19 de mayo de 2026 · 5 min · Carol
ASM (Attack Surface Management): por qué mirar tu sitio como un atacante
ASM es la disciplina que mapea todo lo que tu empresa expone a internet — conocido u olvidado — y mide el riesgo antes que el atacante. Qué es, qué NO es, y por dónde empezar.
A maioria das empresas brasileiras sabe defender o que lembra que tem. O problema mora no que esqueceu: o subdomínio de 2021, o bucket S3 público de quando alguém testou backup, o .env que voltou por engano num commit, o painel admin de staging que ficou na internet.
Esse tipo de coisa nasce e some sem o time de segurança ver. ASM existe pra fechar esse ângulo.
O que é ASM
Attack Surface Management (ASM, em português "gestão de superfície de ataque") é a disciplina que:
- Descobre continuamente tudo que sua empresa expõe pra internet.
- Inventaria cada item com fingerprint (tecnologia, versão, função).
- Avalia o risco de cada um (CVE, configuração, headers, certificado).
- Alerta quando algo novo aparece, quando algo conhecido piora, quando algo crítico vira público.
O ângulo é importante: ASM é observação externa, sem agente, sem login. Vê o que o atacante vê.
ASM ≠ pentest, ≠ EDR, ≠ vulnerability scanner
A confusão mais comum é ASM com vulnerability scanner. Scanner pede a lista de IPs. ASM descobre a lista. É a diferença entre receber inventário pronto e fazer inventário.
O que entra na "superfície de ataque"
A superfície externa de uma empresa típica:
Camada de DNS
- Domínio principal e variações registradas (
.com,.com.br,.app) - Subdomínios (descobertos via brute force + Certificate Transparency + zone transfer + scraping passivo)
- Registros DNS suspeitos (MX órfãos, CNAMEs apontando pra serviços mortos — vetor de subdomain takeover)
Camada de TLS
- Certificados em todos os domínios
- Datas de expiração
- Cadeia e algoritmos
- Versões de TLS habilitadas
Camada HTTP
- Tecnologias detectadas (servidor web, framework, CMS, CDN, analytics)
- Versões expostas (banner,
?ver=, meta generator) - Headers de segurança presentes/ausentes
- Endpoints sensíveis abertos (
/admin,/.git/,/.env,/wp-json/wp/v2/users)
Camada de portas
- Portas TCP/UDP abertas em IPs públicos
- Banners de serviço (SSH, FTP, SMTP, RDP, banco de dados exposto)
Camada de e-mail
- Configuração de SPF, DKIM, DMARC
- Reputação do IP de envio
- DMARC com
p=noneem domínio que envia e-mail
Camada de identidade
- Painéis de login expostos (
/wp-admin,/admin,/login) - Brute-force possível? Rate-limit funciona?
- SSO mal configurado, OAuth callback aberto
Camada de código (quando você conecta repo)
- Secrets vazados (
AWS_SECRET, tokens, .env commitado) - Vulnerabilidades em dependências (SCA)
- Padrões inseguros no seu código (SAST)
O ciclo de ASM
Roda 24/7:
Descoberta → Inventário → Avaliação → Priorização → Alerta → Remediação → (volta)
A parte mais negligenciada é a descoberta. Empresa que faz ASM "manualmente" sempre descobre 60% do que tem, esquece o resto, e é exatamente nos 40% esquecidos que o incidente acontece.
Por que ASM é a primeira coisa a fazer (não a última)
A pirâmide que vejo em cliente novo:
- Comprou EDR pro endpoint corporativo.
- Comprou WAF pro site principal.
- Comprou SIEM pra correlacionar logs.
- Nunca mapeou o que está exposto na internet.
Quando a gente roda o primeiro scan de ASM, aparecem em média 3–7 surpresas por cliente médio: subdomínio órfão, bucket público, painel staging na internet, backup .sql em pasta servida, repo com secret. Nenhuma dessas seria pega por EDR ou WAF — porque o atacante nem precisa passar por essa camada.
Sem mapa, defesa vira ilusão.
Como começar (na ordem certa)
- Inventário externo bruto: todos os domínios da empresa (financeiro tem o WHOIS dos registros), todos os IPs públicos (ASN da empresa, ranges de cloud), todos os subdomínios via crt.sh.
- Triagem por tipo: site institucional, app, API, painel interno exposto, microservice esquecido. Cada um pede atenção diferente.
- Avaliação técnica: TLS, headers, portas, fingerprint, CVE matching.
- Priorização por impacto: painel admin público > site institucional sem header. Não trate tudo igual.
- Automação contínua: o passo 1 não é evento único. É processo. Subdomínio novo nasce toda semana.
Onde o Sentinela entra
A gente é ASM brasileiro com nota A–F. Você cola o domínio, a gente:
- Descobre subdomínios (DNS + CT logs + brute)
- Mapeia tecnologias, versões, headers, certificados, portas
- Cruza com base de CVE pública e EPSS pra priorizar
- Alerta drift (apareceu serviço novo, sumiu HSTS, certificado vai vencer)
- Conecta com repo pra rodar SAST e secret scanning
- Mostra evolução do score ao longo do tempo
Quem entende a relação entre ASM contínuo e pentest pontual, vale ler pentest anual ou auditoria contínua — os dois se complementam, mas o ASM é o que cobre o tempo entre pentests.
A regra simples
Você não pode defender o que não enxerga. ASM é o ato de enxergar primeiro. Antes do firewall, antes do EDR, antes do SIEM — antes de tudo: mapeie sua superfície externa, e mantenha o mapa atualizado.
O atacante já está fazendo isso com você. A pergunta é se você está fazendo também.
Sigue leyendo