AVALIAÇÃO DE SEGURANÇA // CHIMERASCOPE
Avaliamos a superfície de ataque externa da sua organização e entregamos um relatório criptografado e mapeado em conformidade — a única avaliação neste nível que mapeia cada descoberta para artigos regulatórios específicos de CRA, NIS2, ISO 27001, GDPR, DORA e MiCA.
Avaliamos a infraestrutura visível publicamente da sua organização — domínios, subdomínios, certificados, segurança de e-mails, serviços expostos, configurações de nuvem e dependências de terceiros — utilizando uma metodologia de avaliação proprietária desenvolvida ao longo de anos de pesquisa em segurança.
Cada descoberta é automaticamente mapeada para os artigos do quadro regulatório aplicáveis à sua organização. O resultado é um relatório estruturado e encriptado de inteligência que fala a linguagem tanto do seu time técnico quanto dos seus oficiais de conformidade.
Esta não é uma testagem de penetração. Não interagimos com seus sistemas além do que qualquer observador externo poderia ver. Não é necessária autorização para o escopo de avaliação padrão — embora recomendemos um contrato de engajamento formal para todas as avaliações pagas.
Avaliação abrangente entregue como PDF criptografado com AES-128 com índice completo, pontuação executiva (A–F) e cadeia de custódia forense. Geralmente 30–50 páginas, dependendo da complexidade da infraestrutura.
Todas as descobertas mapeadas para artigos específicos: CRA Art. 10, 11, 14 — medidas NIS2 Art. 21 — controles ISO 27001 Anexo A — requisitos técnicos GDPR Art. 32 — DORA Art. 5–12, 17, 24, 28 para entidades financeiras — MiCA Art. 62, 67, 68, 75, 79, 83 para provedores de serviços de ativos criptográficos — com cartão de pontuação de conformidade MiCA/DORA dedicado (avaliação PASS/FAIL por artigo). Anotações específicas por setor quando aplicável.
Resumo pronto para reuniões de diretoria com nota geral de segurança, cartão de pontuação de prontidão CRA com indicadores de sinalização de trânsito e matriz de priorização de correções organizada por impacto e esforço.
Cadeia de evidências forenses com hash SHA-256 e código QR para verificação. Exportação em formato JSON legível por máquina compatível com plataformas SIEM, Jira e ServiceNow para integração direta no seu fluxo de trabalho de correções.
O relato de vulnerabilidades torna-se obrigatório a partir de 11 de setembro de 2026. Conformidade total exigida até dezembro de 2027. Mapeamos os achados aos Artigos 10 (requisitos de cibersegurança), 11 (tratamento de vulnerabilidades) e 14 (obrigações de relatório). Penalidades: até €15 milhões ou 2,5% da receita anual global.
Avaliação das medidas de segurança do Artigo 21 em todos os domínios aplicáveis. Mapeamento específico por setor disponível para entidades de saúde, energia, transporte, água e infraestrutura digital. Ativa na Dinamarca, Finlândia e Suécia desde janeiro de 2026.
Mapeamento dos controles do Anexo A com identificação de lacunas em relação aos requisitos de gestão da segurança da informação. Particularmente relevante para organizações que buscam ou mantêm certificação — nossos achados integram-se diretamente ao seu Statement of Applicability.
Avaliação das medidas técnicas e organizacionais do Artigo 32. Avaliação de exposição de dados, pontuação de risco de violação e identificação de atividades de processamento visíveis da superfície de ataque externa.
Obrigatório para entidades financeiras da UE. Mapeamos os achados aos Artigos 5–6 (gestão de riscos ICT), Artigo 7 (gestão de patches), Artigo 9 (controle de acesso, criptografia), Artigos 10–11 (detecção e resposta), Artigo 17 (relatório de incidentes), Artigo 24 (testes de resiliência) e Artigo 28 (risco de terceiros). O mapeamento de conformidade com a DORA está incluído em todas as avaliações pagas.
Quadro regulatório da UE para provedores de serviços de ativos cripto (CASPs), válido desde junho de 2024 com aplicação total a partir de dezembro de 2024. Mapeamos os achados aos Artigos 62 (gestão de riscos ICT), 67 (resiliência operacional), 68 (requisitos de proteção), 75 (custódia e administração), 79 (serviços de exchange) e 83 (tratamento de reclamações). Alvos de ativos cripto recebem um Scorecard de Conformidade MiCA/DORA dedicado com avaliação por artigo PASS/FAIL/WARN no relatório entregue. Essencial para exchanges, provedores de carteiras de custódia e qualquer entidade que oferece serviços de ativos cripto dentro da UE.
Proteção de dados de ensaios clínicos, exposição de sistemas de manufatura, verificação de conformidade GxP. A avaliação abrange equipamentos conectados de laboratório, portais de pesquisa e interfaces API com organizações parceiras.
Avaliação de ambientes de dados multi-cliente, avaliação de prontidão para auditorias FDA/EMA. Foco especial na exposição da cadeia de suprimentos, riscos de infraestrutura compartilhada e verificação da isolamento de dados entre clientes.
Avaliação do ecossistema de dispositivos conectados, avaliação de conformidade de produtos CRA. Inclui análise de exposição de firmware, segurança dos mecanismos de atualização, autenticação API e avaliação do posture da plataforma de gerenciamento em nuvem.
Avaliação de riscos de convergência OT/IT para produtos conectados aplicáveis à CRA. Exposição de redes de sensores, detecção de interfaces SCADA, plataformas de gerenciamento em nuvem e avaliação da segurança da computação de borda.
Exposição de sistemas de registros eletrônicos de saúde, avaliação de riscos de dados de pacientes. Mapeamento dos requisitos do setor de saúde da NIS2, segurança de plataformas de telemedicina e avaliação de endpoints de integração.
Avaliação de prontidão para conformidade DORA, avaliação do posture de segurança de APIs. Análise da infraestrutura de pagamentos, exposição de bancos móveis e mapeamento de riscos de provedores de serviços terceirizados.
Prontidão para conformidade MiCA para provedores de serviços de ativos cripto, exchanges e operadores de carteiras custodiadas. Inteligência de endereços blockchain com screening de sanções OFAC, análise de exposição de carteiras, avaliação de riscos de tokens e verificação de Proof of Reserves. Cobertura dos ecossistemas BTC, ETH, XRP, SOL e tokens ERC-20. e análise de vulnerabilidades de contratos inteligentes verificados.
A avaliação padrão abrange a superfície de ataque externa central descrita acima. Para organizações com requisitos regulatórios, operacionais ou setoriais específicos, o escopo da avaliação pode ser ampliado com atividades adicionais de reconhecimento e verificação — selecionadas para corresponder à postura de risco e às obrigações de conformidade da organização.
Descoberta de plataformas de raciocínio auto-hospedadas, frameworks de agentes, servidores do Protocolo de Contexto de Modelo e interfaces públicas de inferência que vêm formando parte da superfície de ataque externa de organizações modernas. Cobre detecção de exposição, postura de autenticação de interfaces de gestão e correlação com classes de vulnerabilidades conhecidas para motores de inferência e plataformas de orquestração.
Análise de risco de dependências JavaScript com enriquecimento de CVE, validação da Integridade de Subrecursos em recursos de terceiros, atribuição de domínios CDN expirados (um caminho documentado de tomada de controle para propriedades de marca de longa duração) e avaliação da postura de segurança de plataformas SaaS de terceiros para o ecossistema de fornecedores visíveis a partir da sua superfície externa.
Análise do cronograma de infraestrutura por meio de padrões de mudança em DNS e BGP, evolução do conteúdo arquivado, desvio de impressão digital de serviços ao longo do tempo e correlação entre certificados TLS atuais e históricos. Revela padrões operacionais e decisões de infraestrutura que varreduras de estado atual não conseguem observar.
Identificação de inquilinos SaaS não autorizados operando sob o perímetro de identidade da organização, motores auto-hospedados operando fora da governança corporativa e infraestrutura órfã retida além do seu ciclo de vida operacional — classes de ativos que geram incidentes porque atualmente ninguém os possui.
Teste validado para vulnerabilidades de injeção (SQL, falsificação de requisição do lado do servidor, modelos e comandos) contra pontos finais no escopo, realizado exclusivamente sob autorização por escrito formal. Esta atividade move a avaliação do reconhecimento passivo para o território de avaliação ativa e requer um Escopo de Trabalho assinado com antecedência.
Descoberta de carteiras multi-chain (BTC, ETH, XRP, SOL, ERC-20), triagem automatizada de sanções SDN do OFAC contra listas do Tesouro dos EUA, análise profunda do histórico de carteiras, atribuição a exchanges, avaliação de risco de tokens e descoberta de endpoints DeFi (nós RPC expostos, chaves API de provedor vazadas, detecção de carteiras administrativas). Para organizações no setor de ativos cripto ou que necessitam verificar a exposição a blockchain de contrapartidas como parte de diligência ou obrigações de conformidade.
Análise estática e simbólica de vulnerabilidades em contratos inteligentes Solidity verificados no Ethereum e cadeias compatíveis com EVM. Cobre padrões de reentrância, fraquezas de controle de acesso, retornos não verificados, condições de estouro de inteiros, vetores delegatecall, lacunas self-destruct e suscetibilidade a front-running — em toda a gama de classificações documentadas. Análise realizada exclusivamente em código-fonte verificado publicamente. Disponível como parte do escopo estendido.
Cada descoberta identificada correlacionada a uma técnica específica e subtécnica do MITRE ATT&CK, com identificação de lacunas de cobertura e recomendações de priorização para engenharia de detecção. Integra-se diretamente ao roadmap de engenharia de detecção de organizações que operam um Centro de Operações de Segurança ou capacidade equivalente.
Organizações que comumente solicitam escopo ampliado: contratados de tecnologia de defesa e uso dual, Organizações de Desenvolvimento e Fabricação Contratadas (CDMOs), operadores de infraestrutura nacional crítica, infraestrutura de mercado financeiro, ambientes de convergência entre Tecnologia Operacional e IT Industrial, instituições de pesquisa que lidam com dados regulamentados.
Envie o domínio da sua organização para obter um Resumo de Exposição Externa gratuito — entregue em até 48 horas.
Selecione o tipo de avaliação e forneça o domínio primário da sua organização. Todas as submissões são tratadas como confidenciais.