O que é Extended Threat Intelligence (XTI)?

Extended Threat Intelligence (XTI) é uma abordagem de segurança que monitora ameaças fora do perímetro da organização — como dark web, fóruns clandestinos, bases de credenciais vazadas e superfície de ataque externa. Ao contrário de ferramentas tradicionais como SIEM e firewall, que monitoram apenas o ambiente interno, o XTI detecta riscos antes que se tornem incidentes.

Como o BreachFinder monitora credenciais vazadas?

O BreachFinder coleta dados de dark web, fóruns clandestinos, logs de infostealer e bases de credenciais comprometidas — indexando mais de 15 bilhões de registros. Quando credenciais associadas ao domínio da sua organização são detectadas, o sistema gera um alerta priorizado em menos de 1 hora, com contexto de impacto e recomendação de ação.

Quanto tempo leva para detectar uma credencial exposta?

O BreachFinder emite alertas em menos de 1 hora após a detecção de uma credencial exposta. A média do setor para detecção de violações é de 194 dias (IBM 2024). Essa diferença significa que sua equipe pode agir muito antes de um atacante explorar a exposição.

O BreachFinder ajuda com conformidade com a LGPD?

Sim. O BreachFinder gera evidências estruturadas de monitoramento e incidentes que podem ser utilizadas em auditorias de LGPD, ISO 27001 e outros frameworks de conformidade. O histórico de alertas e relatórios executivos fornece documentação pronta para apresentação a reguladores e comitês de auditoria.

Qual a diferença entre o BreachFinder e um SIEM?

Um SIEM monitora logs e eventos internos da organização — endpoints, servidores e redes. O BreachFinder monitora o ambiente externo: dark web, credenciais vazadas, phishing, vulnerabilidades expostas e superfície de ataque. As duas ferramentas são complementares: o SIEM detecta incidentes internos, o BreachFinder detecta exposições externas antes que se tornem incidentes.

O BreachFinder tem programa de parceiros para MSSPs?

Sim. O BreachFinder oferece um programa de parceiros para MSSPs, consultorias de segurança e integradores de TI. O programa inclui entrega white-label, painel multi-tenant para gestão de múltiplos clientes, modelos flexíveis de receita e suporte dedicado da equipe XPSec.

EASM: por que sua superfície de ataque é maior do que você pensa

Toda organização que opera na internet tem uma superfície de ataque. O problema é que a grande maioria não sabe exatamente qual é o tamanho dessa superfície. Servidores esquecidos, subdomínios criados para projetos temporários, APIs expostas por acidente, portas abertas em equipamentos de rede, certificados expirados: cada um desses elementos é uma entrada potencial para um adversário.

External Attack Surface Management, ou EASM, é a disciplina de mapear, monitorar e reduzir continuamente tudo que é visível externamente na infraestrutura de uma organização.

O que compõe a superfície de ataque externa

A superfície de ataque de uma organização não é estática. Ela cresce toda vez que um sistema é colocado em produção, um subdomínio é criado, um serviço de nuvem é configurado ou um desenvolvedor expõe uma API temporariamente. E encolhe quando esses sistemas são desativados ou corretamente protegidos.

O problema central é que o crescimento tende a ser muito mais rápido e descentralizado do que o rastreamento. TI sabe dos sistemas principais. Segurança monitora o perímetro conhecido. Mas os projetos paralelos, as instâncias de teste, os subdomínios criados por equipes de marketing, os serviços de terceiros integrados ao longo dos anos: esses frequentemente ficam de fora do inventário oficial.

Do ponto de vista de um atacante, todos esses elementos são igualmente válidos como ponto de entrada. Ele não tem a mesma noção de "sistema principal" e "sistema secundário" que a organização tem. Ele vê tudo que está exposto.

Os componentes principais do EASM

Descoberta de ativos

O primeiro passo é mapear tudo que a organização possui ou controla que está exposto à internet. Isso inclui domínios e subdomínios registrados, faixas de IPs, servidores web, APIs, serviços de email, certificados SSL, tecnologias identificáveis via fingerprinting, e infraestrutura de nuvem pública.

Uma boa plataforma de EASM não se limita ao que a organização declarou possuir. Ela descobre ativos que a própria organização desconhece ou esqueceu.

Avaliação de exposição

Para cada ativo descoberto, é necessário entender o que está exposto: quais serviços estão rodando, quais portas estão abertas, quais versões de software são detectáveis, quais configurações podem ser exploráveis.

Um servidor com o banner de versão exposto facilita a vida do atacante que está buscando exploits específicos. Um painel administrativo acessível sem autenticação adequada é uma vulnerabilidade crítica. Uma instância de banco de dados acessível publicamente é um incidente esperando acontecer.

Monitoramento contínuo

EASM não é uma fotografia. É um vídeo. A superfície de ataque muda todos os dias. Uma varredura realizada uma vez por trimestre não serve. Um novo subdomínio pode ser criado amanhã. Um sistema pode sair de uma rede interna para a internet sem que a equipe de segurança saiba.

O monitoramento contínuo garante que mudanças na superfície de ataque sejam detectadas rapidamente, antes que um atacante as descubra e as explore.

Correlação com inteligência de ameaças

EASM isolado tem valor limitado. O verdadeiro poder vem da correlação com threat intelligence. Quando uma tecnologia específica detectada na sua superfície de ataque está sendo ativamente explorada por grupos de ameaças que visam seu setor, o nível de urgência da correção muda completamente.

O BreachFinder integra a gestão de superfície de ataque externa com o monitoramento de credenciais e inteligência de ameaças, criando um contexto unificado de risco externo.

Erros comuns que expandem a superfície de ataque

Shadow IT

Equipes que criam soluções próprias de TI sem envolver o departamento de tecnologia produzem ativos que ficam fora do radar de segurança. Um formulário criado num serviço de terceiro, uma instância na nuvem pública configurada para um projeto, um servidor de desenvolvimento acessível externamente: tudo isso é shadow IT e tudo isso pode ser um vetor de ataque.

Legado não desativado

Sistemas colocados fora de uso oficial mas que continuam rodando são comuns em organizações de qualquer tamanho. Um servidor web rodando uma versão de PHP de 2019, uma API descontinuada que ainda aceita requisições, um domínio de uma campanha antiga que ainda resolve para algum lugar: tudo isso representa superfície de ataque desnecessária.

Expansão de nuvem sem governança

A facilidade de provisionamento em ambientes de nuvem pública é uma faca de dois gumes. Em minutos, qualquer desenvolvedor com as permissões corretas pode criar um bucket de armazenamento, uma instância de máquina virtual ou um banco de dados. Sem governança adequada, recursos mal configurados aparecem expostos publicamente com frequência.

Dependências de terceiros

Integrações com fornecedores, APIs de parceiros, serviços de marketing e analytics: cada integração traz consigo uma superfície de ataque adicional. Se o serviço de terceiro sofre uma violação, seus dados e possivelmente seus acessos podem ser comprometidos.

O que o BreachFinder oferece em EASM

A funcionalidade de EASM do BreachFinder foi desenvolvida com foco na realidade das organizações brasileiras, que frequentemente lidam com infraestruturas heterogêneas e histórico de acumulação de sistemas ao longo dos anos.

A plataforma realiza descoberta contínua de ativos associados ao domínio e à organização monitorada, identificando subdomínios, IPs associados, serviços expostos e tecnologias detectáveis externamente. Cada ativo é avaliado por nível de exposição e correlacionado com vulnerabilidades conhecidas e inteligência de ameaças ativa.

Quando um novo ativo exposto é detectado, a equipe de segurança recebe uma notificação. Quando um ativo já conhecido passa a apresentar uma configuração problemática, o alerta é gerado. Quando uma tecnologia detectada na superfície de ataque da organização está sendo explorada em campanhas ativas, a urgência é escalada.

Essa abordagem contínua e contextualizada transforma o EASM de um exercício periódico de inventário em um mecanismo de defesa ativo.

Como priorizar o que corrigir

Com uma superfície de ataque grande, a questão que sempre surge é: por onde começar? A resposta está na combinação de dois fatores: criticidade do ativo e probabilidade de exploração.

Um servidor de desenvolvimento com uma vulnerabilidade crítica mas com acesso restrito por IP tem prioridade diferente de um painel administrativo público com a mesma vulnerabilidade. Uma tecnologia com um CVE recém-publicado tem prioridade diferente de uma tecnologia com uma vulnerabilidade teórica que nenhum grupo ativo está explorando.

O BreachFinder ajuda nessa priorização ao combinar o contexto do ativo com inteligência sobre ameaças ativas, permitindo que equipes de segurança direcionem esforço para onde o risco real é maior.

Conclusão

A superfície de ataque de uma organização moderna é vasta, dinâmica e frequentemente maior do que qualquer inventário interno consegue capturar. EASM é a resposta sistêmica para esse problema, mas só funciona quando é contínuo, abrangente e conectado à inteligência de ameaças que dá contexto ao risco.

Organizações que conhecem sua superfície de ataque têm uma vantagem fundamental sobre aquelas que operam no escuro: elas sabem onde o adversário pode tentar entrar, e podem agir antes que ele chegue.