Pular para o conteúdo
Rondo SecurityRondo Security
Todos os serviços
Cloud Security

AWS Penetration Testing Services

Avaliação de segurança ofensiva em ambientes Amazon Web Services

A AWS oferece uma superfície de ataque vasta e complexa. Configurações incorretas de IAM são a causa raiz da maioria dos incidentes em nuvem. Nossa equipe possui experiência com o modelo de ataque MITRE ATT&CK for Cloud, cobrindo desde credenciais comprometidas até persistence via Lambda layers e exfiltração via S3 pré-assinado. Trabalhamos dentro dos limites da Política de Testes de Penetração da AWS.

IAMS3EC2LambdaRDSCloudTrailMITRE ATT&CK Cloud
7–14
dias de engajamento
50+
serviços AWS avaliados
MITRE Cloud
framework de cobertura
White/Grey Box
modalidades disponíveis

Áreas de avaliação

Identity & Access Management

  • Políticas IAM excessivamente permissivas
  • Escalada de privilégios via AssumeRole
  • Credenciais de longa duração expostas
  • MFA ausente em contas privilegiadas

Storage & Data

  • S3 buckets públicos e ACLs incorretos
  • Dados sensíveis sem criptografia server-side
  • Bucket policies mal configuradas
  • EBS snapshots públicos inadvertidamente

Compute & Serverless

  • Security Groups abertos para 0.0.0.0/0
  • IMDSv1 vulnerável a SSRF
  • Lambda com permissões excessivas
  • Variáveis de ambiente com segredos

Logging & Monitoring

  • CloudTrail desabilitado ou com gaps
  • CloudWatch sem alertas para eventos críticos
  • GuardDuty não habilitado
  • Config Rules ausentes para compliance

Metodologia

1
01
Escopo e Reconhecimento
Mapeamento de recursos AWS, contas, regiões, serviços em uso e superfície de ataque externa.
2
02
Análise de Credenciais
Avaliação de usuários IAM, roles, políticas, grupos e permissões efetivas usando AWS IAM Access Analyzer e ferramentas ofensivas.
3
03
Enumeração de Serviços
Enumeração de S3, EC2, Lambda, RDS, Secrets Manager, SSM Parameter Store e outros serviços críticos.
4
04
Escalada de Privilégios
Tentativas de escalada horizontal e vertical usando técnicas de privilege escalation documentadas no Pacu e cloudsploit.
5
05
Movimentação Lateral
Cross-account attacks, abuse de trust relationships e movimentação entre serviços via roles comprometidas.
6
06
Relatório e Remediação
Documentação de toda a cadeia de ataque com IaC fixes (Terraform/CDK) onde aplicável.

Entregáveis

Relatório executivo com risk posture summary
Relatório técnico com evidências da cadeia de ataque
Diagrama de attack path para cada cenário crítico
Recomendações de hardening por serviço AWS
Policies IAM corrigidas prontas para aplicação
Checklist de monitoramento e alertas recomendados
Reteste gratuito após correções (30 dias)

Serviços relacionados

Azure Pentest

Avaliamos a postura de segurança do seu ambiente Azure: Azure AD, RBAC, Managed Identities, Storage Accounts, Entra ID e fluxos de autenticação Microsoft.

GCP Pentest

Simulamos ataques reais em sua infraestrutura GCP: IAM abuse, Service Account key exposure, GCS bucket misconfiguration, Compute Engine e escalada de privilégios em workloads GKE.

Pronto para começar?

Solicite uma proposta personalizada para o seu ambiente.

Solicitar proposta Falar com a equipe

Siga o caminho que
atacantes reais
percorrem.

Entre em contato para discutir o escopo do seu engajamento. Nossa equipe responde em até 24 horas úteis.

Solicitar proposta Falar com a equipe
2.000+ alunos formados 120+ clientes atendidos Resposta em 24h úteis