Do diagnóstico de segurança às evidências de auditoria, o SPHIOR cuida disso todo mês.
Alinhada com SOC 2, ISO 27001 e OWASP, a SPHIOR entrega evidências mensais para engenheiros, executivos e auditores. Integração com Vanta e Drata disponível.
Check your site for free
Quando chega às notícias, já é um evento financeiro.
O que aconteceu com empresas que adiaram a segurança. Cada caso abaixo é um fato documentado, não uma advertência teórica.
Casos reais de violações de segurança
Continuidade
Paragem em 12h
12 horas do ataque à falência total
A conta raiz da AWS não tinha MFA: credenciais roubadas bastaram para aceder. Após recusar o resgate, o atacante apagou todas as instâncias, buckets e snapshots. Sem possibilidade de recuperação, a empresa encerrou no mesmo dia. Ignorar o MFA na configuração cloud destruiu todo o negócio.
Continuidade
Paragem em 12h
Causa
Sem MFA na consola de administração cloud
Contas afetadas
3mil M+
Hash fraco eliminou ~350M$ de valor
Duas intrusões em 2013 e 2014 não foram divulgadas até 2016. As senhas MD5 eram facilmente crackeáveis, permitindo exploração contínua. 3 mil milhões de contas foram afetadas. O preço de venda à Verizon foi reduzido em 350M$ pelo incidente ocultado.
Contas afetadas
3mil M+
Causa
Hash MD5 obsoleto e divulgação tardia
Clientes afetados
~500K
22 linhas de código que abalaram uma marca global
O Magecart injetou 22 linhas de código espião num JavaScript de terceiros na página de pagamento. Os dados de cartão foram enviados em tempo real durante quase duas semanas. ~500K clientes afetados; a proposta inicial de multa do RGPD atingiu £183M.
Clientes afetados
~500K
Causa
Injeção de script malicioso (Magecart)
Registos expostos
148M
Uma vulnerabilidade sem patch expôs 148M de pessoas
Um patch crítico para Apache Struts ficou sem aplicar durante dois meses. Os atacantes exploraram a falha, permaneceram 76 dias sem deteção e exfiltraram 148M registos com números de segurança social. Os acordos totais superaram 575M$. O CEO foi convocado ao Congresso.
Registos expostos
148M
Causa
CVE-2017-5638 sem patch por 2 meses
Cartões roubados
40M
Credenciais de fornecedor AVAC expuseram 40M cartões
Credenciais roubadas de um fornecedor de climatização deram acesso à rede corporativa. A falta de segmentação permitiu propagar malware para 4.000+ terminais POS durante o Natal. 40M cartões de pagamento e 70M dados pessoais foram comprometidos.
Cartões roubados
40M
Causa
Rede de fornecedores não isolada dos sistemas POS
Organizações afetadas
18.000+
Uma atualização legítima tornou-se arma de estado
Os atacantes inseriram a backdoor SUNBURST numa atualização legítima do software de monitorização. Mais de 18.000 organizações instalaram-na — incluindo o Tesouro e o Departamento de Estado dos EUA. A intrusão passou despercebida ~9 meses, redefinindo ataques à cadeia de abastecimento.
Organizações afetadas
18.000+
Causa
Pipeline de build comprometido com injeção de código
Perdas totais
~3mil M$+
Um MFA em falta paralisou a saúde dos EUA durante semanas
Uma conta sem MFA num sistema crítico foi a única entrada necessária. Uma senha roubada bastou para aceder ao núcleo do sistema. Farmácias e hospitais dos EUA não conseguiram processar receitas e pagamentos durante semanas. As perdas da UnitedHealth superaram 3mil M$.
Perdas totais
~3mil M$+
Causa
MFA ausente em conta de acesso crítico
Máquinas em colapso
8,5M
A atualização de um fornecedor de segurança causou a maior falha IT
Uma atualização de conteúdo defeituosa — não malware — fez colapsar 8,5M máquinas Windows globalmente. Aeroportos, bancos, hospitais e emissoras pararam em simultâneo. Apenas as Fortune 500 registaram perdas superiores a 5,4mil M$.
Máquinas em colapso
8,5M
Causa
Atualização sem validação suficiente em produção
Valor roubado
~1,4mil M$
Phishing tomou o controlo das chaves de uma carteira multi-sig
Phishing e exploração de acessos permitiram controlar o ambiente de assinatura de uma carteira multifirma. O protocolo multisig funcionava, mas a camada humana de gestão das chaves foi comprometida. ~1,4mil M$ em Ethereum foram roubados no maior roubo cripto individual da história.
Valor roubado
~1,4mil M$
Causa
Phishing sobre gestores de chaves multi-sig
Não apenas monitoramos manchetes. Mapeamos sua superfície de ataque real.
Verificações de disponibilidade não são o mesmo que testes de segurança. A SPHIOR avalia continuamente quatro camadas distintas — da superfície pública às regiões autenticadas.
Superfície pública
Tudo que um atacante vê primeiro
Domínios, SSL/TLS, portas expostas, metadados vazados. A superfície que define sua postura de risco inicial.
Configuração
Configurações incorretas são a vulnerabilidade mais ignorada
Cabeçalhos de segurança, configurações TLS, armazenamento público, desvio de dependências — verificados continuamente, não anualmente.
API & Endpoints
Portas ocultas vivem no seu tráfego
Endpoints não documentados, respostas com vazamentos, validação de entrada fraca. Os riscos únicos ao limite da sua aplicação.
Autenticado
O impacto real está atrás do login
No plano Enterprise, com propriedade verificada e consentimento, a SPHIOR executa testes dinâmicos (DAST) nas regiões autenticadas.
Cloud Infrastructure
Encontre erros de configuracao na nuvem antes dos atacantes
Auditoria automatizada de politicas IAM, exposicao de armazenamento, regras de firewall e configuracoes de criptografia em AWS, GCP, Azure e Cloudflare. O plano Enterprise detecta vulnerabilidades de configuracao na nuvem mensalmente.
Superfície pública
Tudo que um atacante vê primeiro
Domínios, SSL/TLS, portas expostas, metadados vazados. A superfície que define sua postura de risco inicial.
Configuração
Configurações incorretas são a vulnerabilidade mais ignorada
Cabeçalhos de segurança, configurações TLS, armazenamento público, desvio de dependências — verificados continuamente, não anualmente.
API & Endpoints
Portas ocultas vivem no seu tráfego
Endpoints não documentados, respostas com vazamentos, validação de entrada fraca. Os riscos únicos ao limite da sua aplicação.
Autenticado
O impacto real está atrás do login
No plano Enterprise, com propriedade verificada e consentimento, a SPHIOR executa testes dinâmicos (DAST) nas regiões autenticadas.
Cloud Infrastructure
Encontre erros de configuracao na nuvem antes dos atacantes
Auditoria automatizada de politicas IAM, exposicao de armazenamento, regras de firewall e configuracoes de criptografia em AWS, GCP, Azure e Cloudflare. O plano Enterprise detecta vulnerabilidades de configuracao na nuvem mensalmente.
Delegue um mês completo de operações de segurança para a SPHIOR.
Avaliações externas contínuas, descobertas priorizadas e relatórios adaptados por função. O trabalho que normalmente exige uma equipe de segurança — entregue como serviço, todo mês.
Monitoramos de fora, continuamente
Não é um scan único. Uma postura externa contínua — mês após mês, do mesmo ponto de vista de um atacante.
Apenas as descobertas que importam
Separamos sinal do ruído para que o que chega até você seja o trabalho que realmente vale a pena fazer este mês.
Adaptado para o leitor certo
Engenheiros recebem a solução. Liderança recebe o risco. Auditoria recebe as evidências. Mesma fonte — três entregas otimizadas.
Entregue no prazo, todo mês
Os relatórios chegam no mesmo dia todo mês, para que 'como estamos em segurança?' sempre tenha uma resposta atualizada.
Uma avaliação. Três públicos. Três saídas otimizadas.
Relatórios de vulnerabilidades mudam de significado dependendo de quem os lê. A SPHIOR gera o formato certo para engenharia, liderança e auditoria — das mesmas evidências.
For Engenheiro
Reproduzível. Corrigível. Verificável.
A cada mês, SPHIOR acompanha as técnicas de ataque mais recentes.
As ameaças de segurança evoluem todo mês. A equipe de segurança da SPHIOR incorpora continuamente novas vulnerabilidades, técnicas de ataque e CVEs ao motor de análise — para que seus critérios de diagnóstico nunca fiquem desatualizados.
Cada avaliação mensal é executada no mecanismo mais recente.
Atualizações do mecanismo
Engine continuously synced
Infraestrutura de análise em escala global
Todo mês, a SPHIOR gerencia todos os diagnósticos, geração de relatórios e entrega em seu nome — sem necessidade de engenheiro dedicado. Os scans são executados a partir de data centers ao redor do mundo.
Ref · SPHIOR-SOC2
Monthly Security Evidence
- Registro de avaliação externa
- Priorização de descobertas críticas
- Acompanhamento do status de remediação
Ref · SPHIOR-ISO
Gap Analysis Report
- Verificação de conformidade de controles
- Registro de resultados de avaliação de riscos
- Acompanhamento de ações corretivas
Ref · SPHIOR-OWASP
Scan Evidence
- Análise conforme OWASP Top 10
- Diagnóstico profundo de API e áreas autenticadas
- Pontuação CVSS e prioridade de correção
Os registros mensais de auditoria de terceiros são a única base de confiança.
Quando um incidente ocorre, a questão é o que você fez antes dele. Os relatórios mensais da SPHIOR tornam-se evidências defensáveis — em auditorias, riscos de fornecedores e due diligence corporativa.
Evidências de suporte para SOC 2 / ISO 27001
Registos de avaliação externa, âmbito e status de remediação — embalados para referência do auditor.
Avaliações de fornecedores e questionários de segurança
Artefatos mensais concretos para sustentar sua postura de segurança, não adjetivos.
Due diligence cibernética em M&A e IPO
Remove 'segurança web não gerenciada' como alavanca de desconto de valor durante a due diligence.
Escolha seu plano
Antecipe interrupções no site, danos à reputação e riscos de vulnerabilidades ocultas — e saiba exatamente o que corrigir primeiro. Escolha o plano que corresponde à escala do seu negócio e ao nível de segurança de que você precisa.
Core
Para startups e equipes pequenas
Verificações mensais automáticas de disponibilidade, DNS, TLS e configurações incorretas básicas. Segurança fundamental sem a necessidade de um engenheiro dedicado.
Cobrado 1,990 anualmente
- Monitoramento contínuo de disponibilidade e resposta
- Varredura básica de vulnerabilidades e configurações incorretas
- Detecção de endpoints expostos
- Auditoria de segurança DNS (SPF / DKIM / DMARC / DNSSEC)
- Verificação de transparência de certificado TLS
- Core Web Vitals, SEO e auditoria de acessibilidade
- Relatório mensal de auditoria de segurança básica
Primeiro mês grátis
Scale
Para empresas em crescimento e equipes SaaS
Tudo incluído no Core, mais mecanismos de varredura dedicados que detectam CVEs, vulnerabilidades conhecidas e cabeçalhos inseguros. Acompanhamento mensal de mudanças e relatórios de remediação priorizados que indicam exatamente o que corrigir primeiro.
Cobrado 5,990 anualmente
- Tudo incluído no Core
- Varredura completa de CVE e vulnerabilidades conhecidas
- Auditoria profunda de cabeçalhos, HTML e privacidade
- Acompanhamento mensal de mudanças (detecção de novos riscos)
- Varredura de segurança de código (integração GitHub)
- Relatório mensal de vulnerabilidades com prioridades de remediação
Primeiro mês grátis
Enterprise
Para indústrias reguladas e organizações prontas para auditoria
Tudo incluído no Scale, mais DAST para áreas autenticadas, painéis de administração e APIs. Auditoria de infraestrutura em nuvem e análise de governança por IA geram evidências de nível auditoria todos os meses.
Cobrado 24,990 anualmente
O preço é calculado de forma personalizada de acordo com o escopo, configuração de autenticação e necessidades de suporte.
- Tudo incluído no Scale
- Testes dinâmicos de segurança de aplicações (DAST)
- Auditoria completa de áreas autenticadas e painéis de administração
- Testes de segurança de API
- Auditoria de segurança de infraestrutura em nuvem (AWS / GCP / Azure / Cloudflare)
- Análise de governança por IA + chat IA incluído
- Relatório de auditoria de governança (resumo executivo + trilha de auditoria)
Pronto para proteger o futuro do seu negócio?
Tenha governança de nível internacional hoje. Sem configurações complexas.
✓ Monitoramento 24/7