Como trabalhamos

Nossa metodologia

A metodologia da First Security é baseada em frameworks internacionalmente reconhecidos e adaptada à realidade do ambiente brasileiro. Cada projeto segue um processo estruturado que garante cobertura, reprodutibilidade e qualidade consistente nos relatórios entregues.

Frameworks de referência

Padrões que seguimos

PTES

Penetration Testing Execution Standard

Framework principal para execução de pentests: define as 7 fases do projeto, da inteligência à elaboração do relatório.

OWASP

Open Worldwide Application Security Project

Top 10, MASVS e API Security Top 10 como base de casos de teste para aplicações web, mobile e APIs.

NIST

NIST SP 800-115

Guia técnico do NIST para testes de segurança de informação. Referência aceita em compliance BACEN, PCI DSS e SOC 2.

MITRE

MITRE ATT&CK Framework

Base de conhecimento de TTPs de atacantes reais. Usada em Red Team, Purple Team e para mapeamento de detecções.

OWASP MASVS

Mobile Application Security Verification Standard

Standard de verificação de segurança para aplicativos iOS e Android, cobrindo criptografia, autenticação e armazenamento.

CVSS 3.1

Common Vulnerability Scoring System

Cálculo de CVSS por especialista para cada vulnerabilidade identificada, com contexto de impacto no ambiente específico.

Processo do projeto

Fases de cada projeto

Definição de escopo e contrato

Reunião de alinhamento, definição de escopo técnico, assinatura de NDA e contrato de autorização. Comunicação de IPs de origem para whitelisting.

Reconhecimento e inteligência (OSINT)

Coleta de informações sobre o alvo: subdomínios, tecnologias, funcionários, vazamentos, registros históricos e superfície de ataque exposta.

Mapeamento e enumeração

Identificação de ativos, portas, serviços, versões de software, endpoints de API e funcionalidades da aplicação. Construção do mapa de ataque.

Análise e modelagem de ameaças

Priorização de vetores de ataque com base no perfil de risco do cliente, casos de uso de negócio e ameaças mais prováveis para o segmento.

Exploração manual

Tentativas de exploração de vulnerabilidades identificadas, incluindo encadeamento de vulnerabilidades, bypass de controles e exploração de lógica de negócio.

Pós-exploração (quando aplicável)

Em escopos que permitem: escalada de privilégios, movimentação lateral, acesso a sistemas adjacentes e documentação do impacto real da cadeia de ataque.

Relatório e debriefing

Entrega do relatório técnico e executivo com evidências, CVSS, impacto e recomendações. Reunião de debriefing para apresentação dos achados e esclarecimento de dúvidas.

Reteste de remediação

Após as correções implementadas pelo cliente, verificação de que as vulnerabilidades críticas e altas foram efetivamente remediadas. Atualização do relatório com status de remediação.

Conheça nossa metodologia na prática

Solicite uma amostra de relatório anonimizado para ver como documentamos os achados.

Solicitar orçamento Ver amostra de relatório