A superfície de ataque externa de uma empresa cresce com cada novo domínio, subdomínio, API, IP exposto e serviço em nuvem publicado na internet. Sem um inventário confiável, parte desses ativos fica fora do radar da TI, mas totalmente visível para um atacante. O External Attack Surface Management (EASM) atende exatamente esse problema: descobrir, atribuir, monitorar e ajudar a remediar tudo o que está exposto publicamente.

1) O que é EASM — definição direta

EASM é a prática (e o conjunto de tecnologias) voltada para descoberta contínua de ativos voltados à internet, sua atribuição ao negócio (quem é o dono), avaliação de exposição e monitoramento de mudanças. O foco é o “lado de fora” da empresa: o que qualquer pessoa na internet consegue alcançar.

2) Por que EASM virou prioridade

• Cloud-first e velocidade de deploy: times criam apps e PoCs rapidamente; ativos temporários permanecem online.
• Ativos fora da governança: laboratórios, ambientes de teste, marcas de produtos e domínios regionais surgem fora do inventário oficial.
• Integrações e APIs: endpoints abertos aceleram o negócio, mas ampliam o perímetro público.
• M&A e terceiros: aquisições e fornecedores trazem superfícies externas que precisam ser enxergadas e controladas.

3) Como o EASM descobre ativos — de seed ao grafo

O processo começa de um seed (ex.: domínio principal ou blocos de IP oficiais) e expande iterativamente:

• DNS e subdomínios: enumeração passiva e ativa, histórico de DNS e pesquisa por registros órfãos.
• Certificados TLS: análise de Certificate Transparency e campos SAN para revelar hosts relacionados.
• Whois/ASN/IP: pivôs por proprietário, faixas de IP e ASNs associados à organização.
• JavaScript e links: scraping de variáveis e URLs que apontam para APIs e domínios auxiliares.
• Reverse IP: mapeia hosts compartilhando o mesmo endereço/infraestrutura.
• Cloud footprints: padrões de nomenclatura e metadados públicos que denunciam buckets, endpoints e gateways.

A partir daí, a ferramenta faz resolução de entidade (atribuição ao CNPJ/empresa) e monta um grafo de ativos com relações entre domínios, IPs, certificados e serviços.

4) O que entra e o que fica fora do escopo

• Dentro (EASM): tudo que é internet-facing e publicamente observável: sites, APIs, IPs, portas/serviços, banners, certificados, metadados.
• Fora (visão interna): inventário inside-out de endpoints, identidades e configurações internas pertence a outras disciplinas (ex.: gestão de ativos interna).
• Brand/impersonation: monitoramento de fraude de marca e typosquatting pode coexistir, mas é escopo distinto (proteção digital).

5) Tipos de exposição que EASM costuma revelar

• Serviços esquecidos: páginas de teste, painéis administrativos sem autenticação forte, staging acessível.
• Subdomínios órfãos: apontando para infra abandonada ou terceirizada, suscetíveis a takeover.
• APIs não catalogadas: endpoints sem autenticação adequada, chaves expostas em JS público.
• Portas e banners sensíveis: serviços com versões vulneráveis ou mensagens de erro revelando tecnologia e versões.
• Certificados e TLS: certificados expirados, algoritmos fracos, cipher suites inadequadas.
• Armazenamento em nuvem público: buckets/objetos indexáveis com dados internos.

6) Como priorizar — do achado ao risco

Descobrir é o começo. A priorização considera:

• Proximidade ao dado: o ativo intermedia ou armazena informação sensível?
• Exposição efetiva: porta/serviço está acessível sem controle? Responde com banner útil ao atacante?
• Facilidade de exploração: versão conhecida com CVE, fraqueza de TLS, endpoint sem autenticação.
• Criticidade do negócio: impacto operacional/financeiro se o ativo cair ou for comprometido.

7) Fluxo operacional (exemplo de 90 dias)

• D0–D7: definir seeds (domínios oficiais, IP ranges, marcas), regras de escopo e contato de donos (owners).
• D8–D21: executar descoberta, validar atribuição, montar grafo e rotular ambientes (prod, teste, legado).
• D22–D45: classificar exposições por criticidade, abrir tickets com owners e estabelecer prazos.
• D46–D75: follow-up de correções, reteste automático, ajuste de regras para reduzir falsos positivos.
• D76–D90: consolidar métricas, revisar cobertura de descoberta e institucionalizar o ciclo contínuo.

8) Métricas úteis para acompanhar

• Cobertura de descoberta: % de domínios/subdomínios/IPs atribuídos corretamente.
• Ativos desconhecidos => conhecidos: queda mensal do “desconhecido”.
• Tempo para inventariar (MTTI): da criação do ativo até ele entrar no inventário.
• Tempo para corrigir (MTTR de exposição): do achado até a remediação comprovada.
• Exposições por categoria: TLS, portas, API, storage, subdomínio, legado.
• Recorrência: quantos ativos reabrem exposição por regressão de configuração.

9) Integrações que fazem diferença

• DNS/Certificados: feeds de CT Log, passive DNS e monitoramento de mudanças na zona.
• Cloud: integração de descoberta com tags e contas oficiais para atribuição mais precisa.
• Ticketing: abrir e rastrear correções nos times responsáveis (ex.: squads de produto).
• Vulnerabilidades: cruzar exposição externa com scanners para guiar a correção técnica.
• Alertas: watch para novos subdomínios, expiração de certificados e criação de serviços em portas sensíveis.

10) Considerações legais e de ética técnica

• Escopo e autorização: documente domínios/ASNs sob controle da empresa; evite varrer terceiros sem acordo.
• Coleta passiva primeiro: priorize fontes públicas (CT logs, DNS histórico, banners) antes de interações ativas.
• Respeito a termos de serviço: nada de testes intrusivos sob o guarda-chuva do EASM; exploração é outra disciplina.
• Privacidade: evite armazenar dados pessoais ao coletar evidências; redact quando possível.

11) Casos de uso específicos (exemplos práticos)

• M&A: mapear a superfície externa da empresa adquirida antes da integração, identificando riscos rápidos de corrigir.
• Campanhas sazonais: vigiar novos subdomínios e URLs criados para picos de vendas e derrubar o que sobrar após a campanha.
• Regiões/filiais: descobrir domínios regionais criados por parceiros locais fora do padrão corporativo.
• Rotação de certificados: lista preditiva de expirações, evitando janela insegura em HTTPS público.
• Monitor de “novo exposto”: alerta diário de ativos recém-detectados para ação imediata do time de infraestrutura.

12) Erros de implementação que atrasam resultado

• Focar só em CVE: EASM é sobre exposição; muita brecha é configuração/descoberta, não apenas vulnerabilidade.
• Sem dono definido: descoberta sem atribuição trava correção; nomeie owners por domínio/área.
• Relatórios sem ação: priorização fraca gera fila eterna; defina SLOs por categoria de exposição.
• Parar no primeiro ciclo: sem automação/recorrência, o inventário volta a ficar defasado em semanas.

13) Guia rápido de remediação por categoria

• Subdomínio órfão: remover DNS ou reclamar ownership do alvo (para evitar takeover), documentar padrão de criação/remoção.
• TLS fraco/expirado: renovar certificados, obrigar TLS 1.2+, desativar ciphers fracos e HSTS quando aplicável.
• API exposta: exigir autenticação/authorization, rate limit, bloquear métodos ociosos e publicar contrato mínimo.
• Storage público: colocar privado por padrão, criar “rotina de lifecycle” e bloqueio contra exposição acidental.
• Serviço legado: isolar atrás de proxy autenticado, atualizar versão ou descomissionar.

14) Resultado esperado quando o EASM decola

• Redução consistente de ativos desconhecidos.
• Menos surpresas em auditorias e testes externos.
• Correções mais rápidas por fluxo claro de dono, prioridade e prazo.
• Menos exposição acidental (TLS vencido, debug público, staging aberto).

Conclusão

EASM é pragmático: dá visibilidade objetiva do que a sua empresa expõe na internet, atribui dono e viabiliza uma fila de correção que realmente anda. Em ambientes com alta velocidade de mudança, é a diferença entre “achar por acaso” e detectar sistematicamente a tempo de evitar incidente.