Pular para o conteúdo

Unidade de Cybersecurity da Pitang

Como entregamos avaliações de segurança

Princípios, ciclo de execução e frameworks aplicados conforme o serviço.

Princípios

Quatro regras que valem para qualquer serviço

Aplicáveis a pentest, AppSec, Cloud Security, Threat Intel, conscientização e consultoria.

  • 01

    Manual primeiro

    Análise feita por gente, automação como apoio. Scanner cobre superfície ampla; especialista qualifica, prioriza e descobre lógica de negócio quebrada que ferramenta não pega.

  • 02

    Execução conduzida por analistas seniores

    Cada projeto tem um responsável técnico que acompanha do escopo ao reteste. Sem corte de etapas para encaixar prazo — o que precisa ser feito é feito.

  • 03

    Frameworks reconhecidos

    PTES, OWASP, NIST CSF, MITRE ATT&CK, CIS Controls, LGPD e PCI-DSS aplicados conforme o contexto. Não inventamos metodologia própria — combinamos os padrões com técnica acumulada.

  • 04

    Reteste incluído

    Toda avaliação inclui reteste das correções dentro do prazo combinado, sem custo adicional. O entregável só vira "fechado" quando o finding original some.

Ciclo de execução

Cinco etapas do escopo ao reteste

A forma canônica de aplicar os princípios. Cada serviço adapta o detalhe — mas a sequência se mantém.

  1. Etapa 01

    Reconhecimento

  2. Etapa 02

    Análise

  3. Etapa 03

    Exploração

  4. Etapa 04

    Relatório

  5. Etapa 05

    Reteste

Etapa 01

Reconhecimento

Superfície de ataque, OSINT e vetores de entrada.

  • OSINT — coleta passiva de informação pública sobre superfície de ataque, dados expostos e tecnologia em uso.
  • Mapeamento de subdomínios, endpoints, serviços expostos e cadeia de dependências.

Etapa 02

Análise

Vulnerabilidades, configurações e modelagem de ameaça do ambiente.

  • Varredura ativa com ferramental combinado — automação cobre superfície ampla; manual qualifica e prioriza.
  • Identificação de vetores: vulnerabilidades CVE, falhas de configuração, lógica de negócio quebrada, controles ausentes.

Etapa 03

Exploração

Exploração controlada, escalação de privilégio e movimento lateral.

  • Exploração manual com prova de conceito controlada — sem destruição de dados, com evidência rastreável.
  • Encadeamento de vulnerabilidades para demonstrar impacto real, não só severidade teórica.

Etapa 04

Relatório

Classificação de risco, evidências, impacto e como remediar.

  • Sumário executivo (sem jargão) + relatório técnico com reprodução passo-a-passo.
  • Promessa contratual: até 30 dias após início do projeto (salvo escopos estendidos).

Etapa 05

Reteste

Confirmação de que as correções fecharam o que precisava.

  • Reteste das correções aplicadas — sem custo adicional, dentro do prazo combinado.
  • Confirmação de que cada finding original foi efetivamente fechado, não apenas escondido.

Frameworks

Frameworks aplicados

Não inventamos metodologia própria — combinamos os padrões de mercado com técnica acumulada.

  • PTESPentest · Infraestrutura

    Penetration Testing Execution Standard

  • OWASP Testing GuideApplication Security · Web

    OWASP Web Security Testing Guide

  • OWASP Top 10Application Security · Web · API

    OWASP Top 10 Web Application Security Risks

  • OWASP ASVSApplication Security

    Application Security Verification Standard

  • NIST CSFMaturidade · Governança

    NIST Cybersecurity Framework

  • MITRE ATT&CKRed Team · Threat Intelligence

    MITRE Adversarial Tactics, Techniques & Common Knowledge

  • CIS BenchmarksCloud Security · Hardening

    Center for Internet Security Benchmarks

Pronto para começar um projeto?

Conte o escopo. A gente responde em até 24h úteis com proposta e cronograma.

Solicitar orçamento