Gerenciamento da superfície de ataque externa (EASM)

O gerenciamento de superfície de ataque externa (EASM) é um processo para identificar, monitorar e proteger seus ativos digitais voltados externamente, incluindo:

• Endereços IP voltados para o público
• Domínios
• Integrações com terceiros
• Serviços em nuvem 
• Aplicações Web;

As ferramentas de EASM mostram riscos como vulnerabilidades, configurações incorretas, shadow IT e exposições de terceiros para reduzir as ameaças cibernéticas externas.

Como os invasores cibernéticos exploram cada vez mais os pontos de entrada desprotegidos, o EASM ajuda a identificar a sua exposição sob o ponto de vista do invasor para que você possa criar uma estratégia de defesa cibernética proativa e abrangente.

Conforme a superfície de ataque externa cresce, sua organização enfrenta desafios exclusivos de EASM:

• A adoção da nuvem, trabalho remoto e soluções de SaaS de terceiros aumentam exponencialmente o número de ativos voltados externamente.
• Os funcionários podem implementar ferramentas e plataformas não autorizadas que contornam a supervisão de TI, criando pontos de entrada não gerenciados que os invasores podem explorar.
• Os invasores cibernéticos podem usar ferramentas avançadas de reconhecimento, automação, IA e machine learning para encontrar e explorar lacunas de segurança no seu perímetro digital.
• Sua organização está sofrendo com o aumento das exigências de segurança e privacidade para o gerenciamento de ativos externos, como o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Privacidade do Consumidor da Califórnia (CCPA) e os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).

O gerenciamento da superfície de ataque externa ajuda você a superar esses desafios. É uma parte importante de uma estratégia abrangente de gerenciamento de exposição. A avaliação contínua da sua superfície de ataque externa identifica todos os seus ativos voltados externamente, normalmente fora da visão das equipes de segurança e TI, para que você possa encontrar e eliminar as lacunas de segurança antes que os invasores as explorem.

Deixar de gerenciar a superfície de ataque externa de forma eficaz aumenta o risco de violações de dados, interrupções à operação e danos à reputação.

• O EASM começa com a descoberta passiva dos ativos. Ele coleta dados de registros públicos, DNS, bancos de dados WHOIS e registros de transparência de certificados para identificar ativos conhecidos e desconhecidos, incluindo domínios históricos e a infraestrutura usada anteriormente.
• Em seguida, a plataforma executa a verificação ativa e a impressão digital, validando os ativos descobertos por meio da análise de portas abertas, serviços em execução, configurações de TLS e aplicações Web para determinar a propriedade dos ativos e as possíveis vulnerabilidades.
• Usando a enumeração de domínios e subdomínios, é possível encontrar domínios, subdomínios e serviços baseados em nuvem registrados e, ao mesmo tempo, monitorar os registros de DNS em busca de alterações para evitar riscos, como a aquisição de subdomínios.
• As ferramentas de EASM também mapeiam intervalos de IP e recursos de nuvem. O EASM pode encontrar ativos acessíveis externamente na AWS, no Azure, no Cloudflare e no GCP para descobrir configurações incorretas, como buckets de armazenamento expostos e máquinas virtuais protegidas de forma inadequada.

Quando o sistema descobre os ativos, o monitoramento contínuo e a avaliação de riscos fornecem rastreamento de lacunas de segurança em tempo real e sinalizam problemas como certificados SSL expirados, portas abertas, bancos de dados acessíveis publicamente e painéis de administração expostos.

A principal diferença entre o EASM e o IASM é que o ASM interno opera dentro da sua rede, exigindo acesso aos sistemas de verificação. O EASM identifica os riscos de fora da sua rede usando fontes de dados públicas.

• O gerenciamento da superfície de ataque interna foca na proteção do seu ambiente interno de TI, incluindo servidores locais, dispositivos de funcionários e aplicações internas. Ele identifica vulnerabilidades, configurações incorretas e ameaças internas.
• O ASM externo (EASM) descobre e protege ativos acessíveis ao público, como aplicações Web, serviços em nuvem e registros DNS. Ele verifica continuamente os sistemas expostos, as configurações incorretas, a shadow IT e os riscos de terceiros para que os invasores não possam explorar ativos desconhecidos ou não monitorados.

Use ferramentas de gerenciamento de superfície de ataque externa para:

• Localizar automaticamente todos os ativos voltados à Internet, incluindo recursos não gerenciados ou abandonados, como shadow IT e aplicações legadas;
• Conectar dados externos de superfície de ataque, como bancos de dados de gerenciamento de configuração (CMDBs), plataformas de gerenciamento de vulnerabilidades e plataformas de avaliação de exposição (EAP), de forma simplificada;
• Atribuir níveis de risco de vulnerabilidades com base na criticidade para focar nas ameaças externas mais urgentes;
• Detectar possíveis pontos de entrada que aumentam o risco cibernético, como portas abertas, configurações incorretas e software desatualizado que os invasores possam explorar;
• Manter continuamente a visibilidade em tempo real das mudanças na superfície de ataque, incluindo vulnerabilidades ou exposições recém-descobertas;
• Criar relatórios fáceis de entender com recomendações de mitigação personalizadas.

• Identifique todos os ativos voltados para o público, como domínios esquecidos, instâncias de nuvem e serviços de terceiros, para reduzir os riscos da shadow IT.
• Faça verificações contínuas em busca de configurações incorretas, portas abertas, bancos de dados expostos e configurações de segurança fracas antes que os invasores as explorem.
• Obtenha uma visão da sua superfície de ataque externa em tempo real para encontrar ameaças emergentes, como domínios de phishing, tentativas de personificação e credenciais vazadas.
• Encontre e elimine ativos desnecessários ou abandonados para reduzir sua presença externa e dificultar a descoberta de pontos de entrada pelos invasores.
• Proteja cargas de trabalho, ambientes, APIs e buckets de armazenamento na nuvem.
• Ofereça suporte à conformidade com estruturas como NIST, ISO 27001 e PCI DSS. 
• Obtenha perspectivas para ajudar a priorizar as iniciativas de correção, simulando como os invasores descobrem e miram seus ativos.

Para reduzir sua superfície de ataque externa, algumas estratégias podem ser implementadas para ajudar a diminuir sua presença digital geral.

• Mapeie e faça um inventário dos seus ativos digitais para entender o escopo completo da sua superfície de ataque externa. Isso inclui a identificação de todos os sistemas, aplicações e serviços voltados à Internet. Um inventário de hardware e software é um princípio fundamental para estruturas como NIST ou CIS Controls.
• Reduza a complexidade do seu ambiente de TI removendo aplicações, dispositivos e recursos desnecessários.
• Verifique regularmente as vulnerabilidades e aborde prontamente as configurações incorretas. Isso inclui a realização de avaliações de configuração de segurança e pontuação quantitativa de riscos.

Embora o EASM e o gerenciamento de superfície de ataque de ativos cibernéticos (CAASM) foquem na visibilidade e na redução de riscos, seus escopos são diferentes.

Escopo do EASM

• Concentra-se em ativos visíveis para invasores externos.
• Detecta riscos como shadow IT, aplicações Web vulneráveis e integrações de terceiros.
• Com o apoio de threat intel, ajuda a priorizar ameaças externas e vulnerabilidades para correção.

Escopo do CAASM

• Proporciona visibilidade interna dos ambientes de TI, IoT, OT e nuvem.
• Mapeia relações entre ativos, configurações e identidades para avaliações de risco abrangentes.
• Ajuda a gerenciar vulnerabilidades e controles de segurança na sua infraestrutura interna.

A combinação do EASM e do CAASM oferece uma visão completa das exposições cibernéticas externas e internas.

Dentro da estrutura de Continuous Threat Exposure Management (CTEM), o EASM é fundamental para as fases de definição de escopo e descoberta.

A definição de escopo determina os limites da sua superfície de ataque externa, identificando todos os ativos visados pelos invasores. O EASM ajuda mapeando continuamente os ativos conhecidos e desconhecidos voltados à Internet para que você possa definir e refinar seu escopo com base nos riscos em evolução.

A descoberta identifica e cataloga os ativos externos, incluindo shadow IT e exposições de terceiros. O EASM aprimora a descoberta com reconhecimento automatizado, correlação de dados e threat intel para descobrir ativos ocultos, esquecidos ou mal configurados que os agentes de ameaças poderiam explorar.

Seguem algumas dicas para ajudar a implementar estratégias de EASM como parte do seu programa abrangente de gerenciamento de riscos:

1. Identifique os ativos externos mais críticos para o negócio, que precisam ser protegidos.
2. Avalie as ferramentas de EASM com base na precisão da descoberta, nos recursos de monitoramento e na facilidade de integração com os sistemas existentes.
3. Garanta que a plataforma de EASM se integre perfeitamente às suas soluções de avaliação e gerenciamento de vulnerabilidades, ferramentas de inventário de ativos e estruturas de segurança mais amplas.
4. Mantenha-se à frente das ameaças, reavaliando e adaptando-se regularmente às mudanças na sua superfície de ataque externa e no cenário de ameaças em evolução.
5. Estabeleça fluxos de trabalho entre as equipes de TI, segurança e conformidade para simplificar a mitigação de riscos.

A implementação do EASM como parte de uma estratégia abrangente de gerenciamento de exposição pode minimizar os riscos da superfície de ataque e apoiar a resiliência do negócio.

Você tem interesse em saber mais sobre como o EASM se encaixa na sua estrutura de segurança cibernética? Considere a possibilidade de fazer uma parceria com uma das principais fornecedoras de gerenciamento de superfície de ataque externa, como a Tenable. As ferramentas de gerenciamento de superfície de ataque da Tenable integram-se perfeitamente às práticas mais amplas de ASM e aos programas de CTEM.