Tem uma diferença grande entre fazer um pentest e estar sendo testado o tempo todo. O primeiro te dá uma foto — nítida no dia em que termina, desbotada algumas semanas depois. O segundo te dá o filme. E é no filme que as coisas interessantes aparecem.
Há um tempo a gente vem rodando esse filme — o Pentest Contínuo (PTaaS) através do Deep Argus — sem apertar o pause. Resolvemos abrir os números. Sem alvo, sem cliente, sem nome de ferramenta: só o que importa pra quem decide sobre segurança.
Antes de qualquer coisa, um combinado: tudo aqui já passou pelo filtro. Cada achado enfrenta uma etapa que tenta derrubar a própria descoberta — se for ruído, falso-positivo ou drama de scanner, cai fora antes de chegar em você. O que sobra é risco de verdade. É esse número que a gente respeita.
A escala, sem floreio
Foram 456 ciclos de teste contínuo e 1.067 vulnerabilidades confirmadas. Isso não saiu de uma campanha heroica de uma semana — saiu de uma cadência que simplesmente não para. Enquanto um teste anual entrega um PDF e silêncio até o ano que vem, o motor contínuo segue girando enquanto seus sistemas mudam.
Onde mora o perigo
Contar vulnerabilidade é fácil. O que muda o jogo é saber quais tiram o seu sono. Aqui está o retrato por severidade:
São 276 exposições acionáveis — e quase uma em cada três é de severidade alta ou crítica. Não é alarme cosmético: são 13 portas críticas e 66 falhas de alto impacto encontradas antes de alguém de fora encontrar. Cada uma dessas é um incidente que não aconteceu.
E talvez o mais importante: elas continuam aparecendo ciclo após ciclo, conforme versões sobem e a superfície muda. É bem nesses intervalos — os que um pentest anual nunca vê — que o modelo contínuo ganha o dia.
O que mais aparece (e por quê)
Quando você olha o tipo de falha que mais surge, um padrão fica óbvio — e ele é tranquilizador, no fundo: o que mais machuca não é nada exótico.
Em português claro: configuração errada, dados expostos sem necessidade, logins que dão pra contornar e acessar o que não era pra acessar. São exatamente as falhas que se acumulam entre os testes pontuais — e que só uma cadência contínua mantém na coleira. As técnicas mais raras (SSRF, injeções, sequestro de subdomínio, segredos vazados) aparecem menos, mas são justamente as que varredura automática não acha e profundidade humana, sim.
O número que mais nos orgulha
Não é o total de achados. É a disciplina de validar antes de reportar. Quando cada item na mesa da sua equipe é risco real e explorável, some o tempo perdido caçando falso-positivo e sobra tempo pra fechar o que de fato abre porta.
É isso que o Deep Argus entrega como Pentest Contínuo (PTaaS): descoberta sem pausa, exploração validada de verdade, e um retrato de risco que acompanha sua superfície mudar — o ano inteiro, não uma vez por ano.
276 exposições acionáveis. 79 de alta ou crítica. 456 ciclos. Zero pause.
Curioso pra ver esses números na sua superfície de ataque? Solicite uma PoC e a gente coloca o motor pra rodar.