Inventário completo de ativos públicos
A partir do domínio raiz, a CSURFACE mapeia portais, serviços e APIs expostos na internet — inclusive os de autarquias, fundações e órgãos vinculados que escapam ao controle central.
GOVERNO E SETOR PÚBLICO
Órgãos públicos prestam serviços essenciais e custodiam dados de cidadãos. A CSURFACE descobre, classifica e monitora continuamente a superfície de ataque externa do setor público — dos portais ao cidadão aos ativos esquecidos que nenhum inventário oficial registra.
O CONTEXTO DO SETOR
A digitalização dos serviços públicos multiplicou os pontos de exposição: portais de atendimento ao cidadão, integrações com o gov.br, aplicações de transparência, sistemas de protocolo, APIs entre órgãos e ambientes em nuvem provisionados por equipes distintas. Cada serviço custodia dados de cidadão sob a LGPD e opera segundo as Instruções Normativas de segurança da informação do Gabinete de Segurança Institucional (GSI), num contexto muitas vezes classificado como infraestrutura crítica. Cada novo serviço amplia a superfície de ataque, e a estrutura responsável pela segurança raramente acompanha esse ritmo no mesmo passo.
O resultado é uma lacuna recorrente: convivem sistemas legados mantidos há anos, projetos-piloto que permaneceram no ar e domínios de autarquias e fundações vinculadas que não são consolidadas em um único inventário. É nesse território não mapeado — e não no que a equipe já conhece e protege — que os incidentes costumam começar.
COMO A CSURFACE AJUDA
A plataforma trata a superfície de ataque do setor público do ponto de vista de quem a observa de fora — sem agentes e sem acesso à rede interna.
A partir do domínio raiz, a CSURFACE mapeia portais, serviços e APIs expostos na internet — inclusive os de autarquias, fundações e órgãos vinculados que escapam ao controle central.
A ordem cruza exploração observada com a sensibilidade do serviço — sistemas que tratam dado do cidadão e serviços essenciais recebem atenção primeiro.
Painéis administrativos, ambientes de homologação e sistemas legados acessíveis pela internet são identificados antes que se tornem porta de entrada para um incidente.
Cada achado e cada mudança na superfície gera trilha auditável, com histórico — material objetivo para demonstrar a adequação à LGPD, às Instruções Normativas do GSI e à prestação de contas a órgãos de controle e fiscalização.
| Ativo | Tipo | Exposição |
|---|---|---|
| servico.exemplo.gov.br | Portal ao cidadão | dados de cidadão |
| autarquia.exemplo.gov.brórgão vinculado | Órgão vinculado | alta |
| hml-legado.exemplo.gov.brlegado | Ambiente esquecido | crítica |
| api-integra.exemplo.gov.br | Integração gov.br | pública |
Portais ao cidadão e órgãos vinculados dispersos, reunidos em um só inventário — base para a adequação à LGPD e às normas do GSI.
PERGUNTAS FREQUENTES
Não. A descoberta é integralmente externa e parte apenas do domínio raiz. Não instalamos agentes nem exigimos credenciais ou acesso à infraestrutura interna, o que simplifica a adoção em ambientes de setor público.
Sim. Os ativos de autarquias, fundações e demais entidades vinculadas entram no mesmo inventário do órgão central — justamente a exposição que programas de segurança costumam não consolidar.
Sim. A plataforma mantém trilha auditável de cada ativo, achado e mudança na superfície, com histórico — material que apoia a demonstração de adequação à LGPD, às Instruções Normativas de segurança da informação do GSI e à prestação de contas a órgãos de controle.
Informe o domínio da instituição e receba uma análise preliminar da exposição externa. Sem cartão, sem reunião.
Receber análise preliminar