Iniciante Fundamentos Atualizado em 25 de jun. de 2025

Superfície de Ataque e Vetores de Entrada

Superfície de ataque é o conjunto de todos os pontos por onde um atacante pode tentar entrar em um sistema. Quanto maior a superfície, mais oportunidades para exploração.

O que compõe a superfície de ataque?

Vetores comuns:
- Portas de rede abertas (SSH, RDP, HTTP/S, bancos de dados expostos)
- APIs públicas e endpoints não documentados
- Interfaces de administração expostas à internet
- Dependências de terceiros (bibliotecas, SDKs, plugins)
- Contas de usuário e credenciais (humanos e sistemas)
- E-mail e engenharia social
- Dispositivos físicos (USB, acesso físico a servidores)

Exemplo: servidor mal configurado

Situação inicial — superfície larga:
- Porta 22 (SSH) aberta para 0.0.0.0
- Porta 3306 (MySQL) exposta à internet
- Painel de admin em /admin sem restrição de IP
- 15 usuários com permissão de admin
- Dependência de npm com CVE crítico

Situação melhorada — superfície reduzida:
- SSH apenas via VPN ou IP fixo
- MySQL apenas na rede interna (127.0.0.1)
- /admin restrito a bloco de IPs da empresa
- 2 usuários admin, restante sem privilégio
- Dependência atualizada ou substituída

Como mapear a superfície

Ferramentas de reconhecimento defensivo:

# Varredura de portas no próprio servidor (com autorização)
nmap -sV -p- 192.168.1.10

# Listar serviços ouvindo na máquina
ss -tlnp

# Verificar dependências com vulnerabilidades conhecidas
npm audit
pip-audit

Estratégias de redução

Desativar o que não usa — serviços, portas, contas, funcionalidades
Segmentar redes — banco de dados não deve ser alcançável da internet
Gerenciar dependências — atualizar, auditar, remover o desnecessário
Inventariar ativos — o que não é conhecido não pode ser protegido
Monitorar mudanças — nova porta aberta = nova superfície

Regra prática

Cada porta aberta é uma pergunta:
"Precisa estar aberta? Para quem? Por quê?"

Se não souber responder, feche.

Superfície digital versus física

Não esqueça da superfície física: uma porta de servidor destrancada, um computador sem tela de bloqueio, um pendrive largado no estacionamento. Controles lógicos não protegem contra acesso físico não autorizado.