Offensive Security

    Encontramos a vulnerabilidade antes do invasor.

    Pentest com método de adversário real. Black, gray e white box. Web, API, mobile, infra, cloud e engenharia social. Reports executivos + técnicos, retest gratuito 30 dias e mapeamento MITRE ATT&CK.

    Filosofia

    Não usamos só scanner. Pensamos como o atacante.

    Scanner automatizado encontra o óbvio. Pentester profissional encontra o que o scanner não viu — porque entende o contexto do seu negócio. Combinamos automação (Burp, Nuclei, Nessus) com técnica manual baseada em OWASP, MITRE ATT&CK e casos reais de incidentes.

    • Pentesters certificados (OSCP, CEH, eJPT)
    • Metodologia OWASP + MITRE ATT&CK
    • Retest gratuito em até 30 dias
    • Reports executivos + técnicos detalhados

    Três fases

    Reconnaissance. Exploitation. Reporting.

    Reconnaissance

    Mapeamento passivo (OSINT) + ativo (port scan, fingerprint). Identificamos a superfície de ataque que você nem sabia que tinha.

    Exploitation

    Tentativas controladas de exploração com técnica manual + ferramentas profissionais. Validamos cada vulnerabilidade — nada de falso positivo.

    Reporting

    Relatório executivo (1 página, foco em risco) + técnico (passo a passo, evidências, remediação). Apresentação ao C-level e ao time técnico.

    Escopos

    Cobertura completa de superfície

    Web Application

    OWASP Top 10 completo: SQL injection, XSS, CSRF, IDOR, SSRF, deserialization. Lógica de negócio, fluxos auth, race conditions.

    API REST/GraphQL

    Auth bypass, BOLA, mass assignment, rate limiting, GraphQL introspection. Testamos com OpenAPI/Postman/cURL.

    Mobile Apps

    iOS e Android — análise estática (MobSF) e dinâmica (Frida). Hardcoded secrets, deep link abuse, SSL pinning bypass, root detection.

    Infraestrutura

    Pentest externo e interno: Active Directory, Kerberos, lateral movement, privilege escalation. Pivoting com Mimikatz/Bloodhound.

    Engenharia Social

    Phishing simulado com mensuração de cliques, credenciais e malware. Vishing e pretexting com cenários customizados.

    Red Team

    Operação contínua com objetivo (flag): chegar ao DC, exfiltrar dados, comprometer sistema crítico. Simulação de adversário real (APT).

    Resultados

    Vulnerabilidades encontradas, não relatórios genéricos

    OWASP

    Top 10 cobertura completa

    MITRE

    ATT&CK mapping em todo report

    30d

    Retest gratuito incluso

    100%

    Validação manual de findings

    Metodologia

    Não é caixa-preta — você acompanha tudo

    Cada engagement tem kickoff técnico, daily/weekly reports durante a execução, retesting incluso e apresentação dos achados pra time técnico e executivos. Você vê o que estamos fazendo em tempo real — pentest não é mistério.

    • 1Kickoff técnico: definição de escopo, regras de engajamento, contatos
    • 2Reconnaissance: OSINT + scan ativo (1-2 dias)
    • 3Exploitation: tentativas controladas com evidência (3-7 dias)
    • 4Privilege escalation + lateral movement (se aplicável)
    • 5Report draft + apresentação executiva e técnica
    • 6Retest após correção (até 30 dias após entrega)

    Quem precisa

    Cenários típicos de pentest

    Compliance PCI-DSS (pentest anual obrigatório)
    ISO 27001 (controle A.14.2.8)
    Pré-go-live de aplicação crítica
    Pós-incidente para validar correção
    M&A: due diligence de cibersegurança
    Validação de novos endpoints/APIs
    Simulação de ransomware (red team)
    Avaliação de Active Directory legado

    Por que a NE Brasil

    A diferença entre scan e pentest real

    Pentesters certificados

    OSCP, CEH, eJPT, eWPT. Não terceirizamos pra freelancer no Upwork — é time interno com credenciais verificáveis.

    Manual + automação

    Scanner roda em 5 min. A gente passa dias entendendo seu negócio pra encontrar o que o scanner não pega — lógica de negócio, race conditions, IDOR.

    Contexto AISecOps

    Operamos SOC 24/7. Sabemos como atacante real opera porque vemos isso todo dia. Pentest informado por inteligência de ameaças real.

    Report acionável

    Não é PDF de 200 páginas pra arquivar. É plano de remediação priorizado por risco, com snippets de código pra corrigir.

    O Que Dizem Nossos Clientes

    "A equipe da NE trouxe ainda mais segurança para o nosso cartório. Hoje temos a rede mais protegida, melhor monitoramento ativo e colaboradores mais preparados para evitar problemas."

    RB

    Rhana Born

    Registradora de Imóveis - Registro de Imóveis do Colorado - PR

    "A automação com n8n reduziu drasticamente nosso tempo de resposta. Excelente parceria estratégica para nossa segurança cibernética."

    FF

    Fabio Farzat

    CEO - ED Fábrica de Software

    "Profissionalismo e expertise técnico de alto nível. A implementação do SOC foi impecável e os resultados superaram nossas expectativas."

    MV

    Marcelo Vieira

    Diretor Geral - SkyTel Brasil BPO - Atendimento ao Cliente

    Perguntas frequentes

    Pentest: o que você precisa saber

    Quer ver como isso funciona no seu cenário real?

    Venha entender como a NE pode ajudar sua operação, unindo:

    ✓ Consultoria especializada
    ✓ Engenharia de integração
    ✓ Automação inteligente

    Sem compromisso. Sem vendor lock-in.

    Uma conversa técnica, de igual para igual.

    Falar com um Especialista

    Seus dados estão seguros
    Resposta em até 2 horas úteis