SISTEMA ATIVO//auth: corporate · escopo: empresarial

SEGURANÇA OFENSIVA · PENTEST · RED TEAM

Pensamos como o atacante.Operamos para a sua empresa.

Simulamos ataques reais contra sua infraestrutura, aplicações e pessoas — antes que alguém o faça de verdade. Relatórios que geram ação, não medo.

Solicitar avaliação→Ver metodologia

frameworks:OWASPMITRE ATT&CKNISTPTESLGPD

basilisk@recon ~ /pentestLIVE

200+

pentests entregues

4.500+

vulnerabilidades reportadas

99%

satisfação corporativa

24h

SLA p/ críticas

// RECON ATIVO◆// 24/7 SOC◆// SLA 24H PARA CRÍTICAS◆// NDA POR PADRÃO◆// LGPD COMPLIANT◆// OWASP · MITRE · NIST · PTES◆// RELATÓRIO TÉCNICO + EXECUTIVO◆// RETESTE INCLUSO◆// RECON ATIVO◆// 24/7 SOC◆// SLA 24H PARA CRÍTICAS◆// NDA POR PADRÃO◆// LGPD COMPLIANT◆// OWASP · MITRE · NIST · PTES◆// RELATÓRIO TÉCNICO + EXECUTIVO◆// RETESTE INCLUSO◆

[01_sobre]SOBRE A BASILISK

Conhecemos os métodos do atacante. Usamos isso a seu favor.

Somos um time de pentesters que atua exclusivamente para empresas. Cada engajamento é conduzido com rigor técnico e metodologia auditável — o tipo de disciplina que conselho e auditoria entendem.

Não vendemos medo. Entregamos clareza sobre o que é explorável hoje, o que custa quando explorado, e qual o menor caminho para fechar a porta.

>_Você não pode proteger o que não conhece.

// pilar

Visibilidade total

Mapeamos sua superfície como um atacante real faria: do DNS exposto ao endpoint esquecido em staging.

// pilar

Sigilo absoluto

NDA por padrão, criptografia ponta-a-ponta em entregáveis e destruição certificada dos artefatos.

// pilar

Ética como método

Autorização formal, escopo documentado, evidência assinada. Sem surpresas, sem zona cinzenta.

[02_servicos]SERVIÇOS

Três vetores. Cobertura total.

Operações ofensivas com escopo claro, evidência assinada e entregáveis que o comitê de riscos aprova sem precisar traduzir.

01 /

Pentest Profissional

Testes manuais e automatizados contra aplicações web, APIs, mobile, redes e infraestrutura. Entregável duplo: técnico e executivo.

▸ Web · API · Mobile
▸ Interno · Externo · Wi-Fi
▸ Black · Grey · White box

ver detalhes→

02 /

Red Team Engagement

Simulação adversarial completa: evasão de defesas, engenharia social, escalada de privilégios e movimento lateral. Medimos o blue team.

▸ Phishing direcionado
▸ C2 & persistência controlada
▸ Purple team opcional

ver detalhes→

03 /

Auditoria em Nuvem

Análise profunda de AWS, Azure e GCP: má configuração, privilégios excessivos, exposição de dados e conformidade com benchmarks.

▸ IAM · rede · dados
▸ CIS Benchmarks · Well-Architected
▸ Remediação priorizada

ver detalhes→

[03_metodologia]METODOLOGIA

Processo replicável. Resultados consistentes.

Cada engajamento segue um pipeline auditável. O cliente enxerga o progresso em tempo real e recebe um artefato que sustenta auditoria, diligence e board.

01/recon

Reconhecimento

OSINT, enumeração de DNS, fingerprinting de stack, coleta de credenciais vazadas e mapeamento de superfície exposta.

02/exploit

Exploração

Testes com ferramentas consagradas e scripts proprietários. Cada finding é validado manualmente — zero ruído de scanner.

03/post-exploit

Pós-Exploração

Escalada de privilégios, movimento lateral, pivot em nuvem e medição de impacto real em ambiente controlado.

04/report

Relatório & Remediação

Entregáveis técnico + executivo, CVSS calculado, prova de conceito e recomendações priorizadas por risco. Reteste incluso.

[04_setores]SETORES

Cada indústria tem suas ameaças. Nós conhecemos todas.

Atuamos com times de segurança, TI e compliance em empresas reguladas e em startups em fase de due diligence. O escopo muda, o rigor não.

Finanças & Banking

fraude, PIX, open finance

→

Saúde & Healthtech

LGPD, prontuário, API

→

E-commerce

pagamento, fraude, API

→

Educação & Governo

dados sensíveis, integrações

→

Telecom & ISPs

core, OSS/BSS, CPE

→

Indústria & OT

ICS, SCADA, segmentação

→

Jurídico & Seguros

confidencialidade, DLP

→

SaaS & Startups

multi-tenant, escala, due-diligence

→

Logística & Supply

EDI, rastreio, integrações

→

[05_diferenciais]POR QUE BASILISK

Quatro compromissos. Sem letra miúda.

// compromisso

Confidencialidade absoluta

NDA antes do primeiro handshake, canal cifrado para entrega e destruição certificada dos artefatos ao fim do projeto.

// compromisso

Reteste incluso

Revalidamos gratuitamente após correção. Sua equipe fecha o ciclo sem pagar duas vezes pelo mesmo ataque.

// compromisso

Relatório com dupla visão

Versão técnica para engenharia (com CVSS, PoC, payload) + versão executiva para board. Sem tradução no meio do caminho.

// compromisso

SLA de 24h para críticas

Vulnerabilidade crítica identificada é reportada em até 24 horas, fora do relatório final. Risco não espera fechamento de engagement.

[06_faq]PERGUNTAS FREQUENTES

Antes de contratar, o que você precisa saber.

// não encontrou?

abrir canal direto →

É a prática de testar sistemas adotando a perspectiva de um atacante real — descobrindo falhas, cadeias de exploração e caminhos de impacto antes que sejam usados contra você.

Pentest foca em encontrar e provar o máximo de vulnerabilidades dentro de um escopo técnico. Red Team simula um adversário completo com objetivo de negócio definido — foco em evasão, persistência e medir a eficácia da defesa.

Operamos com janelas, escopos e regras de engajamento acordadas por escrito. Testes destrutivos só ocorrem com autorização explícita e em ambientes preparados. A regra é zero impacto operacional.

Atuamos de startups em due-diligence a corporações reguladas. O escopo e o entregável se ajustam — o rigor metodológico não.

Um pentest padrão fica entre 2 e 4 semanas. Red Team entre 6 e 10. Enviamos cronograma detalhado no scoping inicial gratuito.

Call de scoping, NDA, contrato, regras de engajamento, kickoff técnico, execução, relatório e reteste. Tudo documentado, sem ruído.

Sim. Tratamos dados pessoais sob base legal de execução de contrato, aplicamos minimização, criptografia e destruição certificada ao fim do projeto.

Sim. O entregável é aceito por auditoria, investidores em due-diligence e comitês de risco — com evidência, metodologia e CVSS calculado.

[07_contato]ABRIR CANAL

Pronto para descobrir suas falhas?

Primeira call de scoping é gratuita e coberta por NDA. Em 48 horas você recebe proposta técnica, escopo e cronograma. Sem formulários burocráticos.

e-mail

contato@basilisk.com.br

telefone

+55 11 96978-9917

base

São Paulo · BR

tempo médio de resposta: < 2h em horário comercial