O gerenciamento de superfície de ataque (ASM) é a descoberta, análise, correção e monitoramento contínuos das vulnerabilidades de segurança cibernética e vetores de ataque em potencial que constituem a superfície de ataque de uma organização.

Ao contrário de outras disciplinas de segurança cibernética, o ASM é conduzido inteiramente a partir da perspectiva de um hacker, em vez da perspectiva do defensor. Ele identifica os alvos e avalia os riscos com base nas oportunidades que se apresentam a um invasor malicioso. A ASM conta com muitos dos mesmos métodos e recursos que os hackers utilizam, e muitas tarefas e tecnologias da ASM são concebidas e executadas por 'hackers éticos' familiarizados com o comportamento de criminosos cibernéticos e com as mesmas qualificações para duplicar suas ações.

O gerenciamento de superfície de ataque externa (EASM), uma tecnologia do ASM relativamente recente, muitas vezes é usada no lugar de ASM. Mas o EASM se concentra especificamente nas vulnerabilidades e riscos apresentados pelos ativos de TI externos ou voltados para a Internet de uma organização (às vezes chamados de superfície de ataque digital de uma organização). O ASM também lida com vulnerabilidades nas superfícies de ataque físicas e de engenharia social de uma organização, como agentes maliciosos internos ou treinamento insuficiente de usuários finais contra golpes de phishing.

A adoção da cloud, a transformação digital e a expansão do trabalho remoto, todos fatores acelerados pela pandemia de COVID-19, aumentaram a pegada digital e a superfície de ataque das empresas e as tornaram mais distribuídas e dinâmicas, com novos ativos conectando-se diariamente à rede da empresa.

De acordo com o relatório State of Attack Surface Management 2022 da Randori (link externo à ibm.com), 67 por cento das organizações identificaram que suas superfícies de ataque expandiram nos últimos 12 meses; 69 por cento foi afetado por um ativo conectado à Internet desconhecido ou mal gerenciado no último ano. (Randori é uma subsidiária da IBM Corp.) Analistas do setor na Gartner (link externo à ibm.com) nomearam a expansão da superfície de ataque uma das prioridades essenciais em gerenciamento de segurança e riscos para CISOs em 2022.

Os processos tradicionais de descoberta de ativos, avaliação de riscos e gerenciamento de vulnerabilidades, desenvolvidos quando redes corporativas eram mais estáveis e centralizadas, não conseguem acompanhar a velocidade de surgimento de novas vulnerabilidades e vetores de ataque nas redes atuais. O teste de penetração, por exemplo, testam vulnerabilidades suspeitas em ativos conhecidos, mas não são capazes de ajudar as equipes de segurança a identificar novos riscos e vulnerabilidades que surgem todos os dias.

Mas o fluxo de trabalho contínuo e a perspectiva de hackers proporcionados pelo ASM permite que as equipes de segurança e os centros de operações segurança (SOCs) adotem uma postura de segurança proativa para lidar com uma superfície de ataque em constante expansão e evolução. As soluções de ASM oferecem visibilidade em tempo real das vulnerabilidades e vetores de ataque à medida que surgem. Eles podem extrair informações de ferramentas e processos tradicionais de avaliação de riscos e de gerenciamento de vulnerabilidades para ter um contexto maior ao analisar e priorizar vulnerabilidades. Além disso, elas podem ser integradas a tecnologias de detecção e resposta a ameaças, incluindo gerenciamento de eventos de informações de segurança (SIEM), detecção e resposta de terminais (EDR) ou detecção e resposta estendidas (XDR), para melhorar a mitigação de ameaças e acelerar a resposta a ameaças em toda a empresa.

O ASM consiste em quatro processos principais: descobrimento de ativos, classificação e priorização, correção e monitoramento. Como o tamanho e formato da superfície de ataque digital muda constantemente, os processos são conduzidos de forma contínua, com as soluções de ASM automatizando esses processos sempre que possível. O objetivo é assegurar que a equipe de segurança sempre tenha um inventário completo e atualizado dos ativos expostos e acelerar a resposta às vulnerabilidades e ameaças que apresentem os maiores riscos à organização.

Descoberta de ativos

O descobrimento de ativos verifica e identifica, de maneira automática e contínua, ativos de hardware, software e cloud voltados para Internet que possam ser pontos de entrada para um hacker ou criminoso cibernético tentando atacar uma organização. Esses ativos podem incluir

• Ativos conhecidos: toda a infraestrutura e recursos de TI que a organização conhece e gerencia ativamente, como roteadores, servidores, dispositivos da empresa ou de propriedade privada (PCs, notebooks, dispositivos móveis), dispositivos IoT, diretórios de usuários, aplicativos implementados localmente e na cloud, web sites e bancos de dados proprietários.
  
  
• Ativos desconhecidos: ativos 'não inventariados' usando recursos de rede sem o conhecimento da equipe de TI ou de segurança. Shadow IT: hardware ou software implementado na rede sem aprovação ou supervisão administrativa oficial é o tipo mais comum de ativo desconhecido. Uma fonte, sem custo, baixada no computador de um usuário, web sites ou aplicativos cloud pessoais usados na rede da organização e um dispositivo móvel pessoal não gerenciado usado para acessar informações da empresa são exemplos de shadow IT. TI órfã: software, sites e dispositivos antigos, fora de uso, que não foram devidamente recolhidos ou removidos, são outro tipo comum de recurso desconhecido.
  
  
• Ativos de terceiros ou fornecedores: ativos que não são de propriedade da organização, mas que fazem parte de sua infraestrutura de TI ou cadeia de suprimentos digital. Isso inclui aplicativos de software como serviço (SaaS), APIs, ativos de cloud pública ou serviços de terceiros usados dentro do web site da organização.
  
  
• Ativos de subsidiárias: quaisquer ativos conhecidos, desconhecidos ou de terceiros pertencentes a redes de empresas subsidiárias da organização. Após uma fusão ou aquisição, é possível que esses ativos não entrem imediatamente no radar das equipes de TI e de segurança da organização principal.
  
  
• Ativos maliciosos ou nocivos: ativos criados ou roubados por agentes de ameaça para prejudicar a empresa. Isso pode incluir um web site de phishing que imita uma marca da empresa ou dados confidenciais roubados como parte de uma violação de dados e que são vendidos posteriormente na dark web.

Classificação, análise e priorização

Assim que os ativos são identificados, eles são classificados, analisados em busca de vulnerabilidades e priorizados por 'capacidade de ataque', ou seja, a possibilidade de serem alvos de hackers.

Os ativos são inventariados por identidade, endereço IP, propriedade e conexões com os demais ativos na infraestrutura de TI. Eles são analisados em busca das causas dessas exposições (por exemplo, configurações incorretas, erros de codificação, correções ausentes) e os tipos de ataques que os hackers podem realizar por meio dessas exposições (por exemplo, roubar dados confidenciais, espalhar ransomware ou outro tipo de malware). 

Em seguida, as vulnerabilidades são priorizadas para correção. A priorização é um exercício de avaliação de riscos: geralmente, cada vulnerabilidade recebe um índice de segurança ou pontuação de risco com base em:

• informações coletadas durante a classificação e análise;
  
  
• dados de feeds de inteligência de ameaça (proprietários e de software livre), serviços de classificação de segurança, dark web e outras fontes sobre o quão visível são as vulnerabilidades para hackers, a facilidade de descobri-las, como já foram descobertas, etc.;
  
  
• resultados das atividades de gerenciamento de vulnerabilidades e de avaliação de riscos de segurança da própria organização. Uma dessas atividades, chamada de red teaming, é essencialmente um de teste de penetração do ponto de vista do hacker (e muitas vezes conduzido por hackers internos ou do hackers éticos de outras organizações). Em vez de testar vulnerabilidades conhecidas ou suspeitas, os red teams testam todos os ativos que um hacker pode tentar descobrir.

Correção

Geralmente, as vulnerabilidades são corrigidas na ordem de prioridade. Isso pode envolver:

• Aplicar os controles de segurança adequados no ativo em questão; por exemplo, aplicar correções de software ou de sistema operacional, depurar código de aplicativo, implementar criptografia de dados mais forte.
  
  
• Retomar o controle de ativos desconhecidos, definindo normas de segurança para ativos de TI não gerenciados, remover ativos órfãos de TI de maneira segura, eliminar ativos fora de conformidade, integrar ativos de subsidiárias na estratégia, nas políticas e fluxos de trabalho de segurança cibernética da organização.

A correção também pode envolver medidas entre ativos mais amplas para lidar com vulnerabilidades, como a implementação de acesso menos privilegiado ou autenticação multifatores (MFA) .

Monitoramento

Como os riscos de segurança na superfície de ataque da organização mudam toda vez que novos ativos são implementados ou ativos existentes são implementados de maneiras diferentes, tanto os ativos inventariados da rede como a própria rede são monitorados e varridos em busca de vulnerabilidades. O monitoramento contínuo permite que o ASM detecte e avalie novas vulnerabilidades e vetores de ataque em tempo real e alerte as equipes de segurança para quaisquer novas vulnerabilidades que necessitem de atenção imediata.