Empresas que confiam na BrownPipe
Segurança ofensiva
Identifique vulnerabilidades na sua rede com modalidades que se adaptam às suas necessidades e orçamento.
Empresas que confiam na BrownPipe
Para sua empresa
Sua rede é a base de toda a operação. Servidores, serviços, integrações e acessos precisam estar protegidos contra ameaças que evoluem constantemente.
Um pentest de infraestrutura mostra onde seu ambiente está exposto e o que precisa ser corrigido. Empresas buscam esse serviço quando precisam:
Saber onde estão expostas antes que um atacante descubra
Atender requisitos de compliance (PCI-DSS, ISO 27001, BACEN, LGPD)
Validar a segurança após mudanças na rede ou migração para nuvem
Testar se a segmentação de rede realmente funciona
Avaliar a segurança do Active Directory
Apresentar evidências de diligência para clientes, parceiros ou seguradoras
Modalidades
Oferecemos três modalidades de avaliação de infraestrutura. A escolha depende do objetivo, orçamento e nível de profundidade que sua empresa precisa.
Avaliação automatizada utilizando ferramentas especializadas de mercado. Executamos a varredura contra seu ambiente e entregamos o resultado gerado pela ferramenta, sem filtros ou análise adicional.
Empresas que precisam de uma visão rápida do ambiente, têm equipe técnica interna para interpretar os resultados ou querem um primeiro diagnóstico com investimento reduzido.
Taxa fixa pela execução da varredura, mais valor por cada relatório de severidade incluído. Você decide o que quer receber.
Importante: Os resultados são entregues como a ferramenta gera, sem validação manual. Isso significa que podem conter falsos positivos e informações que exigem interpretação técnica.
A mesma varredura automatizada da modalidade anterior, mas com uma camada de revisão humana. Um especialista da BrownPipe analisa os resultados, remove ruídos e falsos positivos, e entrega um relatório que faz sentido para o seu contexto.
Empresas que precisam de um relatório utilizável, sem ter que investir tempo filtrando centenas de alertas irrelevantes. Ideal para quem quer visibilidade do ambiente com qualidade de análise, mas ainda não precisa de exploração manual.
Taxa de varredura mais valor pela análise técnica.
Você terá relatórios mais precisos e revisados pela equipe da BrownPipe.
Teste de invasão completo, conduzido manualmente pela equipe técnica da BrownPipe. Identificamos vulnerabilidades, exploramos as falhas de forma controlada, verificamos movimentação lateral e documentamos exatamente o nível de exposição do seu ambiente.
Empresas que precisam saber o risco real, não apenas uma lista de CVEs. Organizações que exigem evidências concretas de impacto, querem testar a efetividade dos controles de segurança ou precisam atender requisitos de compliance que exigem pentest (PCI-DSS, auditorias, contratos com clientes).
Valor base que inclui uma quantidade de hosts. Hosts adicionais são cobrados conforme nível de complexidade.
Você não recebe apenas um relatório. Tem uma equipe de especialistas ao seu lado do início ao fim, até a validação de que os problemas foram resolvidos.
Pentest completo
Começamos definindo o escopo junto com você: quais redes, hosts e serviços serão avaliados, janelas de teste, contatos de emergência e regras de engajamento.
A identificação de vulnerabilidades combina varredura automatizada com análise manual. Não nos limitamos ao que a ferramenta aponta: investigamos configurações, permissões, integrações e comportamentos que podem representar risco.
Quando conseguimos um acesso inicial, verificamos as possibilidades de expansão: escalar privilégios, acessar outros sistemas, alcançar ativos críticos. Todo o processo é documentado com evidências: prints, comandos executados, provas de conceito.
Falar com um especialistaDefinimos junto com você quais redes, hosts e serviços serão avaliados, janelas de teste, contatos de emergência e regras de engajamento.
Nossa equipe mapeia a superfície de ataque do ambiente, identificando hosts, serviços, versões e configurações expostas.
Combinamos varredura automatizada com análise manual. Não nos limitamos ao que a ferramenta aponta: investigamos configurações, permissões, integrações e comportamentos que podem representar risco.
Cada vulnerabilidade relevante é verificada e explorada de forma controlada para validar se é realmente explorável e qual o impacto no seu contexto.
Quando conseguimos um acesso inicial, verificamos as possibilidades de expansão: escalar privilégios, acessar outros sistemas, alcançar ativos críticos.
Todo o processo é registrado com evidências: prints, comandos executados, provas de conceito. Você vê exatamente o que fizemos e o que conseguimos.
Entregamos relatório técnico completo com vulnerabilidades, classificação de severidade contextualizada e recomendações priorizadas de correção.
Ficamos disponíveis para esclarecer dúvidas durante a remediação.
Após você corrigir as vulnerabilidades críticas e altas, retestamos para validar que as correções foram efetivas.
Padrões
Nossos testes seguem metodologias reconhecidas internacionalmente, adaptadas à realidade de cada ambiente.
A escolha e combinação das metodologias depende do escopo e dos objetivos do projeto. Isso garante que o teste atenda requisitos de compliance (PCI-DSS, ISO 27001, auditorias) e ao mesmo tempo seja relevante para o contexto específico da sua organização.
NIST SP 800-115
Guia técnico do NIST para testes de segurança em redes e sistemas
OSSTMM
Metodologia com foco em métricas e cobertura de superfície de ataque
PTES
Padrão que define fases e entregas para testes de invasão profissionais
MITRE ATT&CK
Framework para mapear técnicas de movimentação lateral e escalação de privilégios em Active Directory
Comparativo
| Varredura | Varredura + Análise | Pentest Completo | |
|---|---|---|---|
| Execução automatizada | |||
| Análise por especialista | - | ||
| Remoção de falsos positivos | - | ||
| Exploração manual | - | - | |
| Prova de impacto real | - | - | |
| Movimentação lateral | - | - | |
| Relatório técnico detalhado | Básico | Contextualizado | Completo |
| Recomendações de correção | Genéricas | Ajustadas | Priorizadas |
| Suporte pós-entrega | - | - | |
| Reteste após correção | - | - |
Dúvidas frequentes
É um teste de invasão que avalia redes, servidores, dispositivos e serviços da organização, tanto expostos à internet quanto internos. Diferente de um scan automatizado, que apenas lista CVEs conhecidas, o pentest envolve exploração manual das falhas, validação de impacto real e demonstração de caminhos de ataque completos. O resultado é um relatório técnico mostrando exatamente o que um atacante conseguiria fazer no seu ambiente, com evidências, classificação de risco e orientações claras para correção.
O scan automatizado lista vulnerabilidades conhecidas usando assinaturas. Entrega rápido, mas gera falsos positivos e não valida se as falhas são realmente exploráveis. O pentest usa o scan como ponto de partida, mas o trabalho é manual: explorar falhas, encadear ataques e demonstrar o que um atacante realmente conseguiria fazer.
Se você precisa de visibilidade rápida e tem equipe técnica para interpretar resultados brutos, a Varredura atende. Se quer um relatório limpo e utilizável, escolha Varredura com Análise. Se precisa saber o risco real, com exploração e suporte até a correção, o Pentest Completo é a escolha certa.
Varredura: 1 a 3 dias úteis. Varredura com Análise: 3 a 7 dias úteis. Pentest Completo: 5 a 20 dias úteis, dependendo do escopo e complexidade.
Trabalhamos com metodologia controlada. Testes de negação de serviço (DoS) e exploits potencialmente destrutivos só são executados com autorização explícita e em janelas acordadas. A maioria dos testes não causa impacto em produção.
Sim. Na Varredura, identificamos configurações inseguras e vulnerabilidades conhecidas. No Pentest Completo, exploramos técnicas como Kerberoasting, AS-REP Roasting, DCSync, movimentação lateral e mapeamos caminhos de ataque para Domain Admin.
Sim. Avaliamos configurações de segurança, IAM, storage, redes virtuais e integração com ambientes on-premises. O escopo é definido previamente respeitando os termos de uso de cada provedor.
Sim. O Requisito 11.3 do PCI-DSS exige pentest anual e após mudanças significativas. Nossos testes seguem metodologias aceitas pelo padrão (NIST SP 800-115, OSSTMM, PTES) e os relatórios atendem aos requisitos de documentação exigidos por auditores.
Após você corrigir as vulnerabilidades, retestamos os pontos críticos e altos para validar que as correções foram efetivas. O prazo para solicitar o reteste é definido na proposta.
Comunicamos imediatamente para que medidas emergenciais possam ser tomadas. Não esperamos o relatório final para alertar sobre riscos graves.
Identificar e corrigir vulnerabilidades antes de um incidente custa uma fração do prejuízo de uma invasão real. Um pentest bem executado mostra exatamente onde estão os riscos e como priorizá-los.
Fale conosco