/ GLOSSÁRIO · CONCEITO

Attack Surface Management (ASM) — Guia técnico

Última atualização: 11 de maio de 2026

O que é Attack Surface Management

Attack Surface Management (ASM), ou Gestão de Superfície de Ataque, é a prática de descobrir, inventariar e monitorar de forma contínua todos os ativos digitais expostos externamente de uma organização — visíveis a partir da internet pública, vistos pela ótica de um atacante.

A diferença em relação a abordagens tradicionais não está no que se escaneia, mas em como se descobre o que escanear. Um vulnerability scanner tradicional precisa que você forneça uma lista de IPs ou domínios para auditar; o ASM descobre essa lista sozinho, partindo de seeds mínimos (domínio raiz, ASN, marca) e expandindo via OSINT, certificados públicos, DNS passivo, indexação em motores de busca e correlação semântica.

5 diferenças vs vulnerability scanner tradicional

1. Descoberta vs target predefinido

Scanner tradicional opera em modo target-first: você lista os hosts, o scanner audita. ASM opera em modo discovery-first: o sistema descobre os hosts a partir de seeds mínimos. Subdomínios esquecidos, ambientes staging não documentados, ativos de aquisições recentes — tudo que está sob o domínio da organização mas fora do inventário oficial vira finding.

2. Pipeline de descoberta multi-ferramenta

ASM moderno combina dezenas de ferramentas em pipeline: enumeração de subdomínios (subfinder, AMASS, certificate transparency), probing HTTP (httpx), scan de portas e serviços (nmap), análise TLS, detecção de vulnerabilidades web (nuclei, nikto), descoberta de arquivos (feroxbuster), análise de JavaScript (RetireJS, JS secret scanning), detecção de subdomain takeover via análise CNAME.

3. Monitoramento contínuo, não auditoria pontual

Scanner tradicional roda em janela agendada (geralmente mensal ou trimestral). ASM roda em ciclo contínuo com delta detection — novos ativos descobertos disparam alerta, vulnerabilidades novas em ativos conhecidos disparam alerta, mudanças de configuração TLS disparam alerta. O modelo é always-on.

4. Correlação de findings com contexto de negócio

ASM moderno enriquece findings com CVSS + CISA KEV (Known Exploited Vulnerabilities) — flagging do que é teórico vs exploited in the wild. Permite priorizar não pelo CVSS isolado, mas pela combinação severidade + exploit ativo + valor do ativo.

5. Cross-referência com maturidade

ASM tradicional para na detecção. ASM integrado com framework de maturidade cruza findings high+ contra controles documentados — se você marca "controle PR.AA implementado" mas o ASM detecta credenciais default expostas em um portal admin, o controle é flaggado como evidência contradita. Isso transforma a avaliação de maturidade de opinião em estado verificável.

Exemplos práticos do que o ASM descobre

  • Subdomínios esquecidos — staging.dominio.com.br rodando versão antiga sem patch, indexado em certificate transparency
  • Subdomain takeover — CNAME apontando para bucket S3 desprovisionado, vulnerável a registro malicioso
  • Credenciais em JavaScript público — API keys committed em bundle JS exposto ao público
  • Configuração TLS fraca — TLS 1.0 ainda habilitado em um endpoint legado
  • Portas administrativas expostas — RDP, SSH ou painéis web admin acessíveis sem ACL adequada
  • Listagem de diretório habilitada — Apache / Nginx servindo /backup/, /old/, /.git/

Próximo passo

A CyberAtlas combina descoberta contínua, pipeline de 10+ ferramentas, enriquecimento CVSS + CISA KEV e cross-referência com maturidade — entregando um score 0–100 com 6 categorias de risco e alertas multi-canal.

Mapeie sua superfície externa com a CyberAtlas, ou conheça os módulos da plataforma.