Quais modalidades de pentest vocês fazem?

Três modalidades: black box (sem informação prévia, simula invasor externo), gray box (informação parcial, simula insider com acesso limitado), white box (informação completa do código/arquitetura, foco em revisão profunda). Discovery valida qual modalidade entrega mais valor por orçamento.

O pentest pode causar indisponibilidade?

O risco é mitigado por regras de engajamento documentadas no contrato (janelas de teste, sistemas excluídos, comandos vetados) + comunicação contínua com a equipe TI do cliente durante a execução. Para ambientes muito sensíveis, recomendamos teste em ambiente espelho de produção quando possível.

Qual a duração típica de um pentest?

Tipicamente 2 a 6 semanas: 1 semana de planejamento + 2 a 4 semanas de execução + 1 semana de relatório. Reteste pós-correção tipicamente 1 a 2 semanas. Cronograma exato depende de escopo (apenas externo vs externo + interno + aplicações web + cloud) e complexidade do ambiente.

Como o reteste funciona?

Após o relatório inicial e correções aplicadas pela equipe TI do cliente, executamos reteste especificamente das vulnerabilidades exploradas no engagement original. Cada vulnerabilidade é reclassificada (Corrigida / Mitigada / Pendente) com evidência documentada — entregue em adendo ao relatório original para auditoria.

Pentest SPKR atende clientes fora do Rio de Janeiro?

Sim. Pentest externo é remoto por natureza. Pentest interno pode ser conduzido remotamente (via dispositivo SPKR enviado ao cliente, com VPN reverso) ou presencialmente (visita da equipe SPKR ao site). Atendemos São Paulo, Rio de Janeiro e demais regiões do Brasil. Para presença presencial, agendamos visita conforme cronograma.

Pentest com metodologia OWASP + PTES: infraestrutura externa, interna e aplicações web — relatório executivo + reteste de validação.

Q: Qual a diferença entre pentest e scan de vulnerabilidade (VA)?

Vulnerability Assessment (VA) é varredura automatizada que LISTA vulnerabilidades teóricas (CVEs catalogadas). Pentest é teste manual + ferramentas que PROVA quais vulnerabilidades são realmente exploráveis no contexto e qual o impacto. VA é produto contínuo, pentest é engagement periódico (anual/semestral).

Teste de invasão controlado conduzido pela SPKR com metodologia OWASP + PTES — escopo externo (perímetro), interno (lateral movement, escalação) e aplicações web (OWASP Top 10). Entrega: relatório executivo (Comitê) + relatório técnico (equipe TI) + plano de remediação priorizado por criticidade CVSS + reteste de validação após correção.

Solicitar teste de invasão Conhecer SPKR Assessment

Vertical

Empresas com obrigação regulatória de teste de intrusão periódico

Operações com requisito formal de pentest periódico por regulação setorial ou por cláusula contratual com clientes B2B — gestoras financeiras (BACEN/CVM exigem teste de intrusão anual), redes hospitalares (ANS + LGPD-saúde), escritórios de advocacia (OAB Provimento 198/2023), e-commerces e operações com PCI-DSS req. 11 (pentest semestral em ambiente de cartão), e empresas com programa formal de ISO 27001 A.12.6.

Case real · Sob NDA · Pentest com reteste

Gestora financeira regulada — pentest externo + interno + reteste para BACEN

Cliente regulado contratou pentest gray box com escopo externo (perímetro) + interno (lateral movement, escalação privilégios) — entrega documentada com relatório executivo para Comitê de Risco, relatório técnico para equipe TI, plano de remediação CVSS-priorizado e reteste de validação após correção. Cobertura para auditoria BACEN + ISO 27001 A.12.6.

Conhecer SPKR Assessment

Reconhecimento e Escopo

Definição do escopo (black box, gray box ou white box), coleta de informações sobre o alvo e modelagem de ameaças. Alinhamento de regras de engajamento e janelas de teste.

Testes e Exploração

Varredura de vulnerabilidades, exploração controlada de falhas, tentativa de escalação de privilégios e movimentação lateral. Cada etapa documentada com evidências.

Relatório e Remediação

Relatório executivo para a diretoria e técnico para a equipe de TI. Plano de correção priorizado por criticidade (CVSS) e reteste para validar as correções aplicadas.

Brechas exploráveis

Vulnerabilidades reais separadas das teóricas.

Scan automatizado lista vulnerabilidades; pentest prova quais delas são realmente exploráveis no contexto do ambiente — e qual o impacto real no negócio se exploradas.

Compliance regulatório

Evidência auditável para PCI-DSS, ISO 27001 A.12.6, BACEN.

PCI-DSS req. 11 (semestral em ambiente de cartão), ISO 27001 A.12.6 (anual), BACEN para gestoras financeiras, OAB Provimento 198/2023 (advocacia) — pentest gera evidência documentada para auditoria externa.

Validação de controles

Firewall, EDR, SIEM e Conditional Access testados sob pressão.

Cada camada de defesa do ambiente é testada com técnicas reais de invasor — não apenas configurada por checklist. Detecta gaps de configuração e falsos positivos de proteção.

Priorização CVSS

Investimento em segurança baseado em criticidade real.

Classificação CVSS por vulnerabilidade permite priorizar correções por impacto × probabilidade — Comitê de Risco aprova orçamento com evidência defensável, não com suposição.

Relatório dual

Sumário executivo + relatório técnico detalhado.

Dois documentos por engagement: sumário para Comitê/Conselho aprovar investimentos e relatório técnico para a equipe TI corrigir vulnerabilidade por vulnerabilidade com PoC reproduzível.

Reteste contratual

Validação pós-correção incluída no escopo.

Após a equipe TI aplicar correções, equipe SPKR retesta cada vulnerabilidade explorada — ciclo completo identificar, corrigir e confirmar com evidência documentada para auditoria.

Frente

Pentest Externo

Varredura de portas, serviços e perímetro
Teste de firewalls, VPNs e WAFs
Exploração de servidores web expostos
Análise de DNS, e-mail e registros públicos

Frente

Pentest Interno

Active Directory — Kerberoasting, Pass-the-Hash
Escalação de privilégios local e de domínio
Movimentação lateral entre segmentos
Teste de segmentação de rede e VLANs

Frente

Aplicações Web

OWASP Top 10 — cobertura completa
SQL Injection, XSS, CSRF e SSRF
Falhas de autenticação e controle de acesso
APIs REST e GraphQL — BOLA, IDOR, rate limiting

Frente

Entregáveis

Relatório executivo — sumário para a diretoria
Relatório técnico com evidências e PoC
Plano de remediação priorizado por CVSS
Reteste de validação após correções

Qual a diferença entre pentest e scan de vulnerabilidades?

Scan de vulnerabilidades é automatizado — identifica falhas conhecidas em software e configurações. Pentest vai além: um especialista tenta explorar essas falhas de verdade, encadear ataques e medir o impacto real no negócio. Scan lista o que pode estar vulnerável. Pentest prova o que está.

O pentest pode derrubar sistemas em produção?

Risco mínimo. Antes de iniciar, definimos regras de engajamento que incluem escopo, janelas de teste e limites de exploração. Técnicas destrutivas (como DoS) ficam fora do escopo padrão. Testes mais agressivos podem ser realizados em ambientes de homologação, se necessário.

Com que frequência devo fazer pentest?

O padrão de mercado é anual para compliance (PCI-DSS, ISO 27001). Mas a recomendação prática é testar após grandes mudanças na infraestrutura — migração cloud, nova aplicação web, fusão de redes. Ambientes de alto risco (fintech, saúde, e-commerce) se beneficiam de testes semestrais.

Quais metodologias a SPKR utiliza?

OWASP Testing Guide para aplicações web, PTES (Penetration Testing Execution Standard) para infraestrutura e NIST SP 800-115 como framework de referência. A classificação de vulnerabilidades segue o padrão CVSS v3.1 para garantir comparabilidade e priorização objetiva.

O que acontece após a entrega do relatório?

Apresentação dos achados para a equipe técnica e, opcionalmente, para a diretoria. O plano de remediação priorizado guia as correções. Após a aplicação das correções, realizamos o reteste para confirmar que as vulnerabilidades foram efetivamente eliminadas. Ciclo completo: identificar, corrigir, validar.

Decida com base em fato — discovery do escopo, modalidade recomendada (black/gray/white box), proposta em real.

Conversa de 30 minutos com a equipe técnica SPKR mapeia o escopo do pentest (perímetro externo, infra interna, aplicações web, ambiente PCI-DSS) e recomenda modalidade. Em parte dos casos, a recomendação é começar por escopo externo + 1 aplicação crítica e expandir conforme maturidade — honestidade técnica antes de proposta comercial.

Solicitar teste de invasão

Pentest com metodologia OWASP + PTES: infraestrutura externa, interna e aplicações web — relatório executivo + reteste de validação.

Quando "estamos seguros porque tem firewall" vira "essas 4 vulnerabilidades exploráveis foram corrigidas no reteste" — pentest transforma suposição em evidência.

Empresas com obrigação regulatória de teste de intrusão periódico

Gestora financeira regulada — pentest externo + interno + reteste para BACEN

Reconhecimento, exploração e remediação validada — três fases OWASP/PTES.

Reconhecimento e Escopo

Testes e Exploração

Relatório e Remediação

Seis mudanças concretas com pentest periódico documentado.

Vulnerabilidades reais separadas das teóricas.

Evidência auditável para PCI-DSS, ISO 27001 A.12.6, BACEN.

Firewall, EDR, SIEM e Conditional Access testados sob pressão.

Investimento em segurança baseado em criticidade real.

Sumário executivo + relatório técnico detalhado.

Validação pós-correção incluída no escopo.

Externo, interno, aplicações web e relatórios — escopo contratual.

Pentest Externo

Pentest Interno

Aplicações Web

Entregáveis

Perguntas frequentes sobre Pentest SPKR.

Decida com base em fato — discovery do escopo, modalidade recomendada (black/gray/white box), proposta em real.