Ao contrário de outras disciplinas de cibersegurança, o ASM é conduzido inteiramente da perspectiva de um hacker, em vez da perspectiva do defensor. Ele identifica alvos e avalia riscos com base nas oportunidades que eles apresentam para um atacante mal-intencionado.
O ASM se baseia em muitos dos mesmos métodos e recursos que os hackers utilizam. Muitas tarefas e tecnologias de ASM são concebidas e executadas por "hackers éticos" que estão familiarizados com os comportamentos dos cibercriminosos e habilidosos em duplicar suas ações.
O gerenciamento da superfície de ataque externo (EASM), uma tecnologia relativamente nova de ASM, às vezes é usado de forma intercambiável com ASM. No entanto, o EASM se concentra especificamente nas vulnerabilidades e riscos apresentados pelos ativos de TI externos ou voltados para a internet de uma organização — às vezes referidos como a superfície de ataque digital da organização.
O ASM também aborda vulnerabilidades nas superfícies de ataque físicas e de engenharia social de uma organização, como agentes internos maliciosos ou treinamento inadequado dos usuários finais contra golpes de phishing.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Cadastre-se no X-Force Threat Intelligence Index
Aumentos na adoção de nuvem, transformação digital e expansão do trabalho remoto nos últimos anos tornaram a pegada digital e a superfície de ataque da empresa média maiores, mais distribuídas e mais dinâmicas, com novos ativos conectando-se à rede da empresa diariamente.
Os processos tradicionais de descoberta de ativos, avaliação de riscos e gerenciamento de vulnerabilidades, que foram desenvolvidos quando as redes corporativas eram mais estáveis e centralizadas, não conseguem acompanhar a velocidade com que novas vulnerabilidades e vetores de ataque surgem nas redes de hoje. O teste de penetração, por exemplo, pode testar vulnerabilidades suspeitas em ativos conhecidos, mas não pode ajudar as equipes de segurança a identificar novos riscos cibernéticos e vulnerabilidades que surgem diariamente.
Mas o fluxo de trabalho contínuo e a perspectiva de um hacker do ASM permitem que as equipes de segurança e os centros de operações de segurança (SOCs) estabeleçam uma postura de segurança proativa diante de uma superfície de ataque em constante crescimento e mutação. As soluções de ASM fornecem visibilidade em tempo real sobre vulnerabilidades e vetores de ataque à medida que surgem.
Elas podem aproveitar informações de ferramentas e processos tradicionais de avaliação de riscos e gerenciamento de vulnerabilidades para maior contexto ao analisar e priorizar vulnerabilidades. E podem se integrar com tecnologias de detecção e resposta a ameaças — incluindo gerenciamento de informações e eventos de segurança (SIEM), detecção e resposta de endpoints (EDR) ou detecção e resposta ampliadas (XDR) — para melhorar a mitigação de ameaças e acelerar a resposta a ameaças em toda a empresa.
O ASM consiste em quatro processos principais: descoberta de ativos, classificação e priorização, remediação e monitoramento. Novamente, como o tamanho e a forma da superfície de ataque digital mudam constantemente, os processos são realizados continuamente, e as soluções de ASM automatizam esses processos sempre que possível. O objetivo é equipar as equipes de segurança com um inventário completo e atualizado de ativos expostos e acelerar a resposta às vulnerabilidades e ameaças que representam o maior risco para a organização.
Descoberta de ativos
A descoberta de ativos verifica e identifica hardware, software e ativos de nuvem voltados para a Internet que podem atuar como pontos de entrada para um hacker ou cibercriminoso que tenta atacar uma organização, de forma automática e contínua. Esses ativos podem incluir:
Classificação, análise e priorização
Depois que os ativos são identificados, eles são classificados, analisados em busca de vulnerabilidades e priorizados por "atacabilidade" — essencialmente uma medida objetiva da probabilidade de hackers atacá-los.
Os ativos são inventariados por identidade, endereço IP, propriedade e conexões com outros ativos na infraestrutura de TI. Eles são analisados quanto às exposições que possam ter, as causas dessas exposições (por exemplo, configurações incorretas, erros de codificação, patches ausentes) e os tipos de ataques que os hackers podem realizar através dessas exposições (por exemplo, roubo de dados sensíveis, disseminação de ransomware ou outro malware).
Em seguida, as vulnerabilidades são priorizadas para remediação. A priorização é um exercício de avaliação de risco: normalmente, cada vulnerabilidade recebe uma classificação de segurança ou pontuação de risco com base em
Remediação
Normalmente, as vulnerabilidades são remediadas em ordem de prioridade. Isso pode envolver:
Monitoramento
Como os riscos de segurança na superfície de ataque da organização mudam sempre que novos ativos são implementados ou ativos existentes são implementados de novas maneiras, tanto os ativos inventariados da rede quanto a própria rede são continuamente monitorados e escaneados em busca de vulnerabilidades. O monitoramento contínuo permite que o ASM detecte e avalie novas vulnerabilidades e vetores de ataque em tempo real, e alerte as equipes de segurança sobre quaisquer novas vulnerabilidades que precisem de atenção imediata.
Adote um programa de gerenciamento de vulnerabilidades que identifique, priorize e gerencie a remediação de falhas que possam expor seus ativos mais críticos.
A superfície de ataque de uma organização é a soma de suas vulnerabilidades de cibersegurança.
Ameaças internas ocorrem quando usuários com acesso autorizado aos ativos de uma empresa comprometem esses ativos deliberadamente ou acidentalmente.
Uma abordagem zero trust exige que todos os usuários, sejam eles externos ou já dentro da rede, sejam autenticados, autorizados e continuamente validados para obter e manter acesso a aplicações e dados.
Malware é um código de software escrito para danificar ou destruir computadores ou redes, ou para fornecer acesso não autorizado a computadores, redes ou dados.
Um guia para proteger seu ambiente de computação em nuvem e cargas de trabalho.
Segurança de dados é a prática de proteger informações digitais contra roubo, corrupção ou acesso não autorizado ao longo de seu ciclo de vida.