Ao contrário de outras disciplinas de cibersegurança, o ASM é conduzido inteiramente da perspectiva de um hacker, em vez da perspectiva do defensor. Ele identifica alvos e avalia riscos com base nas oportunidades que eles apresentam para um atacante mal-intencionado.
O ASM se baseia em muitos dos mesmos métodos e recursos que os hackers utilizam. Muitas tarefas e tecnologias de ASM são concebidas e executadas por "hackers éticos" que estão familiarizados com os comportamentos dos cibercriminosos e habilidosos em duplicar suas ações.
O gerenciamento da superfície de ataque externo (EASM), uma tecnologia relativamente nova de ASM, às vezes é usado de forma intercambiável com ASM. No entanto, o EASM se concentra especificamente nas vulnerabilidades e riscos apresentados pelos ativos de TI externos ou voltados para a internet de uma organização — às vezes referidos como a superfície de ataque digital da organização.
O ASM também aborda vulnerabilidades nas superfícies de ataque físicas e de engenharia social de uma organização, como agentes internos maliciosos ou treinamento inadequado dos usuários finais contra golpes de phishing.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Cadastre-se no X-Force Threat Intelligence Index
Aumentos na adoção de nuvem, transformação digital e expansão do trabalho remoto nos últimos anos tornaram a pegada digital e a superfície de ataque da empresa média maiores, mais distribuídas e mais dinâmicas, com novos ativos conectando-se à rede da empresa diariamente.
Os processos tradicionais de descoberta de ativos, avaliação de riscos e gerenciamento de vulnerabilidades, que foram desenvolvidos quando as redes corporativas eram mais estáveis e centralizadas, não conseguem acompanhar a velocidade com que novas vulnerabilidades e vetores de ataque surgem nas redes de hoje. O teste de penetração, por exemplo, pode testar vulnerabilidades suspeitas em ativos conhecidos, mas não pode ajudar as equipes de segurança a identificar novos riscos cibernéticos e vulnerabilidades que surgem diariamente.
Mas o fluxo de trabalho contínuo e a perspectiva de um hacker do ASM permitem que as equipes de segurança e os centros de operações de segurança (SOCs) estabeleçam uma postura de segurança proativa diante de uma superfície de ataque em constante crescimento e mutação. As soluções de ASM fornecem visibilidade em tempo real sobre vulnerabilidades e vetores de ataque à medida que surgem.
Elas podem aproveitar informações de ferramentas e processos tradicionais de avaliação de riscos e gerenciamento de vulnerabilidades para maior contexto ao analisar e priorizar vulnerabilidades. E podem se integrar com tecnologias de detecção e resposta a ameaças — incluindo gerenciamento de informações e eventos de segurança (SIEM), detecção e resposta de endpoints (EDR) ou detecção e resposta ampliadas (XDR) — para melhorar a mitigação de ameaças e acelerar a resposta a ameaças em toda a empresa.
O ASM consiste em quatro processos principais: descoberta de ativos, classificação e priorização, remediação e monitoramento. Novamente, como o tamanho e a forma da superfície de ataque digital mudam constantemente, os processos são realizados continuamente, e as soluções de ASM automatizam esses processos sempre que possível. O objetivo é equipar as equipes de segurança com um inventário completo e atualizado de ativos expostos e acelerar a resposta às vulnerabilidades e ameaças que representam o maior risco para a organização.
Descoberta de ativos
A descoberta de ativos verifica e identifica hardware, software e ativos de nuvem voltados para a Internet que podem atuar como pontos de entrada para um hacker ou cibercriminoso que tenta atacar uma organização, de forma automática e contínua. Esses ativos podem incluir:
- Ativos conhecidos – toda a infraestrutura e recursos de TI que a organização conhece e está gerenciando ativamente — roteadores, servidores, dispositivos emitidos pela empresa ou de propriedade privada (PCs, notebooks, dispositivos móveis), dispositivos IoT, diretórios de usuários, aplicações implementadas no local e na nuvem, sites e bancos de dados proprietários.
- Ativos desconhecidos – ativos "não inventariados" que usam recursos de rede sem o conhecimento da equipe de TI ou de segurança. TI invisível — hardware ou software implementado na rede sem aprovação e/ou supervisão administrativa oficial — é o tipo mais comum de ativo desconhecido. Exemplos de TI invisível incluem sites pessoais, aplicações em nuvem e dispositivos móveis não gerenciados que utilizam a rede da organização. TI órfã — software antigo, sites e dispositivos não mais em uso que não foram devidamente desativados — são outro tipo comum de ativo desconhecido.
- Ativos de terceiros ou fornecedores – ativos que a organização não possui, mas que fazem parte da infraestrutura de TI ou da cadeia de suprimentos digital da organização. Isso inclui aplicações de software como serviço (SaaS), APIs, ativos de nuvem pública ou serviços de terceiros usados no site da organização.
- Ativos de subsidiárias – qualquer ativo conhecido, desconhecido ou de terceiros que pertença às redes das empresas subsidiárias de uma organização. Após uma fusão ou aquisição, esses ativos podem não chegar imediatamente ao conhecimento das equipes de TI e segurança da organização matriz.
- Ativos maliciosos ou fraudulentos – ativos que os agentes maliciosos criam ou roubam para atacar a empresa. Isso pode incluir um site de phishing que se passa pela marca de uma empresa ou dados sensíveis roubados como parte de uma violação de dados sendo compartilhados na dark web.
Classificação, análise e priorização
Depois que os ativos são identificados, eles são classificados, analisados em busca de vulnerabilidades e priorizados por "atacabilidade" — essencialmente uma medida objetiva da probabilidade de hackers atacá-los.
Os ativos são inventariados por identidade, endereço IP, propriedade e conexões com outros ativos na infraestrutura de TI. Eles são analisados quanto às exposições que possam ter, as causas dessas exposições (por exemplo, configurações incorretas, erros de codificação, patches ausentes) e os tipos de ataques que os hackers podem realizar através dessas exposições (por exemplo, roubo de dados sensíveis, disseminação de ransomware ou outro malware).
Em seguida, as vulnerabilidades são priorizadas para remediação. A priorização é um exercício de avaliação de risco: normalmente, cada vulnerabilidade recebe uma classificação de segurança ou pontuação de risco com base em
- Informações reunidas durante a classificação e análise.
- Dados de feeds de inteligência de ameaças (proprietários e de código aberto), serviços de classificação de segurança, a dark web e outras fontes sobre como as vulnerabilidades são visíveis para hackers, quão fáceis são de explorar, como foram exploradas etc.
- Resultados das atividades de gerenciamento de vulnerabilidades e avaliação de risco de segurança da organização. Uma dessas atividades, chamada red teaming, é essencialmente um teste de penetração do ponto de vista do hacker (e muitas vezes conduzido por hackers éticos internos ou de terceiros). Em vez de testar vulnerabilidades conhecidas ou suspeitas, os red teamers testam todos os ativos que um hacker pode tentar explorar.
Remediação
Normalmente, as vulnerabilidades são remediadas em ordem de prioridade. Isso pode envolver:
- Aplicação de controles de segurança apropriados ao ativo em questão — por exemplo, aplicação de patches de software ou sistema operacional, depuração de código de aplicação, implementação de criptografia de dados mais forte.
- Colocar ativos anteriormente desconhecidos sob controle - definir padrões de segurança para TI anteriormente não gerenciada, aposentar com segurança a TI órfã, eliminar ativos não autorizados, integrar ativos subsidiários à estratégia, políticas e fluxos de trabalho de segurança cibernética da organização.
Monitoramento
Como os riscos de segurança na superfície de ataque da organização mudam sempre que novos ativos são implementados ou ativos existentes são implementados de novas maneiras, tanto os ativos inventariados da rede quanto a própria rede são continuamente monitorados e escaneados em busca de vulnerabilidades. O monitoramento contínuo permite que o ASM detecte e avalie novas vulnerabilidades e vetores de ataque em tempo real, e alerte as equipes de segurança sobre quaisquer novas vulnerabilidades que precisem de atenção imediata.
Adote um programa de gerenciamento de vulnerabilidades que identifique, priorize e gerencie a remediação de falhas que possam expor seus ativos mais críticos.
A superfície de ataque de uma organização é a soma de suas vulnerabilidades de cibersegurança.
Ameaças internas ocorrem quando usuários com acesso autorizado aos ativos de uma empresa comprometem esses ativos deliberadamente ou acidentalmente.
Uma abordagem zero trust exige que todos os usuários, sejam eles externos ou já dentro da rede, sejam autenticados, autorizados e continuamente validados para obter e manter acesso a aplicações e dados.
Malware é um código de software escrito para danificar ou destruir computadores ou redes, ou para fornecer acesso não autorizado a computadores, redes ou dados.
Um guia para proteger seu ambiente de computação em nuvem e cargas de trabalho.
Segurança de dados é a prática de proteger informações digitais contra roubo, corrupção ou acesso não autorizado ao longo de seu ciclo de vida.