Pular para o conteúdo
Cibersegurança sob demanda para empresas brasileiras

A maioria das empresas não sabe tudo o que está exposto na internet.

A Codara descobre ativos, serviços e riscos que estão fora do radar do seu time. Sem montar time interno. Sem licenciar ferramenta enterprise.

Já encontramos em análises reais:
  • Painéis administrativos expostos sem autenticação
  • APIs públicas não documentadas
  • Credenciais corporativas vazadas em repositórios
  • Subdomínios esquecidos servindo aplicação viva
Ver o que está exposto na minha empresa Ver achados reais

Sem acesso interno. Sem agent. Não impacta produção. Primeiros achados em horas, briefing em até 72h.

Enquanto você lê isso, pode existir:

  • endpoint exposto sem autenticação
  • serviço esquecido em porta não padrão
  • acesso público não monitorado
  • subdomínio órfão de aquisição antiga
  • credencial válida em commit público
  • painel admin indexado por engine
O problema

Ferramentas tradicionais só enxergam o que você já conhece.

E esse é exatamente o problema.

Conhecido

O que está no inventário

Domínios documentados, aplicações em produção, infra mapeada pelo time, contas cloud que alguém lembrou de adicionar.

Desconhecido

O que ninguém cadastrou

Subdomínios esquecidos, ambientes de staging que viraram público, APIs antigas, marcas paralelas, recursos órfãos de aquisições e M&A.

A maior parte do risco está aqui.

Você não protege o que você não sabe que existe.

O que aparece

Em análises reais, encontramos com frequência:

Subdomínios esquecidos há anos

Marcas legadas, ambientes de feira, infra de campanha de marketing apontando para servidor vivo.

Ambientes de staging expostos

Réplicas de produção sem ACL, com dados reais, em domínios que nunca foram derrubados.

Serviços antigos ainda acessíveis

Versões legadas de painéis admin, ferramentas internas em portas não padrão, SSH aberto para o mundo.

Buckets públicos

Storage cloud com listagem ativada, dumps de backup, credenciais em arquivos de config esquecidos.

Endpoints internos indexados

Documentação de API pública revelando rotas internas, sourcemaps com referências a serviços que não deveriam ser conhecidos.

Achados reais

Exemplos reais, anonimizados.

Telas de execuções reais. Nomes de domínio mascarados, conteúdo preservado. O que aparece quando rodamos contra um domínio raiz corporativo típico.

Painel administrativo exposto

https://admin.████████.com.br/login

Sistema de gestão interna acessível publicamente, sem MFA. Detectado via crawler dirigido a partir de subdomínio não cadastrado.

API pública não documentada

https://api-legacy.████████.com/v1/users?role=admin

Endpoint herdado de versão antiga do produto, ainda respondendo, retornando dados de usuário sem autenticação.

Subdomínio órfão

https://staging-old.████████.com.br/

Réplica de produção esquecida em domínio paralelo. Banco de dados conectado, dados de cliente acessíveis com payload simples.

Credencial vazada

github.com/████/repo · config/database.yml

String de conexão com produção em commit antigo de repositório público. Banco PostgreSQL acessível pela internet, credencial válida.

Mapa de subdomínios descobertos

Inventário típico de uma execução: o que o time conhecia, o que apareceu novo, e o que está vivo respondendo HTTP.

Lista de subdomínios descobertos com metadados de DNS e HTTP
Galeria de capturas automáticas de painéis e logins descobertos

Galeria de painéis e logins descobertos

Triagem visual em segundos. Em poucos minutos o time identifica o que merece análise manual e o que pode ser deprecado.

Se isso pode estar na sua empresa, faz sentido descobrir agora.

Como funciona

Funciona assim.

1

Descobrimos tudo que está exposto

A partir do domínio raiz da sua empresa. Sem inventário interno, sem credencial, sem acesso à rede.

2

Analisamos o que é risco real

Triagem humana sobre os achados. CVE pública relevante, painel sem autenticação, segredo válido. O que merece ação.

3

Organizamos para ação

Backlog priorizado por risco real. Relatório executivo de 3 páginas. Workshop com o time. Próxima ação concreta.

Setup
Não precisa integração
Acesso
Não precisa acesso interno
Impacto
Não impacta produção
Outra abordagem

Antes de qualquer ferramenta funcionar, você precisa saber o que existe.

Tradicional
  • Começa pelo escopo que você forneceu
  • Varre apenas o que já é conhecido
  • Pentest direto, sem mapa, gasta 30-50% do prazo em descoberta
  • Resultado depende da qualidade do inventário interno
Codara
  • Descobre o escopo a partir do externo
  • Revela o desconhecido, ativos não cadastrados
  • Pentest entra com superfície já mapeada, foca em validação
  • Resultado independe do inventário, parte do que está realmente exposto
Como entregamos

Mapear, validar, sustentar.

Três frentes, contratáveis isoladamente ou em sequência. A maioria dos clientes começa pelo mapeamento e decide o resto a partir do que apareceu.

01
Mapear

ASM Diagnóstico

Mapa completo da superfície externa em 1-2 semanas. Subdomínios, IPs, portas, fingerprint, CVEs públicas, segredos vazados, painéis admin expostos, subdomain takeover.

VOCÊ RECEBE
  • · Relatório executivo (3p) para diretoria
  • · Relatório técnico (10-20p) para o time
  • · Lista priorizada com esforço de remediação
  • · Workshop de revisão de 2h
1-2 semanas · até 200 ativos
BUNDLE: ASM ABATIDO
02
Validar

Pentest com escopo focado

Teste de invasão manual + automatizado, com escopo definido pelo mapa anterior. Conduzido por analistas sêniores. Web/API, Mobile, Infra/Cloud e Red Team.

VOCÊ RECEBE
  • · Relatório técnico (15-40p) com PoC e remediação
  • · Relatório executivo (3-5p)
  • · Workshop de revisão de 2h
  • · Retest incluído em até 30 dias
  • · Carta de atestado para compliance
3-8 semanas · web · mobile · cloud · red team
03
Sustentar

Acompanhamento contínuo

Recorrência depois do projeto inicial. Para quando o mapa ou pentest deixaram claro que segurança precisa virar processo, não evento isolado.

FORMATOS
  • · ASM Contínuo: scan semanal + reunião mensal
  • · CISO Fracional: 20h/mês de roadmap e auditoria
  • · Workshop in-company: treinamento sob demanda
contrato 12m · cancelamento sem multa após 6m

Você não precisa contratar os três. Algumas empresas ficam só no mapeamento por 6-12 meses, e está tudo bem.

Bundle ASM → Pentest

O mapa, na prática, sai de graça.

Se você fechar o pentest em até 30 dias após a entrega do mapeamento pago, o valor do mapeamento é abatido integralmente do pentest. Crédito visível na fatura. Você começa pelo mapa, decide se faz sentido seguir, e se seguir o mapa sai sem custo adicional.

Conversar sobre o bundle
Para quem fazemos

Empresas brasileiras com pressão de compliance

Atendemos quem não tem time de cibersegurança dedicado, mas precisa de postura defensável para clientes enterprise exigentes, auditoria, due diligence ou regulação.

Você é nosso cliente se

  • 100 a 1.000 funcionários, com TI interna mas sem time de segurança dedicado
  • Setor: fintech, healthtech, edtech, SaaS B2B, e-commerce, martech, processadoras, POS
  • Cliente enterprise seu está pedindo SOC 2, ISO 27001, BACEN ou PCI-DSS
  • Vocês acabaram de anunciar rodada ou estão em due diligence
  • Vocês estão tentando contratar DevSecOps, Security Engineer ou GRC
  • Quem decide segurança hoje é CTO, Head de TI ou Head de Produto

Não somos a escolha certa se

  • ×Você precisa de monitoramento 24/7 (SOC ou MSSP), não somos isso e fazemos questão de dizer
  • ×Sua empresa tem processo de compras com RFP longo (mais de 6 meses)
  • ×Setor público com ciclo de licitação
  • ×Você busca pentest abaixo do nosso piso de qualidade
  • ×Você já tem time de segurança interno com plataforma própria operando

Tem time interno e quer operar a plataforma direto?

Conhecer a Scandara ›
Como começa

Receba um preview da sua superfície exposta

Antes de qualquer proposta, rodamos contra um domínio raiz seu e devolvemos um briefing executivo do que está exposto hoje. Subdomínios esquecidos, painéis admin públicos, segredos vazados, CVEs conhecidas. Sem custo, sem compromisso de fechamento.

Etapa 1

Você nos passa o domínio

Empresa, domínio raiz, e-mail corporativo, cargo. 2 minutos no formulário.

Etapa 2

Rodamos a análise

Pipeline completo de descoberta + triagem humana inicial. 100% externo, sem agent. Em até 72h.

Etapa 3

Conversa de 30 min

Mostramos os achados ao vivo. Você decide se quer seguir para mapa pago, pentest, consultoria, ou só guardar o briefing.

Solicitar Mapeamento Gratuito

Sem acesso interno. Primeiros achados em horas. contato@codara.world · resposta em 1 dia útil.

Já tem time de segurança interno?

Licencie a Scandara, a plataforma que faz nosso trabalho rápido

A mesma ferramenta que usamos para entregar mapeamento e pentest. Cloud gerenciada por nós ou on-premise dentro da sua infra. Suporte em PT, dados em BR. Toda venda passa por PoC com critério de sucesso por escrito.

Conhecer a plataforma Scandara ›

Perguntas frequentes

O que é o Mapeamento Gratuito de Exposição?

Diagnóstico inicial sem custo. Rodamos nossa plataforma contra um domínio raiz seu e mostramos o que está exposto à internet hoje. Você recebe um briefing executivo dos achados em conversa de 30 min. Sem compromisso de fechamento.

Precisa de acesso interno ou agent?

Não. A análise é 100% externa, feita a partir de OSINT e técnicas de recon. Não impacta produção. Nenhum agent é instalado, nenhuma credencial é solicitada para o mapeamento.

Quanto tempo leva?

Primeiros achados em horas. Briefing executivo estruturado em até 72 horas a partir do preenchimento do domínio.

Por que começar pelo mapeamento e não direto pelo pentest?

Pentest sem mapa testa só o que você aponta, e o que você aponta costuma ser incompleto. 30-50% do tempo do pentester vira descoberta. Com o mapa antes, o pentest entra com a superfície já mapeada e gasta o tempo em exploração e validação. Resultado mais profundo no mesmo prazo.

Como funciona o bundle?

Se você fechar o pentest em até 30 dias após a entrega do mapeamento pago, o valor do mapeamento é abatido integralmente do pentest, com crédito visível na fatura. A janela conta a partir da entrega do relatório técnico.

"Já fizemos pentest ano passado."

Quando? Superfície muda rápido, se passou mais de 6 meses, o mapa está desatualizado. ASM Contínuo acompanha as mudanças entre pentests sem precisar repetir o projeto todo.

"Estamos em DD ou captação."

Então é ainda mais importante. Investidor olha postura de segurança em DD. Mapa rápido (2 semanas) entrega respaldo concreto antes do prazo.

"Não temos tempo agora."

O mapeamento não exige tempo do seu time, operamos externamente. A única interação é o kickoff de 1h e o workshop de 2h ao final. Total: 3h em duas semanas.

Comece pelo mapa. Decida o resto depois.

Conte o contexto da sua empresa em 2 minutos. Respondemos em até 1 dia útil com próximos passos concretos.

Mapeamento Gratuito Só conversar

Sem acesso interno. Primeiros achados em horas. contato@codara.world · resposta em 1 dia útil.