PenTest
Identificamos vulnerabilidades reais em aplicações, APIs, infraestruturas e cloud. Entregamos evidências reprodutíveis, priorizadas por risco e alinhadas com o negócio.
Âmbitos típicos e enquadramento
Atuamos em múltiplos domínios de segurança técnica e organizacional, combinando metodologias reconhecidas (OWASP ASVS/API, PTES, NIST) com exploração manual e automação inteligente. O foco é sempre o risco real — não apenas listas de vulnerabilidades.
🧩 Aplicações & APIs
Testes a aplicações web, mobile e APIs (REST/GraphQL), com foco em autenticação, autorização e exposição de dados sensíveis.
☁️ Infraestrutura & Cloud
Avaliação de redes internas e externas, Active Directory, e revisão de configurações em ambientes Azure, AWS e GCP.
💻 Ambiente de Trabalho
Análise de endpoints, políticas de hardening e identificação de caminhos de movimento lateral em estações e servidores.
🕵️ Engenharia Social
Cenários controlados e aprovados que testam a eficácia da sensibilização e a resposta a tentativas de phishing ou intrusão.
🧠 DevSec & SDLC
Integração de práticas seguras no ciclo de desenvolvimento: secure coding, threat modeling e pipelines de verificação contínua.
📜 Conformidade
Apoio prático à conformidade com NIS2, ISO 27001 e outros referenciais, garantindo evidências auditáveis e governança eficaz.
Tipos de Pentest
Cada abordagem simula um tipo diferente de atacante, permitindo avaliar vulnerabilidades sob múltiplas perspetivas.
Black Box
O atacante não possui qualquer informação prévia. Este teste avalia a exposição externa e a resposta a ameaças reais.
Grey Box
O atacante tem algum conhecimento do sistema ou acesso parcial. Simula um cenário interno com permissões limitadas.
White Box
O auditor tem acesso completo à infraestrutura e código-fonte. Ideal para auditorias de segurança profundas e estruturais.
Como trabalhamos
Um processo claro e colaborativo, centrado em objetivos reais e evidências técnicas, garantindo resultados consistentes e alinhados com o contexto da organização.
1️⃣ Kickoff & Escopo
Iniciamos com uma reunião de alinhamento para definir objetivos, ativos críticos e regras de funcionamento. É o momento de compreender o contexto e preparar o ambiente de testes, definindo escopos e prazos.
2️⃣ Recon & Modelação
Realizamos a recolha e análise de informações para compreender a superfície de ataque e o comportamento esperado dos sistemas, aplicando técnicas de threat modeling e priorização de vetores.
3️⃣ Testes Manuais
Combinamos automação controlada com exploração manual detalhada, focando em falhas lógicas, autenticação, autorização e exposição de dados sensíveis.
4️⃣ Exploração Controlada
Demonstração segura de impacto para confirmar vulnerabilidades e medir a severidade real sem afetar o ambiente de produção.
5️⃣ Evidências & Risco
Cada achado é documentado com evidências visuais, classificação baseada em CVSS e análise contextual de risco, permitindo decisões informadas e priorização eficaz.
6️⃣ Documentação & Debrief
Entregamos um relatório técnico e executivo completo, validamos correções e conduzimos um workshop de debrief para garantir compreensão e melhoria contínua.
Resultados & Entregáveis
Cada fase resulta em entregas objetivas, auditáveis e orientadas para decisão.
Relatório Executivo & Técnico
Documento técnico e estratégico com análise detalhada, conclusões verificáveis e recomendações práticas.
Classificação de Risco
Avaliação de risco contextualizada segundo CVSS, impacto operacional e criticidade do ativo.
Backlog de Correção
Lista priorizada de ações técnicas, com mapeamento direto para mitigação e melhoria contínua.
Reteste Validado
Reavaliação controlada das correções implementadas para confirmar a mitigação efetiva do risco.
Workshop de Debrief
Sessão interativa para discutir resultados, alinhar estratégias e planear melhorias.
Evidências Audit-Ready
Entregas rastreáveis e conformes com normas ISO 27001, SOC 2 e NIS2 — prontas para auditorias.
Quer validar a sua exposição com um pentest?
Enquadramos rapidamente o escopo e devolvemos um plano objetivo com prazos e entregáveis.