Superfície Externa, Validação Técnica e Governança de Risco

Reduza risco real com visibilidade contínua e validação técnica.

Do inventário externo ao pentest automatizado: testes passivos e ativos, score por domínio e prioridades claras de correção para gestão e time técnico.

Iniciar trial Ver demonstração Ver planos

Testes passivos e ativosRealizamos testes passivos e ativos. Scans Pentest exigem autorização explícita, verificação de propriedade e plano Business.

exposure.billstack.com.br

Score de Segurança

Score de Confiança

TLSHeadersAsset MapNISTOWASPCIS

Testes executados38/38

Achados4

Nível de riscoModerado

Snapshot de evidências

HIGHAdmin panel exposed

MEDMissing security headers

INFOBlacklist status checked

Capacidades operacionais com clareza executiva

Desenhado para operação diária de segurança e visibilidade para liderança no mesmo fluxo.

Inventário externo vivo

Superfície

Mapeamento contínuo de domínios, subdomínios, hosts, IPs, serviços expostos e interfaces alcançáveis.

Postura de identidade e confiança

Confiança

Acompanhamento de autenticação de e-mail (SPF/DKIM), qualidade TLS e sinais de reputação que impactam confiança.

Scoring orientado a negócio

Scoring

Scores de Segurança, Identidade, Confiança e Risco Final (0-100), com tendência por domínio e limiares operacionais.

Remediação orientada por issue

Correção

Achados são agrupados por natureza do problema em subdomínios e hosts, para resolver classes de risco e não linhas duplicadas.

Topologia de domínio e attack paths

Topologia

Visualize relações domínio-host-serviço e cadeias prováveis de ataque derivadas das evidências de scan.

Governança para produção

Governança

Orquestração por fila, workers distribuídos, isolamento por tenant, RBAC, logs de auditoria e ciclo de consentimentos.

Como funciona

Um ciclo contínuo da descoberta à correção validada.

Registrar escopo

Cadastre domínios/subdomínios por tenant e defina o escopo operacional.

Executar pipeline de testes

Workers distribuídos executam módulos passivos e ativos com proteção SSRF, isolamento e timeouts controlados.

Priorizar e executar

Use issues agrupados, attack paths, Top 10 de Critical/High e tendência de score para acelerar remediação.

Motores de detecção e validação

A plataforma combina descoberta passiva, validação ativa no perfil Pentest e priorização orientada por evidências.

Descoberta de subdomíniosAlcance HTTPVisibilidade segura de portasChecks por templatesPostura TLS/SSLAnálise DNS SPF/DKIMHeaders de segurançaFingerprint de tecnologiaExposição de diretóriosCrawler passivoPolíticas robots/security.txtStatus de blacklist (Sucuri)OWASP ZAP (DAST ativo no perfil Pentest)Runner isolado de Metasploit (modos check/aux/exploit)Inferência de attack path (visão encadeada de risco)Relatório executivo HTML/PDF com evidências agrupadas

Relatórios para execução e governança

Narrativa executiva com profundidade técnica: Critical/High agrupados, evidência ofensiva e orientação prática de correção.

Relatório executivo

Narrativa objetiva para liderança, compliance, compras e comitês de risco.

Score Final com breakdown de Segurança/Identidade/Confiança

Achados Critical/High com CVSS, evidência e instruções de correção

Mapeamento (NIST, OWASP, CIS, ISO)

Evidências e escopo de execução

Mostra o que foi executado e observado, incluindo topologia, status de ZAP/Metasploit e snapshots de evidência.

Controles executados com status e tempo

Links públicos validados

Topologia de domínio (relação host/serviço)

Comece com visibilidade base e evolua para validação ativa

Tenha visibilidade executiva imediata e aprofunde a validação técnica conforme a maturidade da operação.

Iniciar trial Entrar

Pentest automatizado

No perfil Pentest, a plataforma executa validação ativa controlada com OWASP ZAP e runner isolado de Metasploit, preservando evidências técnicas por achado.

Validação ativa com OWASP ZAP

DAST

Executa spider + active scan em execuções Pentest autorizadas e registra evidências por alvo.

Detecta padrões de injeção e misconfiguração web em rotas expostas.

Captura método, parâmetro, confiança, plugin ID, CWE/WASC e URL afetada.

Alimenta score, agrupamento por issue e análise de attack paths.

Mantém timeouts e controles de execução para segurança operacional.

Runner isolado de Metasploit

Validação

Executa modos check/auxiliary/exploit em worker isolado e vincula output de módulo aos achados.

Alvos vêm do inventário domínio-host-porta do próprio scan.

Persiste telemetria: modo, alvos, módulos executados, positivos e duração.

Achados ficam marcados como evidência Metasploit com contexto de host/IP/serviço.

Ajuda a confirmar probabilidade de explorabilidade antes da priorização.

Fluxo de evidência para correção

Resultado

Cada sinal positivo vira ação prática de correção, não apenas output bruto.

Issues críticos/altos são agrupados por natureza com hosts e subdomínios afetados.

Drilldown mostra evidências, referências e instruções objetivas de correção.

Top issues sempre priorizado por severidade e recorrência para execução.

Relatório executivo e dashboard permanecem alinhados para gestão e time técnico.

Consultoria de segurança e pentest manual

Braço de serviços da Billstack para execução de correções, insights técnicos e aceleração de maturidade.

Gestão aplicada de vulnerabilidades

Consultoria

Consultoria especializada para reduzir dívida técnica e eliminar exposição recorrente em aplicações, APIs e infraestrutura.

Planos de remediação orientados por risco (Critical/High) e contexto de negócio.

Playbooks práticos de hardening para web, API, perímetro cloud e postura de identidade.

Ciclos de validação para confirmar correções e medir redução de risco ao longo do tempo.

Execução de pentest manual (White/Grey/Black-box)

Pentest manual

Avaliações manuais direcionadas para validar explorabilidade além das detecções automatizadas.

White-box: validação técnica profunda com contexto de arquitetura e código.

Grey-box: simulação realista de abuso com credenciais controladas e contexto parcial.

Black-box: visão de atacante externo sobre ativos expostos na internet.

Identidade e resiliência cibernética

Identidade

Serviços focados em exposição de identidade, postura anti-phishing/spoofing e prontidão cibernética operacional.

Diagnóstico de risco de identidade (postura SPF/DKIM/DMARC e vetores de impersonação).

Direcionamento estratégico para arquitetura segura, controles e evolução de governança.

Briefings executivos e técnicos com prioridades acionáveis e responsáveis.

Pronto para ativar pentest automatizado no seu ambiente?

Habilite o perfil Pentest no tenant, defina a política de autorização e execute scans com pipeline de evidências ZAP + Metasploit.

Prefere e-mail direto? admin@billstack.com.br

Planos

Todos os planos são pagos. Escolha profundidade e modelo operacional.

Starter

Scans passivos completos, relatórios com evidências e tendência de score.

Todos os módulos passivos habilitados

Relatório HTML + PDF

Histórico + evolução do score

Pro

Mais escolhido

Mais limites e fila mais rápida para times ativos.

Fila prioritária

Mais portas/subdomínios por scan

Workflows avançados

Business

Melhor para operação multi-org, onboarding gerenciado e acesso ao Pentest exclusivo do Business.

Maior prioridade na fila

Config de scoring custom

Desconto em onboarding/manual

Scans Pentest (DAST / OWASP Top 10) ficam protegidos por autorização explícita, verificação de propriedade e disponibilidade apenas no plano Business.

Seguro por design

Projetado para produção, com controles antiabuso, isolamento por tenant e operação auditável.

Proteção SSRF (bloqueia localhost, RFC1918 e metadata cloud)

Rate limiting, RBAC por organização e trilha de auditoria por tenant

Workers isolados em Docker, orquestração por fila e limites de execução

HTTPS only, headers seguros e MFA por OTP via e-mail

FAQ

Perguntas comuns sobre o que fazemos e como fazemos.

Isso é um scanner de vulnerabilidades?

É uma plataforma de gestão contínua de exposição e risco. Combina descoberta passiva e validação ativa com relatórios baseados em evidências.

Scan passivo precisa de validação por TXT?

Não. A verificação de propriedade é exigida apenas para scans Pentest (DAST), que podem ser intrusivos.

Quais frameworks são suportados?

Mapeamos achados para NIST CSF, OWASP Top 10, CIS Controls e ISO 27001.

Dá para colocar meu logo no relatório?

Sim. Sua organização pode aplicar marca própria nos relatórios HTML/PDF.