Basilisk
BASILISK
/Sobre/Serviços/Metodologia/Setores/Cases/FAQ
// localept-BR
esc para fechar▂▃▄
./contato
[services_cloud]AUDITORIA EM NUVEM

A maior superfície de ataque hoje é a sua cloud.

Em nuvem, a diferença entre 'configurado' e 'seguro' está em três linhas de política IAM. Fazemos revisão profunda de AWS, Azure e GCP com scripts proprietários, benchmarks públicos e validação manual dos achados mais sensíveis.

O que está incluído

Escopo abaixo é o padrão para um engajamento típico. Tudo é ajustável durante a call de scoping, sem custo.

// domínios auditados
  • IAM: usuários, roles, policies, federação
  • Rede: VPC, SG, NACLs, peering, public exposure
  • Dados: S3, RDS, DynamoDB, Blob, Cloud Storage
  • Compute: EC2, Lambda, ECS, EKS, AKS, GKE
  • Logging: CloudTrail, Config, Sentinel, SCC
  • Identity providers e SSO federado
// padrões e frameworks
  • CIS Benchmarks (AWS, Azure, GCP, Kubernetes)
  • AWS Well-Architected — pilar de Segurança
  • Azure Security Benchmark
  • CSA Cloud Controls Matrix
  • ISO 27017 & 27018
  • Mapeamento para LGPD e PCI-DSS

Modalidades

ajustáveis ao escopo
01 /

Audit Snapshot

Raio-X completo em 1-2 semanas. Ideal para due diligence, auditoria ou baseline inicial.

02 /

Cloud Pentest

Exploração ativa a partir de perfil comprometido — simula vazamento de credencial e pivot real.

03 /

Continuous Review

Revisões mensais ou trimestrais com deltas, tickets integrados e briefing executivo.

Como conduzimos

[pipeline]
01/inventario

Inventário completo

Descobrimos todos os recursos ativos em todas as contas e regiões. Ambientes órfãos e contas shadow são o ponto mais comum de vazamento.

02/analise

Análise configuracional

Scripts proprietários + CIS + Well-Architected. Cada desvio é categorizado por severidade e mapeado para controle de conformidade.

03/exploit

Exploração priorizada

Nos achados de alto risco (IAM wildcard, bucket público, escalada entre contas), validamos impacto via exploração manual.

04/roadmap

Roadmap de remediação

Entrega não é lista de achados — é plano de correção com owner sugerido, esforço estimado e ganho de postura de segurança.

Entregáveis

dupla visão · NDA
01Relatório técnico por serviço (IAM, rede, dados, compute, logging) com recomendação específica.
02Inventário cruzado: recursos × exposição × dado sensível × severidade.
03Matriz de conformidade com CIS, Well-Architected e LGPD (quando aplicável).
04Roadmap de remediação priorizado por ROI de segurança.
05Arquivos Terraform / IaC de referência para os fixes mais recorrentes.
06Briefing executivo com 5-6 slides e linguagem de negócio para C-level.

Perguntas frequentes

01Vocês precisam de acesso admin à nossa conta?

Não. Operamos com role de auditoria somente-leitura. Para validação de exploração em achados críticos, usamos ambiente de teste espelhado ou autorização pontual por janela.

02Atendem multi-cloud?

Sim — AWS, Azure e GCP no padrão. Oracle Cloud e IBM Cloud sob demanda. Kubernetes em qualquer provider é auditado junto.

03E ambientes com centenas de contas?

Usamos scripts proprietários com paralelismo que consolidam achados entre Organizations (AWS), Management Groups (Azure) e Folders (GCP).

04Como é a entrega para due diligence?

Versão condensada do relatório + certificado de execução + matriz de conformidade. Investidor recebe evidência sem acesso a dados sensíveis do ambiente.

// serviços relacionados
Pentest ProfissionalRed Team Engagement
// contato

Pronto para descobrir suas falhas?

Primeira call de scoping é gratuita e coberta por NDA. Em 48 horas você recebe proposta técnica, escopo e cronograma. Sem formulários burocráticos.

contatoMETODOLOGIA