Graham Rance Field CTO
A Promessa Original: EASM como Motor de Visibilidade
A Gestão da Superfície de Ataque Externa (EASM) surgiu com uma promessa ousada: iluminar os cantos escuros da infraestrutura voltada para a internet de uma organização. Foi vendida como a solução definitiva para o problema: “você não sabe o que não sabe”, oferecendo aos líderes de segurança a capacidade de ver tudo o que os atacantes poderiam ver. A expectativa era simples — fornecer ao EASM alguns intervalos de IP ou domínios, e ele mapearia seus ativos expostos, vulnerabilidades e riscos.
Mas aqui vai a realidade: muitas das ferramentas EASM iniciais mal arranhavam a superfície.
Onde o EASM Legado Falhou
A primeira geração de ferramentas EASM era, em grande parte, motores de busca glorificados. Exigiam dados sementes (seed data) — intervalos de IP, domínios conhecidos, CIDRs ou certificados SSL. Em resumo, só encontravam aquilo que você já suspeitava que existia.
Essas limitações criaram três problemas críticos para as equipes de segurança:
- Descoberta Incompleta: Qualquer coisa que não estivesse diretamente ligada ao dado inicial fornecido — como ativos criados por uma agência de marketing em uma conta não oficial da AWS ou a infraestrutura de uma subsidiária adquirida via M&A — permanecia oculta. Pontos cegos do mundo real ficavam totalmente invisíveis.
- Sobrecarga Operacional Alta: As equipes de segurança eram sobrecarregadas com ajustes constantes. Adicionar novos domínios, remover falsos positivos e validar a posse de ativos era um trabalho manual árduo, frequentemente exigindo planilhas para acompanhar.
- Sem Contexto de Negócio ou Priorização de Risco: Ferramentas legadas funcionavam como scanners de porta com dashboards bonitos. Detectavam serviços abertos, mas não o significado por trás deles. Isso significava que as equipes de segurança eram inundadas com milhares de achados de baixo valor, sem clareza sobre quais três sistemas eram realmente exploráveis e críticos para as operações da empresa.
Como declarou um relatório do setor: “As ferramentas EASM criaram tantos pontos cegos quanto alegaram resolver.”
Uma Abordagem Melhor: Da Varredura Baseada em Sementes à Descoberta Centrada no Atacante
Então, qual é a solução?
O futuro do EASM não está em alimentar ferramentas com IPs conhecidos. Está em entender sua organização da mesma forma que um atacante faz. Isso significa:
- Sem Necessidade de Dados-Semente: A verdadeira descoberta centrada no atacante começa sem nenhuma informação prévia. Utiliza sinais externos, correlações e modelos de atribuição para identificar tudo que está relacionado ao seu negócio — até mesmo ativos que suas equipes de TI ou GRC não conhecem.
- Consciência Organizacional: Soluções EASM maduras não apenas encontram IPs; elas mapeiam toda a estrutura do negócio. Subsidiárias, dependências de terceiros, ambientes paralelos — tudo é conectado ao seu proprietário legítimo no organograma. Isso transforma a descoberta de ativos em ações concretas.
- Priorização de Risco com Contexto Rico: Em vez de acionar alertas para cada porta aberta, o EASM de próxima geração aplica uma lente de risco. Pergunta: Este ativo pode ser descoberto por atacantes? Está exposto? Contém dados sensíveis? Existe um exploit conhecido? O resultado é uma lista priorizada de ameaças reais, não alarmes falsos.
Essa abordagem inverte o modelo — de “varrer o que você me disser” para “mostrar o que os atacantes sabem”.
A Prova Está nos Resultados
Na prática, o EASM centrado no atacante revela rotineiramente grandes quantidades de pontos cegos em grandes empresas. Durante uma prova de valor com uma empresa da Fortune 500, um modelo de descoberta orientado ao atacante revelou que quase 30% da superfície de ataque da organização era desconhecida pelas equipes internas. Não mal categorizada — desconhecida. Isso incluía domínios legados com portais de login expostos, buckets S3 esquecidos contendo dados sensíveis e repositórios de código de terceiros vinculados a aplicativos principais.
Mais importante ainda, esse modelo não para na descoberta. Ao incorporar testes de segurança em caixa-preta — imitando como um atacante exploraria uma vulnerabilidade — essas plataformas podem validar exposições reais. Isso elimina falsos positivos e permite que as equipes de segurança foquem os recursos em riscos críticos e verificados.
Por Que Isso É Importante Agora
Como líderes de segurança, somos avaliados não pela quantidade de CVEs que escaneamos, mas pela eficácia com que reduzimos a explorabilidade. Isso significa conhecer nosso verdadeiro perímetro externo, entender o que é valioso e garantir sua segurança.
Mas o ambiente de TI atual é descentralizado, baseado em nuvem e extremamente dinâmico. Desenvolvedores criam ambientes com um cartão de crédito, equipes de marketing lançam microsites em um fim de semana, atividades de M&A trazem infraestruturas não gerenciadas — e o EASM precisa acompanhar esse ritmo com automação, contexto aprimorado e consciência atacante.
Mesmo assim, muitas organizações ainda dependem de ferramentas baseadas em sementes, construídas para outra era.
Para Onde a Gestão da Superfície de Ataque Externa Deve Ir Agora
Para acompanhar o cenário de ameaças em expansão e a tolerância ao risco cada vez menor, o futuro do EASM deve evoluir em três direções:
- Descoberta e Atribuição Autônomas: Descoberta totalmente automatizada, sem entrada de dados. Cada ativo é mapeado ao seu proprietário organizacional — em escala e com evidências.
- Priorização Consciente do Risco: A priorização deve ser guiada por comportamentos reais de atacantes. Quais ativos são descobertos? Quais são atrativos? Quais são vulneráveis e conectados a sistemas críticos de negócio?
- Validação e Testes Contínuos: O EASM precisa ir além da varredura passiva. Técnicas de teste ativas e em caixa-preta devem ser incorporadas para confirmar riscos e reduzir ruído. É assim que resolvemos o abismo entre “saber” e “corrigir”.
Considerações Finais: Das Promessas aos Resultados Reais
O EASM prometeu visibilidade. Para muitos, entregou dashboards — mas não respostas.
A próxima fase do EASM não é sobre ver mais. É sobre ver o que importa — e agir. Isso exige abandonar suposições legadas, adotar perspectivas centradas no atacante e investir em soluções que automatizem descoberta, atribuição, validação e priorização em escala global.
Líderes de segurança precisam de mais que “alertas”. Precisam de provas. Prova de exposição, prova de explorabilidade e prova de redução de risco.
A revolução da visibilidade está longe de terminar. Está apenas começando. E as ferramentas que entregarem essa promessa original — sem pedir que você desenhe o mapa para elas — serão as que definirão o futuro da cibersegurança.
Quer ver na prática? Solicite uma demonstração e descubra como a CyCognito potencializa sua estratégia de segurança com descoberta de ativos de fora para dentro e testes dinâmicos de segurança em aplicações! Entre em contato: contato@cybergate.solutions
