EASM (External Attack Surface Management): O que E e Como Proteger Seu Perímetro Externo
EASM (External Attack Surface Management): O que E e Como Proteger Seu Perímetro Externo
Introdução: seu perímetro e maior do que você pensa
EASM (External Attack Surface Management), ou gestão de superfície de ataque externa, é a disciplina de segurança que identifica, cataloga e monitora continuamente todos os ativos digitais de uma organização visíveis a partir da internet, incluindo aqueles que a própria equipe de TI desconhece. Dominos orfaos, subdominos esquecidos, buckets de nuvem abertos, certificados expirados e credenciais vazadas na dark web: tudo isso compõe um perímetro que atacantes enxergam, mas que a maioria dos defensores ignora.
Segundo a Gartner, até 2026 organizações que não possuem visibilidade da superfície de ataque externa terão três vezes mais probabilidade de sofrer uma brecha do que aquelas que adotam monitoramento contínuo. O dado não surpreende. Pesquisas recentes da IBM indicam que o custo médio global de um vazamento de dados atingiu USD 4,88 milhões em 2024, e vetores ligados a ativos desconhecidos ou expostos externamente respondem por uma parcela significativa desses incidentes.
O problema não é falta de investimento em segurança. E falta de visibilidade. Firewalls, EDRs e SIEMs protegem o que está dentro do campo de visão. Mas o perímetro externo, aquele que o atacante mapeia antes de qualquer tentativa de intrusão, permanece como um ponto cego crítico. E exatamente esse ponto cego que o EASM resolve.
Neste artigo, você vai entender o que compõe a superfície de ataque externa, por que ferramentas internas falham em cobri-la, como o EASM funciona na prática é como ele se encaixa no framework CTEM (Continuous Threat Exposure Management).
O que é EASM, definição clara e citavel
Leia também: Cibersegurança no 5G: novos riscos, superfície de ataque ...
EASM (External Attack Surface Management) é o processo contínuo de descoberta, inventário, classificação e monitoramento de todos os ativos digitais de uma organização que estão expostos na internet pública, adotando a perspectiva de um atacante externo para identificar vetores de risco antes que sejam explorados.
Em termos práticos, o EASM responde a uma pergunta que parece simples, mas que poucas organizações conseguem responder com precisão: o que exatamente está visível sobre nos na internet?
Diferente de ferramentas de segurança tradicionais que partem de um inventário conhecido (de dentro para fora), o EASM opera de fora para dentro. Ele começa com informações públicas, um domínio raiz, por exemplo, e a partir dali expande a busca de forma automatizada, mapeando tudo o que está conectado e exposto: subdominos, endereços IP, serviços em portas abertas, certificados digitais, armazenamentos em nuvem pública, e até credenciais de colaboradores que aparecem em foros, repositorios e mercados da dark web.
O conceito de EASM ganhou relevância na medida em que três tendências convergiram:
- Expansão acelerada da nuvem. Cada novo serviço SaaS, cada bucket S3, cada função serverless pode criar uma exposição externa que não aparece em nenhum CMDB.
- Trabalho remoto e descentralização. Shadow IT deixou de ser excepcao para se tornar regra. Departamentos criam domínios, contratam serviços e publicam APIs sem passar pelo crivo da segurança.
- Sofisticação do reconhecimento ofensivo. Atacantes utilizam as mesmas técnicas de OSINT e enumeração automatizada que o EASM emprega, a diferença é que eles fazem isso diariamente, enquanto a maioria das organizações faz um pentest a cada trimestre.
O que compõe a superfície de ataque externa
Leia também: Credenciais Vazadas na Dark Web: Como Monitorar e Reagir ...
A superfície de ataque externa não se limita ao site institucional e ao servidor de e-mail. Ela inclui uma variedade de ativos que, isoladamente, podem parecer inofensivos, mas que juntos criam um mosaico de exposições explorável por qualquer adversário motivado.
Domínios e subdomínios
Subdomínios criados para campanhas de marketing, ambientes de homologação expostos por engano, domínios antigos que nunca foram desativados. Um único subdomínio apontando para um servidor descomissionado pode ser sequestrado via subdomain takeover.
Endereços IP e portas abertas
Serviços publicados em portas não padrão, paineis administrativos acessíveis pela internet, bancos de dados expostos sem autenticação. Ferramentas como Shodan e Censys indexam esses ativos continuamente, e atacantes consultam esses índices antes de qualquer tentativa.
Certificados digitais
Certificados SSL/TLS expirados ou mal configurados não apenas quebram a criptografia em transito, mas também sinalizam ao atacante que o ativo provavelmente está desatendido, e, portanto, é um alvo fácil.
Armazenamento em nuvem pública
Buckets S3, Azure Blob Storage e Google Cloud Storage configurados como públicos. O volume de vazamentos de dados causados por buckets abertos já rendeu manchetes suficientes para justificar monitoramento contínuo.
APIs e serviços web
Endpoints de API publicados sem autenticação adequada, documentação Swagger exposta, versões antigas de serviços que não foram removidas.
Credenciais vazadas
Combinações de e-mail corporativo e senha que aparecem em bases de dados de vazamentos (combolists), foruns da dark web, pastes públicos e repositorios de código. Este é um vetor frequentemente subestimado e merece uma seção dedicada neste artigo.
Shadow IT externo
Qualquer ativo digital criado por colaboradores ou departamentos sem conhecimento ou aprovação da equipe de segurança: domínios registrados por Marketing, servidores provisionados por Desenvolvimento, ferramentas SaaS contratadas por equipes de negócio. O shadow IT externo e, por definição, invisivel para ferramentas que dependem de inventário interno.
Por que ferramentas internas não enxergam o perímetro externo
Muitas organizações investem significativamente em scanners de vulnerabilidade, SIEMs, EDRs e ferramentas de gestão de ativos (CMDB/CAASM). Essas soluções são fundamentais, mas todas compartilham uma limitação: elas partem do que já é conhecido.
Um scanner de vulnerabilidades só avalia os IPs e domínios que você cadastra nele. Se um subdomínio foi criado fora do processo, ele simplesmente não existe para o scanner. Um SIEM coleta logs dos ativos que estão integrados; um servidor esquecido na AWS não gera log nenhum no seu SIEM.
O EASM inverte a lógica. Em vez de perguntar "quais ativos eu conheco?", ele pergunta "o que está visível sobre a minha organização na internet?". Essa inversão de perspectiva é o que o torna complementar, e não substituto, das ferramentas internas.
Na prática, a combinação ideal e:
- EASM para descobrir o que está exposto externamente (visão de fora para dentro).
- CAASM para consolidar o inventário interno e correlacionar com os achados externos (visão de dentro para fora).
- Gestão de vulnerabilidades para avaliar e priorizar o que foi encontrado por ambas as perspectivas.
Essa abordagem combinada elimina o ponto cego entre o que a organização acredita ter e o que realmente está exposto.
Como funciona o EASM na prática
O diferencial do EASM em relação a abordagens tradicionais é que ele opera como monitoramento contínuo, não como um scan pontual. A superfície de ataque externa muda diariamente, novos subdominos são criados, serviços são publicados, certificados expiram, credenciais vazam, é o EASM precisa acompanhar esse ritmo.
O fluxo típico de uma solução de EASM funciona em quatro etapas cíclicas:
1. Descoberta (Discovery)
A partir de um domínio raiz ou de um conjunto de sementes (seeds), como nome da empresa, blocos de IP conhecidos ou domínios primários, a ferramenta inicia uma varredura automatizada. Ela utiliza técnicas de enumeração DNS, análise de certificados (Certificate Transparency logs), crawling de páginas, consulta a bancos de dados públicos (WHOIS, BGP, registros de AS) e inteligência de ameaças para identificar todos os ativos conectados.
2. Inventário e classificação
Cada ativo descoberto e catalogado e classificado: tipo (domínio, IP, serviço, certificado, credencial), status (ativo, inativo, expirado), proprietário estimado e nível de exposição.
3. Avaliação de risco
Os ativos são avaliados segundo critérios de risco: portas abertas com serviços vulneráveis, certificados expirados, configurações de segurança ausentes (HTTPS, headers de segurança, SPF/DKIM/DMARC), presença de credenciais vazadas associadas e integridade da criptografia. O resultado é consolidado em um score de risco, no caso da EcoTrust, o Cyber Risk Score, dividido por familias de risco digital para facilitar a priorização.
4. Monitoramento contínuo e alertas
A varredura se repete continuamente. Qualquer mudança no perímetro, um novo subdomínio, uma porta que se abre, um certificado que expira, uma credencial que aparece em um vazamento, gera um alerta em tempo real. Essa continuidade é o que separa o EASM de um pentest ou de um scan pontual.
O módulo Cyber Risk Score EASM da EcoTrust implementa exatamente esse fluxo. A partir de um domínio base, ele expande a descoberta automaticamente, vasculha a dark web diariamente por credenciais vazadas dos colaboradores, avalia a integridade de criptografia e armazenamentos públicos em nuvem, e entrega um score de segurança externa segmentado por familias de risco. A perspectiva e clara: o perímetro visto pelos olhos do atacante.
Credenciais vazadas: o vetor que ninguém monitora
Entre todos os componentes da superfície de ataque externa, credenciais vazadas merecem destaque especial. É o vetor mais subestimado e, paradoxalmente, um dos mais explorados em ataques reais.
O ciclo é simples e devastador:
- Um colaborador utiliza o e-mail corporativo para se cadastrar em um serviço externo.
- Esse serviço sofre um vazamento de dados.
- A combinação e-mail + senha aparece em combolists distribuidas em foruns da dark web e canais de Telegram.
- O atacante testa essas credenciais contra os serviços corporativos da organização (VPN, e-mail, painel administrativo).
- Se o colaborador reutilizou a senha, e estatisticamente, a maioria reutiliza, o atacante obtém acesso legítimo sem explorar nenhuma vulnerabilidade técnica.
Segundo o relatório Verizon DBIR 2024, credenciais comprometidas continuam entre os vetores iniciais mais frequentes em brechas de segurança. O agravante e que a maioria das organizações só descobre o comprometimento depois que o dano já foi causado.
O EASM resolve esse problema ao monitorar continuamente fontes da dark web, foros de vazamento, pastes públicos e repositorios de código em busca de credenciais associadas aos domínios da organização. No caso do CRS-EASM da EcoTrust, essa varredura acontece diariamente, com alertas imediatos quando novas credenciais são identificadas.
EASM vs Pentest vs Scan de Vulnerabilidades
Uma duvida recorrente entre analistas de segurança é CISOs e como o EASM se diferencia de outras abordagens já estabelecidas. A tabela abaixo esclarece:
| Critério | EASM | Pentest | Scan de Vulnerabilidades |
|---|---|---|---|
| Perspectiva | Externa (fora para dentro) | Externa e/ou interna | Interna (ativos conhecidos) |
| Frequência | Contínuo (24/7) | Pontual (trimestral/anual) | Periódico (semanal/mensal) |
| Escopo | Toda a superfície externa, incluindo ativos desconhecidos | Escopo definido previamente | Ativos cadastrados pelo time |
| Descoberta de ativos | Sim, automatizada | Limitada ao escopo contratado | Não, depende de inventário previo |
| Credenciais vazadas | Sim, com monitoramento de dark web | Pode incluir, se no escopo | Não |
| Shadow IT | Detecta ativamente | Pode encontrar, mas não é o foco | Não enxerga |
| Automação | Total | Manual/semi-automatizado | Automatizado, mas com escopo fixo |
| Entregável | Dashboard contínuo + alertas | Relatório pontual | Lista de CVEs |
| Melhor para | Visibilidade contínua do perímetro | Validação de segurança em profundidade | Gestão de patches em ativos conhecidos |
A conclusão é clara: as três abordagens são complementares, não concorrentes. O EASM garante que você sabe o que está exposto. O scan de vulnerabilidades avalia o que você já conhece. O pentest válida se as defesas realmente funcionam contra técnicas reais de ataque.
EASM dentro do framework CTEM
O framework CTEM (Continuous Threat Exposure Management) proposto pelo Gartner organiza a gestão de exposições em cinco fases cíclicas: Escopo, Descoberta, Priorização, Validação e Mobilização. O EASM desempenha papel central nas duas primeiras fases.
Fase 1, Escopo
O EASM ajuda a definir o perímetro real da organização. Antes de decidir o que proteger, é preciso saber o que existe. A capacidade do EASM de descobrir ativos desconhecidos torna a definição de escopo mais fiel a realidade, evitando que domínios orfaos, IPs esquecidos e serviços shadow IT fiquem fora do programa de segurança.
Fase 2, Descoberta
Está e a fase em que o EASM opera com mais intensidade. Ele mapeia continuamente a superfície de ataque externa, identificando exposições que alimentam as fases seguintes do CTEM. Sem uma descoberta abrangente, a priorização é a validação operam sobre dados incompletos, e decisões baseadas em dados incompletos geram falsa sensação de segurança.
Alimentando as fases seguintes
Os achados do EASM, domínios orfaos, certificados expirados, portas abertas, credenciais vazadas, se tornam insumo para a priorização (fase 3), onde são correlacionados com o contexto de negócio é a explorabilidade real. Em seguida, podem ser validados (fase 4) por meio de testes ofensivos automatizados. E, finalmente, encaminhados para mobilização (fase 5), com planos de remediação direcionados.
Na plataforma EcoTrust, o módulo CRS-EASM alimenta diretamente o ciclo CTEM com dados atualizados de superfície externa, enquanto o CRS-CAASM complementa com a visão interna dos ativos. Juntos, eles garantem que as fases de priorização e validação operem com visibilidade completa.
Perguntas frequentes sobre EASM
O que significa EASM?
EASM é a sigla para External Attack Surface Management, em portugues: gestão de superfície de ataque externa. É a disciplina de segurança responsável por descobrir e monitorar continuamente todos os ativos digitais de uma organização que estão visíveis na internet pública.
Qual a diferença entre EASM e CAASM?
EASM opera de fora para dentro, mapeando o que está exposto na internet sem depender de agentes ou inventários internos. CAASM (Cyber Asset Attack Surface Management) opera de dentro para fora, consolidando dados de múltiplas ferramentas internas para criar um inventário unificado de ativos. As duas abordagens são complementares: o EASM descobre o que você não sabe que está exposto, e o CAASM organiza o que você já conhece.
EASM substitui o pentest?
Não. EASM e pentest são complementares. O EASM oferece visibilidade contínua da superfície de ataque externa e detecta mudanças em tempo real. O pentest válida em profundidade se vulnerabilidades específicas podem ser exploradas e qual o impacto real de uma intrusão. O ideal e que os achados do EASM alimentem o escopo dos pentests, tornando-os mais direcionados e eficientes.
Com que frequência o EASM faz varreduras?
Soluções de EASM maduras operam de forma contínua, com varreduras diarias ou até em tempo real, dependendo do componente monitorado. No caso do CRS-EASM da EcoTrust, a varredura de dark web por credenciais vazadas e diaria, enquanto a descoberta de ativos é o monitoramento de configurações de segurança operam em ciclo contínuo.
Quanto tempo leva para implementar EASM?
O onboarding inicial e tipicamente rápido. No modelo do CRS-EASM da EcoTrust, basta fornecer o domínio raiz da organização para que a plataforma inicie automaticamente a expansão e descoberta de ativos. Os primeiros resultados, incluindo score de risco e inventário de ativos expostos, ficam disponíveis em poucas horas. O valor real, porém, vem do monitoramento contínuo ao longo do tempo.
Proteja o perímetro que o atacante já está mapeando
Enquanto você le este artigo, ferramentas automatizadas estão enumerando subdominos, testando portas e cruzando credenciais vazadas contra os serviços da sua organização. A questão não é se a sua superfície de ataque externa tem exposições, e se você tem visibilidade sobre elas antes que um adversário as explore.
O Cyber Risk Score EASM da EcoTrust oferece exatamente essa visibilidade. A partir de um único domínio, a plataforma mapeia automaticamente toda a sua superfície externa, monitora a dark web diariamente por credenciais vazadas, avalia a integridade de certificados e criptografia, e entrega um score de risco segmentado por familias de risco digital, tudo com a perspectiva do atacante.
Conheça o módulo CRS-EASM e veja seu perímetro pelos olhos do atacante ->
Conheça o módulo CRS-EASM
Veja como a EcoTrust aplica IA agêntica para resolver os desafios apresentados neste artigo.
Explorar CRS-EASMArtigos Relacionados
Credenciais Vazadas na Dark Web: Como Monitorar e Reagir Antes do Atacante
Enquanto você le este paragrafo, milhares de credenciais corporativas estão sendo negociadas em foruns da dark web, canais de Telegram e marketplaces clandestinos. Não se trata de um cenário hipotétic…
O que é CTEM (Continuous Threat Exposure Management): Guia Completo do Framework Gartner
O volume de vulnerabilidades publicadas cresce a cada ano, mas o número de brechas exploradas com sucesso cresce ainda mais rápido. Isso revela um problema estrutural: a maioria das organizações contí…
Score de segurança: o que é, como funciona e como melhorar o seu
Toda organização que possui ativos expostos na internet carrega consigo um nível de risco mensurável. O **score de segurança** e a forma mais objetiva de traduzir esse risco em um número que executivo…