Guia · Gestão de exposição
ASM, EASM, CTEM e CTI: o que é cada um e como se encaixam
Os termos viraram sopa de sigla. Este guia separa o que cada um significa de verdade, na ordem em que aparecem num programa real, sem marketing.
1. Superfície de ataque externa: o ponto de partida
Superfície de ataque externa é tudo que sua empresa expõe à internet e que um atacante consegue ver sem credencial: domínios, subdomínios, certificados, IPs, serviços, painéis de login, APIs, buckets, código vazado. O problema não é só o que você cadastrou. É o que cresceu sozinho: shadow IT, ambiente de homologação esquecido, domínio de campanha de marketing, ativo de uma empresa do grupo.
Se você não sabe que um ativo existe, ele não está no seu scan, no seu SIEM nem no seu inventário. Descobrir essa superfície é o primeiro passo, e é onde ASM/EASM entram.
2. ASM e EASM: descobrir e acompanhar a superfície
ASM (Attack Surface Management) é a disciplina de descobrir, inventariar e monitorar continuamente os ativos expostos. EASM (External ASM) é o recorte externo dela: a visão de fora pra dentro, do jeito que o atacante vê, sem agente instalado e sem acesso interno.
Na prática, EASM usa fontes públicas: DNS, Certificate Transparency, WHOIS/RDAP, fingerprint web e OSINT. O resultado bom de EASM não é uma lista enorme de ativos. É uma lista de ativos com a evidência de por que pertencem a você. Lista sem prova vira ruído, e ruído ninguém trata.
3. CTEM: o programa contínuo em volta disso
CTEM (Continuous Threat Exposure Management) não é uma ferramenta. É um programa, popularizado pelo Gartner, com cinco etapas: definir escopo, descobrir, priorizar, validar e mobilizar. ASM/EASM cobre descobrir; CTEM é o ciclo que transforma descoberta em redução de risco de verdade, de forma contínua e não como projeto pontual.
A parte que mais falha é priorizar. Vulnerabilidade crítica num ativo que não pertence a você, ou que ninguém usa, não é risco material. CTEM existe pra responder "o que importa de verdade agora", com prova, não com volume.
4. CTI: o contexto de ameaça
CTI (Cyber Threat Intelligence) é o que dá contexto: quem ataca, com que técnica, o que já apareceu sobre você (credencial vazada, menção em fórum, código exposto). Sozinho, CTI vira relatório que ninguém lê. Conectado à superfície e ao escopo, CTI vira pivot: um sinal observado que aponta pra um ativo específico e gera uma ação.
5. Como tudo se encaixa: sinal → escopo → prova → score → ação
A cadeia certa é uma só: um sinal aparece (EASM/CTI), você confirma se está no escopo e por quê (pertencimento com evidência), mede o risco material com prova (não por CVSS solto), e isso vira ação com dono e prazo (CTEM mobiliza). Quando ASM, EASM, CTEM e CTI vivem em ferramentas separadas, a cadeia quebra entre elas, e o trabalho real é justamente colar isso de novo na mão.