DSPM, ASM e ITDR: construindo uma estratégia de segurança consciente da exposição e orientada por dados

Compartilhe

As equipes de segurança enfrentam um cenário cada vez mais complexo: excesso de alertas, inventários incompletos de ativos e ataques baseados em identidade que passam despercebidos pelos controles tradicionais. O SANS 2025 ASM Survey confirma que o Attack Surface Management (ASM) é fundamental para a defesa moderna, mas insuficiente quando utilizado isoladamente.

Ao combinar Data Security Posture Management (DSPM) para definir o que realmente importa e monitorar quem acessa ou abusa dos dados, com ASM para identificar onde existem exposições, e ITDR (Identity Threat Detection and Response) para revelar padrões de ataque baseados em identidade, as organizações conseguem alinhar sua defesa ao playbook real dos atacantes e construir uma postura de segurança orientada por dados, identidade e exposição.

O desafio: a lacuna entre a teoria de segurança e a realidade operacional

Há anos, equipes de segurança lidam com um paradoxo: quanto mais ferramentas, mais alertas e menos clareza. Ativos desconhecidos, permissões excessivas e dados sensíveis superexpostos criam riscos que muitas vezes só são percebidos após um incidente.

O SANS 2025 ASM Survey chama isso de

“a lacuna persistente entre a teoria de segurança e a realidade operacional”

e quantifica o problema:

  • Apenas 28% das organizações conseguem identificar efetivamente arquivos sensíveis em toda a superfície de ataque
  • 89% esperam quantificação de risco por ativo, mas a maioria das plataformas não entrega isso
  • 67% querem orientação de remediação acionável quando vulnerabilidades possuem exploits públicos
  • 55% precisam de proteção que cubra ativos internos e externos

Esses dados confirmam que o ASM entrega visibilidade valiosa, mas deixa perguntas críticas sem resposta:

  • Quais exposições realmente afetam dados sensíveis?
  • Quais riscos devem ser priorizados primeiro?
  • Quem possui acesso excessivo aos dados mais críticos da organização?

É exatamente nesse ponto que o DSPM complementa o ASM, correlacionando exposição com contexto de dados e identidade e permitindo uma priorização realista e orientada a risco.

DSPM: saber o que realmente importa

O Data Security Posture Management (DSPM) é a base da gestão moderna de exposição. Sem ele, o ASM gera listas de ativos sem contexto. Não por acaso, apenas 28% das plataformas ASM conseguem identificar arquivos sensíveis, um ponto cego amplamente explorado por atacantes.

Com DSPM, as organizações conseguem:

  • Descobrir e classificar dados sensíveis e dados sombra em Microsoft 365, bancos SQL, servidores de arquivos, Oracle Database, Azure Files e outros repositórios on-premises e na nuvem
  • Rotular e proteger dados sensíveis, aplicando políticas consistentes e prevenindo exfiltração
  • Avaliar riscos reais, como permissões excessivas, grupos de segurança vazios ou contas não gerenciadas
  • Proteger a adoção de IA, reduzindo riscos de oversharing, classificação incorreta ou vazamento via ferramentas como Microsoft Copilot

Mais do que identificar dados, o DSPM responde perguntas essenciais:

  • Quem tem acesso a esses dados?
  • Esse acesso é necessário?
  • Esse acesso está sendo abusado?

Capacidades-chave do DSPM

  • Análise de permissões excessivas: identifica contas superprivilegiadas, acessos dormentes e violações de least privilege
  • Mapeamento de caminhos de acesso a dados sombra: visualiza quem pode alcançar dados sensíveis e por quais caminhos
  • Detecção de atividades suspeitas: identifica acessos anômalos, ameaças internas ou contas comprometidas antes que se tornem violações

O DSPM reduz a superfície de ataque onde ela realmente importa: nos dados críticos ao negócio.

ASM: saber onde você está exposto

O Attack Surface Management (ASM) fornece visibilidade sobre onde existem exposições. O levantamento do SANS deixa claro que ativos desconhecidos ou esquecidos são vetores primários de comprometimento.

As expectativas do mercado refletem isso:

  • 55% exigem cobertura de ativos internos e externos
  • 59% esperam varreduras diárias
  • 67% querem orientação de remediação quando exploits públicos existem
  • 47% integram ASM a testes de intrusão

O ASM responde ao onde:
onde estão os ativos, onde estão as falhas e onde um atacante pode ganhar acesso inicial.

No entanto, sem contexto, o ASM tende a gerar volume, não prioridade.

Quando integrado ao DSPM, o ASM passa a destacar exposições que realmente impactam dados sensíveis, transformando milhares de achados em um plano de defesa focado.

ITDR: porque a segurança de dados começa pela identidade

As identidades tornaram-se a principal superfície de ataque. Mesmo quando sabemos quem tem acesso a quê, os atacantes exploram como esse acesso funciona, elevando privilégios, movendo-se lateralmente e ocultando atividades.

O Identity Threat Detection & Response (ITDR) detecta, previne e responde a abusos de identidade em tempo real:

  • Identifica riscos em Active Directory e Entra ID antes que sejam explorados
  • Bloqueia alterações não autorizadas em ativos Tier 0 e configurações críticas
  • Detecta ataques avançados como Kerberoasting, Golden Ticket, DCShadow e comportamentos anômalos via UEBA
  • Usa deception (honeytokens e contas isca) para expor movimentação lateral precocemente
  • Executa respostas automáticas, desabilitando contas comprometidas ou encerrando sessões maliciosas
  • Permite recuperação rápida, revertendo alterações, restaurando objetos excluídos e automatizando a recuperação da floresta AD

O ITDR garante que, quando identidades são atacadas, o dano seja contido antes da escalada.

A abordagem completa: dados + ativos + identidades

Cada componente resolve uma parte do problema. Juntos, resolvem o todo:

  • DSPM = O que → o que é sensível e quem acessa
  • ASM = Onde → onde existem exposições
  • ITDR = Quem → quem ameaça o ambiente por meio de identidade

Essa convergência cria uma postura de segurança orientada por dados, identidade e exposição, alinhada à forma como os atacantes realmente operam.

Por que a Netwrix

As soluções da Netwrix foram projetadas para funcionar de forma integrada, oferecendo visibilidade, controle e resposta em um único ecossistema:

  • Netwrix DSPM: descobre e classifica dados sensíveis, avalia exposição, monitora acessos e reduz riscos em ambientes on-prem e cloud
  • Netwrix ITDR: protege as identidades que governam o acesso aos dados, detecta ataques em tempo real e garante recuperação rápida

Em conjunto, essas soluções entregam visibilidade acionável, reduzem riscos com mais velocidade e ajudam líderes de segurança a fechar a lacuna entre conhecer a superfície de ataque e protegê-la de fato.

Consideração final

O SANS 2025 ASM Survey deixa claro: o ASM é agora um pilar estratégico. Mas sem DSPM para definir o que importa e ITDR para conter o abuso de identidade, ele permanece incompleto.

Ao unir DSPM, ASM e ITDR, CISOs finalmente conseguem alinhar visibilidade, prioridade e resposta, transformando dados em decisões e decisões em defesa eficaz.

Próximo passo: converse com nossos especialistas e descubra como a Netwrix pode ajudar a integrar DSPM, ASM e ITDR em uma estratégia de segurança unificada e orientada por risco.

Artigos relacionados:

IA, segurança e simplicidade: como equilibrar velocidade e controle na nova era da TI Se 70% dos incidentes de perda de dados acontecem no endpoint, por que o seu DLP estaria em outro lugar?