STLUR gere o seu departamento de segurança, automaticamente, todo mês.
Avaliações externas contínuas, descobertas priorizadas e relatórios prontos para decisão. Uma função de segurança — sem contratação, sem sobrecarga.
Alinhada com SOC 2, ISO 27001 e OWASP, a STLUR entrega evidências mensais para engenheiros, executivos e auditores.
Check your site for free
Quando chega às notícias, já é um evento financeiro.
O que aconteceu com empresas que adiaram a segurança. Cada caso abaixo é um fato documentado, não uma advertência teórica.
Casos reais de violações de segurança
Continuidade
Paragem em 12h
12 horas do ataque à falência total
A conta raiz da AWS não tinha MFA: credenciais roubadas bastaram para aceder. Após recusar o resgate, o atacante apagou todas as instâncias, buckets e snapshots. Sem possibilidade de recuperação, a empresa encerrou no mesmo dia. Ignorar o MFA na configuração cloud destruiu todo o negócio.
Continuidade
Paragem em 12h
Causa
Sem MFA na consola de administração cloud
Contas afetadas
3mil M+
Hash fraco eliminou ~350M$ de valor
Duas intrusões em 2013 e 2014 não foram divulgadas até 2016. As senhas MD5 eram facilmente crackeáveis, permitindo exploração contínua. 3 mil milhões de contas foram afetadas. O preço de venda à Verizon foi reduzido em 350M$ pelo incidente ocultado.
Contas afetadas
3mil M+
Causa
Hash MD5 obsoleto e divulgação tardia
Clientes afetados
~500K
22 linhas de código que abalaram uma marca global
O Magecart injetou 22 linhas de código espião num JavaScript de terceiros na página de pagamento. Os dados de cartão foram enviados em tempo real durante quase duas semanas. ~500K clientes afetados; a proposta inicial de multa do RGPD atingiu £183M.
Clientes afetados
~500K
Causa
Injeção de script malicioso (Magecart)
Registos expostos
148M
Uma vulnerabilidade sem patch expôs 148M de pessoas
Um patch crítico para Apache Struts ficou sem aplicar durante dois meses. Os atacantes exploraram a falha, permaneceram 76 dias sem deteção e exfiltraram 148M registos com números de segurança social. Os acordos totais superaram 575M$. O CEO foi convocado ao Congresso.
Registos expostos
148M
Causa
CVE-2017-5638 sem patch por 2 meses
Cartões roubados
40M
Credenciais de fornecedor AVAC expuseram 40M cartões
Credenciais roubadas de um fornecedor de climatização deram acesso à rede corporativa. A falta de segmentação permitiu propagar malware para 4.000+ terminais POS durante o Natal. 40M cartões de pagamento e 70M dados pessoais foram comprometidos.
Cartões roubados
40M
Causa
Rede de fornecedores não isolada dos sistemas POS
Organizações afetadas
18.000+
Uma atualização legítima tornou-se arma de estado
Os atacantes inseriram a backdoor SUNBURST numa atualização legítima do software de monitorização. Mais de 18.000 organizações instalaram-na — incluindo o Tesouro e o Departamento de Estado dos EUA. A intrusão passou despercebida ~9 meses, redefinindo ataques à cadeia de abastecimento.
Organizações afetadas
18.000+
Causa
Pipeline de build comprometido com injeção de código
Perdas totais
~3mil M$+
Um MFA em falta paralisou a saúde dos EUA durante semanas
Uma conta sem MFA num sistema crítico foi a única entrada necessária. Uma senha roubada bastou para aceder ao núcleo do sistema. Farmácias e hospitais dos EUA não conseguiram processar receitas e pagamentos durante semanas. As perdas da UnitedHealth superaram 3mil M$.
Perdas totais
~3mil M$+
Causa
MFA ausente em conta de acesso crítico
Máquinas em colapso
8,5M
A atualização de um fornecedor de segurança causou a maior falha IT
Uma atualização de conteúdo defeituosa — não malware — fez colapsar 8,5M máquinas Windows globalmente. Aeroportos, bancos, hospitais e emissoras pararam em simultâneo. Apenas as Fortune 500 registaram perdas superiores a 5,4mil M$.
Máquinas em colapso
8,5M
Causa
Atualização sem validação suficiente em produção
Valor roubado
~1,4mil M$
Phishing tomou o controlo das chaves de uma carteira multi-sig
Phishing e exploração de acessos permitiram controlar o ambiente de assinatura de uma carteira multifirma. O protocolo multisig funcionava, mas a camada humana de gestão das chaves foi comprometida. ~1,4mil M$ em Ethereum foram roubados no maior roubo cripto individual da história.
Valor roubado
~1,4mil M$
Causa
Phishing sobre gestores de chaves multi-sig
Não apenas monitoramos manchetes. Mapeamos sua superfície de ataque real.
Verificações de disponibilidade não são o mesmo que testes de segurança. A STLUR avalia continuamente quatro camadas distintas — da superfície pública às regiões autenticadas.
Superfície pública
Tudo que um atacante vê primeiro
Domínios, SSL/TLS, portas expostas, metadados vazados. A superfície que define sua postura de risco inicial.
Configuração
Configurações incorretas são a vulnerabilidade mais ignorada
Cabeçalhos de segurança, configurações TLS, armazenamento público, desvio de dependências — verificados continuamente, não anualmente.
API & Endpoints
Portas ocultas vivem no seu tráfego
Endpoints não documentados, respostas com vazamentos, validação de entrada fraca. Os riscos únicos ao limite da sua aplicação.
Autenticado
O impacto real está atrás do login
No plano Enterprise, com propriedade verificada e consentimento, a STLUR executa testes dinâmicos (DAST) nas regiões autenticadas.
Cloud Infrastructure
Encontre erros de configuracao na nuvem antes dos atacantes
Auditoria automatizada de politicas IAM, exposicao de armazenamento, regras de firewall e configuracoes de criptografia em AWS, GCP, Azure e Cloudflare. O plano Enterprise detecta vulnerabilidades de configuracao na nuvem mensalmente.
Superfície pública
Tudo que um atacante vê primeiro
Domínios, SSL/TLS, portas expostas, metadados vazados. A superfície que define sua postura de risco inicial.
Configuração
Configurações incorretas são a vulnerabilidade mais ignorada
Cabeçalhos de segurança, configurações TLS, armazenamento público, desvio de dependências — verificados continuamente, não anualmente.
API & Endpoints
Portas ocultas vivem no seu tráfego
Endpoints não documentados, respostas com vazamentos, validação de entrada fraca. Os riscos únicos ao limite da sua aplicação.
Autenticado
O impacto real está atrás do login
No plano Enterprise, com propriedade verificada e consentimento, a STLUR executa testes dinâmicos (DAST) nas regiões autenticadas.
Cloud Infrastructure
Encontre erros de configuracao na nuvem antes dos atacantes
Auditoria automatizada de politicas IAM, exposicao de armazenamento, regras de firewall e configuracoes de criptografia em AWS, GCP, Azure e Cloudflare. O plano Enterprise detecta vulnerabilidades de configuracao na nuvem mensalmente.
Delegue um mês completo de operações de segurança para a STLUR.
Avaliações externas contínuas, descobertas priorizadas e relatórios adaptados por função. O trabalho que normalmente exige uma equipe de segurança — entregue como serviço, todo mês.
Monitoramos de fora, continuamente
Não é um scan único. Uma postura externa contínua — mês após mês, do mesmo ponto de vista de um atacante.
Apenas as descobertas que importam
Separamos sinal do ruído para que o que chega até você seja o trabalho que realmente vale a pena fazer este mês.
Adaptado para o leitor certo
Engenheiros recebem a solução. Liderança recebe o risco. Auditoria recebe as evidências. Mesma fonte — três entregas otimizadas.
Entregue no prazo, todo mês
Os relatórios chegam no mesmo dia todo mês, para que 'como estamos em segurança?' sempre tenha uma resposta atualizada.
Uma avaliação. Três públicos. Três saídas otimizadas.
Relatórios de vulnerabilidades mudam de significado dependendo de quem os lê. A STLUR gera o formato certo para engenharia, liderança e auditoria — das mesmas evidências.
For Engenheiro
Reproduzível. Corrigível. Verificável.
A cada mês, STLUR acompanha as técnicas de ataque mais recentes.
As ameaças de segurança evoluem todo mês. A equipe de segurança da STLUR incorpora continuamente novas vulnerabilidades, técnicas de ataque e CVEs ao motor de análise — para que seus critérios de diagnóstico nunca fiquem desatualizados.
Cada avaliação mensal é executada no mecanismo mais recente.
Atualizações do mecanismo
Engine continuously synced
Infraestrutura de análise em escala global
Todo mês, a STLUR gerencia todos os diagnósticos, geração de relatórios e entrega em seu nome — sem necessidade de engenheiro dedicado. Os scans são executados a partir de data centers ao redor do mundo.
Ref · STLUR-SOC2
Monthly Security Evidence
- Registro de avaliação externa
- Priorização de descobertas críticas
- Acompanhamento do status de remediação
Ref · STLUR-ISO
Gap Analysis Report
- Verificação de conformidade de controles
- Registro de resultados de avaliação de riscos
- Acompanhamento de ações corretivas
Ref · STLUR-OWASP
Scan Evidence
- Análise conforme OWASP Top 10
- Diagnóstico profundo de API e áreas autenticadas
- Pontuação CVSS e prioridade de correção
Os registros mensais de auditoria de terceiros são a única base de confiança.
Quando um incidente ocorre, a questão é o que você fez antes dele. Os relatórios mensais da STLUR tornam-se evidências defensáveis — em auditorias, riscos de fornecedores e due diligence corporativa.
Evidências de suporte para SOC 2 / ISO 27001
Registos de avaliação externa, âmbito e status de remediação — embalados para referência do auditor.
Avaliações de fornecedores e questionários de segurança
Artefatos mensais concretos para sustentar sua postura de segurança, não adjetivos.
Due diligence cibernética em M&A e IPO
Remove 'segurança web não gerenciada' como alavanca de desconto de valor durante a due diligence.
Escolha seu plano
Antecipe interrupções no site, danos à reputação e riscos de vulnerabilidades ocultas — e saiba exatamente o que corrigir primeiro. Escolha o plano que corresponde à escala do seu negócio e ao nível de segurança de que você precisa.
Starter
Todo mês, o STLUR executa uma varredura de segurança básica — detectando configurações incorretas e endpoints expostos — junto com uma auditoria DNS completa (SPF/DKIM/DMARC/DNSSEC), verificação de transparência TLS, monitoramento de disponibilidade e Core Web Vitals. Entregue como relatório de auditoria mensal. Nenhum engenheiro necessário.
Cobrado 3,990 anualmente
- Monitoramento contínuo de disponibilidade e resposta
- Varredura básica de vulnerabilidades e configurações incorretas
- Detecção de endpoints expostos
- Auditoria de segurança DNS (SPF / DKIM / DMARC / DNSSEC)
- Verificação de transparência de certificado TLS
- Core Web Vitals, SEO e auditoria de acessibilidade
- Relatório mensal de auditoria de segurança básica
Primeiro mês grátis
Professional
Auditado de uma perspectiva de negócios por um Senior Web Consultant. Para empresas que equilibram velocidade, SEO e confiabilidade.
Cobrado 12,000 anualmente
- Varredura em tempo real (a cada 10 min)
- Camada padrão (+ links, vencimentos, mobile)
- Notificações padrão de alerta
- Recomendações por Senior Web Consultant
- Varredura contínua seguindo as últimas tendências de vulnerabilidades
- Relatório premium multilíngue
Primeiro mês grátis
Enterprise / Governance
Testes completos de segurança de aplicações dinâmicas (DAST) — incluindo áreas autenticadas, painéis de administração e APIs. Auditoria automatizada de infraestrutura em nuvem em AWS, GCP, Azure e Cloudflare. Geração mensal de evidências de auditoria para governança corporativa.
Cobrado 35,000 anualmente
O preço é calculado de forma personalizada de acordo com o escopo, configuração de autenticação e necessidades de suporte.
- Tudo incluído no Professional
- Testes dinâmicos de segurança de aplicações (DAST)
- Auditoria completa de áreas autenticadas e painéis de administração
- Testes de segurança de API
- Auditoria de segurança de infraestrutura em nuvem (AWS / GCP / Azure / Cloudflare)
- Diagnóstico avançado seguindo as últimas vulnerabilidades e novos métodos de ataque
- Relatório de auditoria de governança (resumo executivo + trilha de auditoria)
Pronto para proteger o futuro do seu negócio?
Tenha governança de nível internacional hoje. Sem configurações complexas.
✓ Monitoramento 24/7