Gestão de Ativos
O que é Gestão de Ativos?
Gestão de AtivosDescoberta, inventário, classificação e acompanhamento contínuos do ciclo de vida de todos os ativos de hardware, software, nuvem e dados que o programa de segurança precisa proteger.
A gestão de ativos é a base de todos os demais controles de segurança: não se pode proteger, atualizar, monitorar ou responder ao que não se sabe que existe. Um inventário de ativos moderno cobre endpoints, servidores, dispositivos de rede, móveis, cargas de trabalho em nuvem, tenants SaaS, identidades, repositórios de código e armazenamentos de dados, com atributos de propriedade, criticidade e exposição. A descoberta é cada vez mais contínua e baseada em ferramentas, por meio de integrações com o CMDB, dados de EDR, APIs de nuvem e sondas EASM. Uma boa gestão de ativos alimenta a gestão de vulnerabilidades, a gestão de configuração, a resposta a incidentes e a aplicação de zero trust, e é pré-requisito para frameworks como os CIS Controls.
Sua primazia não é meramente acadêmica: os CIS Critical Security Controls (v8) tornam o "Inventário e controle de ativos corporativos" e o "de ativos de software" os Controles 1 e 2 — as primeiríssimas coisas que uma organização deveria fazer — porque é nos hosts não gerenciados que as intrusões se escondem. O Log4Shell (CVE-2021-44228) deixou a lição clara: as equipes que não conseguiam responder "onde executamos o Log4j?" passaram dias caçando, enquanto aquelas com um inventário de software preciso e um SBOM delimitaram sua exposição em horas. A violação da Equifax em 2017 (CVE-2017-5638) também persistiu, em parte porque um ativo vulnerável do Apache Struts não estava vinculado a um responsável que o atualizasse. A lacuna mais difícil é o patrimônio "sombra" — instâncias de nuvem esquecidas, subdomínios expirados mas ainda ativos e cadastros em SaaS à margem da TI —, que as ferramentas de gestão da superfície de ataque externa (EASM) revelam ao escanear a partir do ponto de vista do atacante.
flowchart LR
A[Fontes de descoberta] --> B[Normalizar e deduplicar]
subgraph A[Fontes de descoberta]
A1[EDR / agentes]
A2[APIs de nuvem e SaaS]
A3[Varreduras de rede / EASM]
A4[CMDB / DHCP / IdP]
end
B --> C[Fonte única da verdade]
C --> D[Enriquecer: responsável, criticidade, exposição]
D --> E[Gestão de vulnerabilidades]
D --> F[Gestão de patches e configuração]
D --> G[Resposta a incidentes]
E --> H{Conciliar lacunas}
H --> AO objetivo é uma fonte única da verdade conciliada de forma contínua: cada ciclo compara o que cada fonte enxerga, sinaliza os ativos que aparecem em um sistema mas não em outro (um sinal clássico de host não gerenciado ou clandestino) e atribui um responsável antes que o ativo possa voltar a se perder na escuridão.
● Exemplos
- 01
Uma conciliação semanal que compara os registros do CMDB com os endpoints inscritos no EDR para identificar hosts não gerenciados.
- 02
Marcar os bancos de dados mais críticos (crown jewels) para que recebam patches prioritários e controles de acesso mais rígidos.
● Perguntas frequentes
O que é Gestão de Ativos?
Descoberta, inventário, classificação e acompanhamento contínuos do ciclo de vida de todos os ativos de hardware, software, nuvem e dados que o programa de segurança precisa proteger. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Gestão de Ativos?
Descoberta, inventário, classificação e acompanhamento contínuos do ciclo de vida de todos os ativos de hardware, software, nuvem e dados que o programa de segurança precisa proteger.
Como se defender contra Gestão de Ativos?
As defesas contra Gestão de Ativos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Gestão de Ativos?
Nomes alternativos comuns: Gestão de ativos de TI, Gestão de ativos cibernéticos.