação de risco: normalmente, cada vulnerabilidade recebe uma classificação de segurança ou pontuação de risco com base em

• Informações reunidas durante a classificação e análise.
  
  
• Dados de feeds de inteligência de ameaças (proprietários e de código aberto), serviços de classificação de segurança, a dark web e outras fontes sobre como as vulnerabilidades são visíveis para hackers, quão fáceis são de explorar, como foram exploradas etc.
  
  
• Resultados das atividades de gerenciamento de vulnerabilidades e avaliação de risco de segurança da organização. Uma dessas atividades, chamada red teaming, é essencialmente um teste de penetração do ponto de vista do hacker (e muitas vezes conduzido por hackers éticos internos ou de terceiros). Em vez de testar vulnerabilidades conhecidas ou suspeitas, os red teamers testam todos os ativos que um hacker pode tentar explorar.

Normalmente, as vulnerabilidades são remediadas em ordem de prioridade. Isso pode envolver:

• Aplicação de controles de segurança apropriados ao ativo em questão — por exemplo, aplicação de patches de software ou sistema operacional, depuração de código de aplicação, implementação de criptografia de dados mais forte.
  
  
• Colocar ativos anteriormente desconhecidos sob controle - definir padrões de segurança para TI anteriormente não gerenciada, aposentar com segurança a TI órfã, eliminar ativos não autorizados, integrar ativos subsidiários à estratégia, políticas e fluxos de trabalho de segurança cibernética da organização.

A remediação também pode envolver medidas mais amplas e cruzadas entre ativos para lidar com vulnerabilidades, como a implementação de acesso menos privilegiado ou autenticação multifator (MFA).

Como os riscos de segurança na superfície de ataque da organização mudam sempre que novos ativos são implementados ou ativos existentes são implementados de novas maneiras, tanto os ativos inventariados da rede quanto a própria rede são continuamente monitorados e escaneados em busca de vulnerabilidades. O monitoramento contínuo permite que o ASM detecte e avalie novas vulnerabilidades e vetores de ataque em tempo real, e alerte as equipes de segurança sobre quaisquer novas vulnerabilidades que precisem de atenção imediata.