Attack path
Sequência de falhas ou condições que pode permitir a um invasor avançar de um ponto inicial até um ativo relevante.
Por que importa
Ajuda a priorizar combinações de risco, não apenas achados isolados.
Glossário de segurança ofensiva
Termos técnicos explicados para quem precisa tomar decisão.
Definições diretas, acompanhadas do motivo pelo qual cada conceito importa em uma contratação ou relatório de pentest.
Como usar este glossário
Um termo isolado não define risco. Use as definições para entender o relatório e converse com a equipe responsável para aplicar contexto ao seu ambiente.
Black box
Modalidade em que o teste começa com pouca ou nenhuma informação interna sobre o ambiente.
Por que importa
Útil para observar o que um atacante externo encontraria inicialmente.
CVSS
Modelo de pontuação usado para comunicar características técnicas e severidade de vulnerabilidades.
Por que importa
É uma referência; a prioridade final também considera contexto do negócio.
CVE
Identificador público atribuído a uma vulnerabilidade conhecida em produto ou componente.
Por que importa
Facilita referência e consulta, mas nem todo achado de pentest possui CVE.
Evidência
Registro que demonstra como uma exposição foi observada ou validada.
Por que importa
Permite reprodução, correção e prestação de contas.
Grey box
Modalidade em que a equipe recebe informações ou credenciais limitadas para avaliar áreas internas do fluxo.
Por que importa
Aumenta profundidade em autenticação, permissões e regras de negócio.
MITRE ATT&CK
Base de conhecimento que organiza comportamentos de atacantes em táticas e técnicas.
Por que importa
Conecta achados a caminhos de ataque e controles defensivos.
Pentest
Avaliação autorizada que procura identificar e validar riscos de segurança em um escopo definido.
Por que importa
Vai além de uma varredura automática quando inclui contexto, validação e evidência.
Purple Team
Exercício colaborativo entre capacidades ofensivas e defensivas.
Por que importa
Valida se controles e processos detectam e respondem ao comportamento testado.
Reteste
Nova validação executada após a equipe informar que uma correção foi aplicada.
Por que importa
Documenta se o achado foi resolvido, permanece aberto ou mudou de condição.
Superfície de ataque
Conjunto de ativos, serviços, aplicações e interfaces que podem ser alcançados ou explorados.
Por que importa
Ajuda a definir o que precisa entrar no escopo.
Vulnerabilidade
Fraqueza técnica ou lógica que pode gerar impacto quando explorada em determinado contexto.
Por que importa
Sua prioridade depende de explorabilidade, exposição e impacto.
Aplicação prática
Quer entender esses conceitos no seu ambiente?
A avaliação de escopo conecta ativos, riscos e entregáveis à realidade da sua empresa.