Sentinela.
← Back to blog

May 19, 2026 · 5 min · Carol

ASM attack surface CTEM security external exposure

ASM (Attack Surface Management): why you should look at your site like an attacker

ASM is the discipline that maps everything your company exposes to the internet — known or forgotten — and measures the risk before an attacker does. What it is, what it isn't, and where to start.

A maioria das empresas brasileiras sabe defender o que lembra que tem. O problema mora no que esqueceu: o subdomínio de 2021, o bucket S3 público de quando alguém testou backup, o .env que voltou por engano num commit, o painel admin de staging que ficou na internet.

Esse tipo de coisa nasce e some sem o time de segurança ver. ASM existe pra fechar esse ângulo.

O que é ASM

Attack Surface Management (ASM, em português "gestão de superfície de ataque") é a disciplina que:

  1. Descobre continuamente tudo que sua empresa expõe pra internet.
  2. Inventaria cada item com fingerprint (tecnologia, versão, função).
  3. Avalia o risco de cada um (CVE, configuração, headers, certificado).
  4. Alerta quando algo novo aparece, quando algo conhecido piora, quando algo crítico vira público.

O ângulo é importante: ASM é observação externa, sem agente, sem login. Vê o que o atacante vê.

ASM ≠ pentest, ≠ EDR, ≠ vulnerability scanner

As cinco siglas, lado a lado
Disciplina
O que faz
Quando entra
ASM você está aqui
Mapeia exposição externa, continuamente.
24/7 — toda vez que algo muda na internet.
Pentest pontual
Tenta invadir profundamente.
1×/ano — humano, com escopo definido.
EDR interno
Monitora o endpoint, por dentro.
Reativo — depois que o ataque entrou.
Vuln scanner precisa da lista
Testa CVEs em ativos que você entrega.
Depois de você listar os ativos.
CTEM guarda-chuva
Programa que orquestra todos os anteriores.
Estratégia — camada de governança.
Cada um cobre uma janela diferente do mesmo problema. ASM é o que olha primeiro — sem agente, sem login, do lado de fora.

A confusão mais comum é ASM com vulnerability scanner. Scanner pede a lista de IPs. ASM descobre a lista. É a diferença entre receber inventário pronto e fazer inventário.

O que entra na "superfície de ataque"

A superfície externa de uma empresa típica:

Camada de DNS

  • Domínio principal e variações registradas (.com, .com.br, .app)
  • Subdomínios (descobertos via brute force + Certificate Transparency + zone transfer + scraping passivo)
  • Registros DNS suspeitos (MX órfãos, CNAMEs apontando pra serviços mortos — vetor de subdomain takeover)

Camada de TLS

  • Certificados em todos os domínios
  • Datas de expiração
  • Cadeia e algoritmos
  • Versões de TLS habilitadas

Camada HTTP

  • Tecnologias detectadas (servidor web, framework, CMS, CDN, analytics)
  • Versões expostas (banner, ?ver=, meta generator)
  • Headers de segurança presentes/ausentes
  • Endpoints sensíveis abertos (/admin, /.git/, /.env, /wp-json/wp/v2/users)

Camada de portas

  • Portas TCP/UDP abertas em IPs públicos
  • Banners de serviço (SSH, FTP, SMTP, RDP, banco de dados exposto)

Camada de e-mail

  • Configuração de SPF, DKIM, DMARC
  • Reputação do IP de envio
  • DMARC com p=none em domínio que envia e-mail

Camada de identidade

  • Painéis de login expostos (/wp-admin, /admin, /login)
  • Brute-force possível? Rate-limit funciona?
  • SSO mal configurado, OAuth callback aberto

Camada de código (quando você conecta repo)

  • Secrets vazados (AWS_SECRET, tokens, .env commitado)
  • Vulnerabilidades em dependências (SCA)
  • Padrões inseguros no seu código (SAST)

O ciclo de ASM

Roda 24/7:

Descoberta → Inventário → Avaliação → Priorização → Alerta → Remediação → (volta)

A parte mais negligenciada é a descoberta. Empresa que faz ASM "manualmente" sempre descobre 60% do que tem, esquece o resto, e é exatamente nos 40% esquecidos que o incidente acontece.

Por que ASM é a primeira coisa a fazer (não a última)

A pirâmide que vejo em cliente novo:

  1. Comprou EDR pro endpoint corporativo.
  2. Comprou WAF pro site principal.
  3. Comprou SIEM pra correlacionar logs.
  4. Nunca mapeou o que está exposto na internet.

Quando a gente roda o primeiro scan de ASM, aparecem em média 3–7 surpresas por cliente médio: subdomínio órfão, bucket público, painel staging na internet, backup .sql em pasta servida, repo com secret. Nenhuma dessas seria pega por EDR ou WAF — porque o atacante nem precisa passar por essa camada.

Sem mapa, defesa vira ilusão.

Como começar (na ordem certa)

  1. Inventário externo bruto: todos os domínios da empresa (financeiro tem o WHOIS dos registros), todos os IPs públicos (ASN da empresa, ranges de cloud), todos os subdomínios via crt.sh.
  2. Triagem por tipo: site institucional, app, API, painel interno exposto, microservice esquecido. Cada um pede atenção diferente.
  3. Avaliação técnica: TLS, headers, portas, fingerprint, CVE matching.
  4. Priorização por impacto: painel admin público > site institucional sem header. Não trate tudo igual.
  5. Automação contínua: o passo 1 não é evento único. É processo. Subdomínio novo nasce toda semana.

Onde o Sentinela entra

A gente é ASM brasileiro com nota A–F. Você cola o domínio, a gente:

  • Descobre subdomínios (DNS + CT logs + brute)
  • Mapeia tecnologias, versões, headers, certificados, portas
  • Cruza com base de CVE pública e EPSS pra priorizar
  • Alerta drift (apareceu serviço novo, sumiu HSTS, certificado vai vencer)
  • Conecta com repo pra rodar SAST e secret scanning
  • Mostra evolução do score ao longo do tempo

Quem entende a relação entre ASM contínuo e pentest pontual, vale ler pentest anual ou auditoria contínua — os dois se complementam, mas o ASM é o que cobre o tempo entre pentests.

A regra simples

Você não pode defender o que não enxerga. ASM é o ato de enxergar primeiro. Antes do firewall, antes do EDR, antes do SIEM — antes de tudo: mapeie sua superfície externa, e mantenha o mapa atualizado.

O atacante já está fazendo isso com você. A pergunta é se você está fazendo também.

Keep reading