Voltar à Materiais
    EcoTrustWhite Paper
    EcoTrust CRS-EASM · Gestão de Riscos

    O atacante começa de fora. Você devia fazer o mesmo

    Mapeamento outside-in contínuo de exposições externas

    O perímetro que você não vê é o que os atacantes encontram primeiro. Subdomínios esquecidos, buckets cloud expostos, credenciais vazadas, serviços abertos inadvertidamente. O CRS-EASM mapeia continuamente a superfície externa via CT logs, WHOIS, Shodan, Censys e cloud ranges, sem agente, sem credencial, com correlação MITRE ATT&CK e alertas em 4 níveis de severidade.

    Módulo
    EcoTrust CRS-EASM
    Categoria
    Gestão de Riscos
    Publicado
    abril de 2026
    Páginas
    14
    Executive Summary

    O problema: a maioria dos programas de segurança vê a organização de dentro para fora, com credenciais, com acesso à rede interna, com o mapa de ativos aprovisionados pelo time de TI. Um atacante começa de fora, sem nenhum desses privilégios, e encontra um perímetro completamente diferente: subdomínios esquecidos, buckets cloud públicos, credenciais em data breaches, serviços expostos que ninguém sabia existir.

    A abordagem: o EcoTrust CRS-EASM mapeia continuamente a superfície de ataque externa da organização do ponto de vista de um atacante real, sem agente, sem credencial, sem acesso à rede interna. Parte de um único ponto de semente (o domínio principal) e expande recursivamente para descobrir tudo que pertence à organização na internet.

    O resultado: visibilidade completa do perímetro externo real, não do declarado. Com monitoramento contínuo, alertas de novos ativos, CVEs correlacionadas a MITRE ATT&CK e integração com VulScan e CRQ para elevar prioridade de remediação quando um ativo externo vulnerável também existe internamente.

    01

    O que um atacante vê que você não vê.

    Antes de qualquer exploração, há uma fase de reconhecimento. O atacante passa horas, às vezes dias, mapeando a superfície de ataque da organização-alvo usando apenas fontes públicas e técnicas passivas. E o que ele encontra é consistentemente diferente do que o time de TI sabe que existe.

    Um desenvolvedor que sobe um subdomínio temporário para testar uma integração e esquece de remover. Uma instância EC2 com IP público criada durante um projeto de PoC que nunca foi descomissionada. Um bucket S3 com permissões de leitura pública que contém logs de aplicação com dados sensíveis. E-mails corporativos expostos em data breaches antigos, com senhas reutilizadas em outros serviços.

    Nenhum desses ativos aparece no scanner de vulnerabilidades interno, porque nenhum deles foi adicionado à lista de escopo. E cada um deles é um ponto de entrada potencial para um atacante que começa sua pesquisa de fora para dentro.

    30%
    dos breaches de 2025 envolveram terceiros ou ativos expostos externamente não monitorados
    Verizon DBIR · 2025
    22%
    das brechas em 2025 foram por exploração de vulnerabilidades em dispositivos de borda e VPNs
    Verizon DBIR · 2025
    aumento na proporção de exploração de dispositivos de borda comparado ao ano anterior
    Verizon DBIR · 2025

    O paradoxo do perímetro: o perímetro que o scanner interno protege é o que o time de TI conhece. O perímetro que o atacante explora é o que existe de fato na internet. A diferença entre os dois é a superfície de ataque desconhecida, e é exatamente onde os ataques mais eficazes começam.

    02

    Por que scans internos não respondem a perguntas externas.

    Scans de vulnerabilidades tradicionais operam de dentro para fora: o analista configura um escopo de IPs, o scanner conecta à rede interna e varre os ativos especificados. É uma abordagem eficaz para o que o analista sabe que existe. O problema estrutural é precisamente esse: ela só encontra o que está no escopo.

    Scanner interno (inside-out) vs CRS-EASM (outside-in)

    Ponto de partida

    Inside-out: lista de IPs fornecida pelo time de TI. CRS-EASM: domínio principal, expande recursivamente para tudo que pertence à organização.

    Shadow IT

    Inside-out: invisível, não está na lista de escopo. CRS-EASM: descoberto automaticamente via CT logs, WHOIS, Shodan e Censys.

    Perspectiva

    Inside-out: de dentro, com credenciais e acesso à rede. CRS-EASM: de fora, sem credencial, como o atacante vê.

    Credenciais vazadas

    Inside-out: não detecta. CRS-EASM: monitora data breaches públicos com alertas automáticos.

    Certificados TLS

    Inside-out: não monitora validade e configuração. CRS-EASM: monitora expiração, algoritmos fracos e configurações inseguras.

    Atualização

    Inside-out: periódica, novos ativos ficam invisíveis entre ciclos. CRS-EASM: contínua, novos ativos detectados e alertados em tempo real.

    O que o CT Log revela: Certificate Transparency Logs registram publicamente cada certificado TLS emitido. Um desenvolvedor que cria um subdomínio api-test.empresa.com.br e instala um certificado deixa um rastro público imediato, visível para qualquer pessoa que monitore o CT Log, incluindo o CRS-EASM e, muito provavelmente, atacantes automatizados que fazem exatamente isso.

    03

    A abordagem outside-in: replicar a perspectiva do atacante.

    Outside-in significa começar de onde o atacante começa: o domínio público, sem nenhum acesso privilegiado, e expandir para tudo que é visível da internet.

    O CRS-EASM não acessa a rede interna. Não usa credenciais. Não instala agente. Opera exclusivamente com técnicas passivas e de reconhecimento que qualquer pessoa com acesso à internet pode usar, e que todos os atacantes usam antes de qualquer exploração ativa.

    A vantagem não é técnica, é de perspectiva. Ao ver a organização de fora, o CRS-EASM encontra o mesmo perímetro que o atacante encontra: os ativos reais expostos, não o inventário declarado.

    Onde o EASM descobre ativos

    CT LogsCertificate Transparency, registra cada certificado TLS público emitido para domínios da organização.
    WHOIS / RDAPResolução de titular para descobrir domínios paralelos do mesmo registrante.
    Shodan / CensysBanners de serviços expostos em IPs públicos com fingerprint de tecnologia.
    DNS / ASNLookup de Autonomous System Numbers para mapear ranges de IP da organização.
    Cloud rangesFaixas conhecidas de provedores AWS, Azure, GCP para identificar ativos hospedados.
    TLS fingerprintIdentificação de hosts pelo certificado e configuração TLS, mesmo sem hostname canônico.
    Reverse DNSDescoberta de hostnames a partir de IPs encontrados.
    HTTP headersColeta passiva de metadados de servidor e CDN para enriquecer o inventário externo.
    04

    Como o CRS-EASM opera: 4 fases contínuas de reconhecimento.

    Fase 01: Descoberta de ativos (Asset Discovery)

    Parte do domínio principal e expande recursivamente: CT logs para subdomínios, WHOIS para domínios do mesmo titular, ASN lookup para ranges de IP, reverse DNS para hostnames. Descobre ativos que nunca estiveram em nenhuma lista interna.

    Fase 02: Enumeração de superfície

    Para cada ativo descoberto: port scan não intrusivo, banner grabbing, fingerprinting de tecnologias web (CMS, frameworks, CDN), certificados TLS (validade, algoritmo, SANs), headers de segurança (HSTS, CSP, CORS), registros DNS (SPF, DMARC, DKIM).

    Fase 03: Correlação de exposições

    CVEs por versão de software detectada (NVD/CPE), mapeamento MITRE ATT&CK por tipo de exposição (RDP exposto vai para T1133, credencial vazada vai para T1078), score de exposição por ativo combinando severidade, EPSS e visibilidade pública.

    Fase 04: Monitoramento contínuo com alertas

    O EASM não é um snapshot. Monitora continuamente e gera alertas quando a superfície muda: novos ativos, novas portas, certificados expirando, CVEs críticos, credenciais em breaches, buckets públicos.

    Alertas por severidade

    🔴
    CRÍTICO
    CVE crítica em software detectado em serviço externo, credencial corporativa em data breach público, bucket cloud público com dados expostos.
    🟠
    ALTO
    Nova porta aberta em ativo existente, serviço não autorizado, certificado TLS expirado em domínio ativo.
    🟡
    MÉDIO
    Novo subdomínio descoberto (shadow IT potencial), certificado expirando em menos de 30 dias.
    05

    Impacto no negócio: o que muda quando você vê o que o atacante vê.

    A visibilidade outside-in não substitui o scanner interno, ela complementa com a perspectiva que o scanner nunca vai ter.

    Detecção antes que o atacante aja

    O CRS-EASM monitora continuamente as mesmas fontes públicas que atacantes monitoram. Quando um novo subdomínio aparece no CT Log, o EASM detecta antes que um atacante automatizado o encontre e comece o reconhecimento. A janela entre exposição e detecção, que nos modelos reativos é medida em semanas, passa a ser medida em horas.

    M&A: mapeamento da superfície de ataque antes do fechamento

    Due diligence de fusões e aquisições raramente inclui uma avaliação técnica da superfície de ataque externa da empresa-alvo. O CRS-EASM entrega esse mapeamento a partir do domínio público da empresa-alvo, sem nenhum acesso privilegiado, em horas. Riscos cibernéticos quantificados antes do fechamento do negócio.

    Integração que eleva prioridade de remediação interna

    Quando o EASM detecta um serviço externo vulnerável que também existe no inventário interno (mesmo hostname ou range de IP), o VulScan e o CRQ recebem o contexto de exposição externa, elevando automaticamente a prioridade de remediação. Uma CVE com EPSS 40% em um servidor interno sobe de prioridade quando o EASM confirma que esse servidor tem IP público e porta aberta.

    06

    Compliance: visibilidade externa como exigência regulatória.

    ISO 27001:2022 · A.8.8
    Gestão de vulnerabilidades técnicas inclui ativos expostos externamente, não apenas a rede interna.

    O EASM cobre o perímetro externo que os scans internos sistematicamente perdem, completando a cobertura exigida pelo A.8.8 para todos os ativos da organização.

    NIST CSF 2.0 · ID.AM-5
    Recursos externos (incluindo serviços em cloud e ativos expostos à internet) identificados e gerenciados por prioridade.

    O EASM implementa diretamente o ID.AM-5 para o domínio externo, descoberta contínua de ativos públicos com classificação por risco de exposição.

    PCI DSS 4.0 · Req. 11.3
    Testes de penetração externos e avaliação de superfície de ataque externa de forma regular.

    O monitoramento contínuo do EASM complementa os pentest periódicos exigidos pelo PCI, garantindo visibilidade entre os ciclos de teste.

    BACEN 4.893
    Política de segurança cibernética deve cobrir ativos digitais expostos a riscos externos, incluindo internet.

    O EASM entrega o mapeamento de ativos externos exigido pela política de segurança cibernética do BACEN, com histórico auditável de descobertas e tratativas.

    07

    Conclusão: proteger o que você não vê é impossível.

    Nenhum programa de segurança pode proteger uma superfície de ataque que não conhece. E a parte da superfície que mais importa para o atacante é exatamente a que você não vê de dentro.

    O CRS-EASM não compete com o scanner interno, ele completa a visão. O scanner interno protege o que você sabe que existe. O EASM descobre o que existe além disso, do ponto de vista de quem quer entrar. Juntos, fecham o gap entre o perímetro declarado e o perímetro real.

    Veja o que está exposto na sua organização agora.

    Demonstração ao vivo

    Referências
    Verizon DBIR 2025: 30% de brechas com envolvimento de terceiros, 22% por exploração de borda. verizon.com/dbir
    Certificate Transparency: Logs públicos de certificados TLS. certificate.transparency.dev
    MITRE ATT&CK: T1133 External Remote Services, T1078 Valid Accounts. attack.mitre.org
    NIST CSF 2.0: ID.AM-5 gerenciamento de recursos externos. nist.gov/cyberframework
    EcoTrust Software Ltda. · Rua Pais Leme, 524, 10º andar, Pinheiros, São Paulo, SP
    www.ecotrust.io · © 2026 EcoTrust. Todos os direitos reservados.