LevelUp Tech
LevelUp Tech · Cybersecurity advisory

Pensamento ofensivo
aplicado à defesa.

Consultoria e treinamentos em segurança ofensiva para blue teams, AppSec, engenharia e liderança técnica — pensados para empresas que precisam enxergar caminhos reais de ataque, priorizar risco com clareza e tomar decisões melhores.

Agendar conversa diagnóstica Conhecer ofertas →

Ferramentas e frameworks ajudam — mas sem raciocínio ofensivo, times defensivos continuam vendo alertas isolados sem entender caminho, impacto e prioridade real do risco.

Superfície externa
Controles
Ativos críticos
Threat model A-12

Mapa de caminho de ataque

Prioridade 01
VPN-EXT
Vetor de entrada
CI/CD público
WAF · IDS
IAM · MFA
!
Controle prioritárioPonto de quebra da cadeia
Domain controllers
Dados regulados
SaaS core
Fig. 01 — Advisory mappingLevelUp Tech · Offensive thinking
ImpactoCrítico
EsforçoMédio

Como o advisory traduz superfície de ataque em decisões priorizadas.

12 anos
em segurança ofensiva
18 anos
em tecnologia da informação
Advisory
mensal contínuo
Threat
modeling de arquitetura
01O problema

O maior gap dos times defensivos não é falta de ferramenta — é falta de modelo mental ofensivo.

Muitos times sabem operar ferramentas, responder alertas e acompanhar vulnerabilidades. Ainda assim, encontram dificuldade nas perguntas que realmente movem o ponteiro.

Perguntas críticas

Sem repertório ofensivo, o time enxerga eventos. Com repertório ofensivo, enxerga campanhas, caminhos e impacto real.

  1. 01Como um atacante encadearia essas falhas?
  2. 02Qual vulnerabilidade realmente importa?
  3. 03Que caminho leva até um ativo crítico?
  4. 04Que alerta deveria existir?
  5. 05Que controle quebra a cadeia de ataque?
  6. 06Que decisão arquitetural criou esse risco?
  7. 07Como traduzir risco técnico em prioridade executiva?
  8. 08Como validar tecnicamente aplicações e APIs antes do deploy?

A proposta é levar seu time da visão fragmentada de eventos para uma visão estratégica de caminhos de ataque, impacto e defesa prática.

02Autoridade

LevelUp Tech, fundada por Ulisses Alves.

Uma consultoria especializada em segurança ofensiva aplicada à defesa, criada para empresas que precisam de profundidade técnica real, comunicação executiva clara e visão estratégica de risco.

Ulisses Alves atua há 18 anos em tecnologia da informação, sendo os últimos 12 dedicados exclusivamente a segurança cibernética — com experiência em segurança ofensiva, red team, automação, arquitetura de soluções, desenvolvimento de ferramentas, treinamentos técnicos e comunicação para públicos técnicos e executivos.

Seu trabalho combina profundidade técnica, visão ofensiva, capacidade didática e foco em aplicação prática — ajudando empresas a entenderem riscos reais, priorizarem melhor e criarem mecanismos de defesa mais inteligentes.

Ulisses Alves — fundador, LevelUp Tech

18 anos
em tecnologia da informação
12 anos
dedicados a segurança ofensiva
Red Team
segurança ofensiva, automação e arquitetura
Treinamentos
técnicos e comunicação executiva
Defesa
orientada por caminhos reais de ataque
AppSec
identidade, arquitetura, APIs e ambientes corporativos
03Tese estratégica

Defesa melhora quando o time aprende a pensar como atacante.

A proposta não é atacar por atacar. É desenvolver clareza ofensiva — para melhorar defesa, priorização e decisão.

  1. 01Ofensiva

    Objetivo do atacante

  2. 02Ofensiva

    Caminho de ataque

  3. 03Ofensiva

    Privilégio

  4. 04Ofensiva

    Impacto

  5. 05Defesa

    Controle defensivo

  6. 06Defesa

    Priorização

Quando o time entende como um ataque progride, ele prioriza melhor, comunica melhor, corrige melhor — e evita desperdiçar energia em riscos que parecem graves, mas não mudam o jogo.

04Ofertas

Cinco frentes de trabalho.

Treinamentos e consultorias desenhados para desenvolver capacidade ofensiva aplicada à defesa, AppSec e arquitetura.

01Treinamento

Red Team Mindset para Blue Teams

Capacita times defensivos a pensar como atacantes, enxergar caminhos de ataque e transformar hipóteses ofensivas em controles, detecções e ações práticas.

Ideal para

Blue teams, SOC, security engineers, resposta a incidentes e líderes técnicos.

Formatos

Workshop 4h · Treinamento prático 8h · Imersão 16h

02Treinamento

Burp Suite para Defesa, AppSec & Devs

Capacita times técnicos a validar requisições, fluxos e falhas em aplicações web e APIs usando Burp Suite com raciocínio ofensivo defensivo.

Ideal para

Desenvolvedores, AppSec, security champions, QA técnico, blue teams, times de API.

Formatos

Workshop 6–8h · Imersão AppSec 12–16h

03Consultoria recorrente

Offensive Security Advisory

Apoio mensal recorrente: visão ofensiva sobre o ambiente real, priorização por risco, orientação técnica e suporte a decisões executivas.

Ideal para

Empresas com time interno que precisam de profundidade ofensiva contínua.

Planos

Essencial · Operacional · Estratégico

04Revisão de arquitetura

Threat Modeling & Architecture Review

Revisão de projetos, sistemas, APIs e arquiteturas para identificar riscos antes do desenvolvimento, do lançamento ou de uma mudança crítica.

Ideal para

Squads de produto, arquitetura, engenharia, AppSec, sistemas críticos.

Formatos

Review rápido · Review completo · Review contínuo

05Treinamento imersivo

Red Team Tabletop Experience

Simulação tabletop de operações de Red Team com cenários ficcionais, artefatos narrativos e decisões sob incerteza — para desenvolver maturidade operacional, não apenas técnica.

Ideal para

Red/Blue/Purple Teams, consultorias ofensivas, pentesters em transição, líderes técnicos e equipes que precisam elevar pensamento adversarial.

Formato

Tabletop facilitado · 3–4h por cenário · Presencial ou remoto · Turmas in company customizáveis

01Treinamento

Red Team Mindset para Blue Teams

Como pensar como atacante para defender melhor ambientes, aplicações e identidades.

Este treinamento ajuda times defensivos a desenvolverem raciocínio ofensivo prático. O objetivo é sair da leitura isolada de alertas e vulnerabilidades para uma visão de campanha, cadeia de ataque, impacto e priorização.

Quero este treinamento

Módulos

  • 01Como atacantes pensam
  • 02Kill chain, MITRE ATT&CK e raciocínio ofensivo
  • 03Recon e exposição externa
  • 04Identidade como superfície crítica
  • 05Priorização por impacto e explorabilidade
  • 06Transformando achados em detecção, hardening e resposta
  • 07Exercícios guiados com cenários reais

Entregáveis

  • 01Material do treinamento
  • 02Checklist de Red Team Mindset para Blue Teams
  • 03Mapa de perguntas ofensivas para defesa
  • 04Exercícios práticos
  • 05Recomendações observadas durante a sessão, quando aplicável
02Treinamento

Burp Suite para Defesa, AppSec e Desenvolvedores

Validação prática de aplicações web e APIs.

Este treinamento capacita times técnicos a entenderem, manipularem e validarem requisições HTTP/API com Burp Suite. O foco é dar autonomia para validar riscos reais, reproduzir falhas e gerar evidências úteis para correção.

Quero capacitar meu time

Módulos

  • 01HTTP para análise ofensiva
  • 02Proxy, Target, Repeater, Intruder, Decoder, Comparer e Logger
  • 03Autenticação e autorização
  • 04IDOR, tokens, claims e bypasses
  • 05Testes em APIs REST/JSON
  • 06Validação manual de vulnerabilidades
  • 07Evidência técnica e comunicação de impacto

Entregáveis

  • 01Guia prático de uso do Burp
  • 02Checklist de validação web/API
  • 03Templates de evidência técnica
  • 04Lista de testes mínimos antes de deploy
  • 05Laboratórios guiados, quando aplicável
03Consultoria recorrente

Offensive Security Advisory

Visão ofensiva contínua para priorizar riscos e orientar evolução defensiva.

O advisory mensal oferece apoio recorrente para empresas que precisam de profundidade ofensiva, mas não possuem essa capacidade internamente de forma contínua.

Quero advisory mensal

Plano Essencial

  • 01Reunião quinzenal
  • 02Revisão de riscos priorizados
  • 03Orientação técnica
  • 04Relatório executivo curto

Plano Operacional

  • 01Reunião semanal ou quinzenal
  • 02Análise ofensiva de exposição
  • 03Priorização por impacto e explorabilidade
  • 04Apoio a blue team, AppSec e infraestrutura
  • 05Relatório técnico e executivo mensal

Plano Estratégico

  • 01Reuniões semanais
  • 02Roadmap de redução de risco
  • 03Apoio em arquitetura, identidade, aplicações e exposição
  • 04Sessão mensal de capacitação
  • 05Reporte executivo

Entregáveis mensais

  • 01Top riscos do mês
  • 02Hipóteses ofensivas relevantes
  • 03Caminhos de ataque prováveis
  • 04Recomendações priorizadas
  • 05Evidências técnicas quando aplicável
  • 06Sumário executivo
04Revisão de arquitetura

Threat Modeling & Architecture Security Review

Riscos arquiteturais devem ser encontrados antes do deploy.

Muitas falhas críticas nascem antes do código: em decisões de arquitetura, fluxos de confiança, permissões, integrações, autenticação, autorização e exposição de dados.

Quero revisar um projeto

Método OAR — Offensive Architecture Review

  • 011. Entender objetivo do sistema
  • 022. Mapear ativos críticos
  • 033. Mapear atores e permissões
  • 044. Identificar trust boundaries
  • 055. Mapear fluxos de dados
  • 066. Levantar abusos possíveis
  • 077. Identificar caminhos de ataque
  • 088. Priorizar impacto e explorabilidade
  • 099. Recomendar controles
  • 1010. Validar decisões antes do deploy

Formatos

  • 01Review rápido
  • 02Review completo
  • 03Review contínuo por projeto

Entregáveis

  • 01Mapa de ameaças
  • 02Lista priorizada de riscos
  • 03Recomendações por camada
  • 04Perguntas críticas para engenharia
  • 05Diagrama anotado, quando aplicável
  • 06Checklist pré-deploy
  • 07Sumário executivo
05Treinamento imersivo · Tabletop

Red Team Tabletop Experience: forme operadores que pensam antes de atacar.

Uma experiência tabletop imersiva que simula operações reais de Red Team em cenários ficcionais — desenvolvendo raciocínio adversarial, tomada de decisão sob incerteza, trabalho em equipe e postura consultiva.

Cada sessão recria a dinâmica de uma operação ofensiva: empresas fictícias, personas, artefatos, evidências, pistas e cadeias alternativas de ataque. O instrutor conduz como um facilitador de cenário, revelando informações conforme as decisões do grupo — uma sala de guerra simulada, segura e baseada em casos reais.

Operation boardCenário 07 · Aurora Systems
Briefing
Recon
Acesso
Movimento
Objetivo
Persona · CISO
Persona · Dev sênior
Persona · Admin AD
Doc · Política IAM
Artefato · Chave SSH
Pista · Ticket interno
?
Decisão críticaPivotar ou exfiltrar
Fig. 05 — Tabletop opsLevelUp Tech · Red Team

Como o facilitador revela artefatos conforme as decisões do grupo.

Benefícios

  • Mentalidade real de Red Team

    Pensar como adversário, não como executor de checklist.

  • Perguntas melhores

    Formular hipóteses úteis antes de buscar respostas.

  • Pensamento e escuta críticos

    Avaliar evidências e descartar suposições convenientes.

  • Cyber kill chains

    Construir cadeias completas — não apenas vetores isolados.

  • Decisão sob incerteza

    Avançar com informação parcial, como em operação real.

  • Trabalho em equipe

    Brainstorming estruturado e divisão de responsabilidade.

  • Foco no objetivo de negócio

    Conectar ações técnicas ao impacto que importa.

  • Maturidade ofensiva

    Operar com método, não com improviso.

  • Postura consultiva

    Apresentar risco, impacto e recomendação com clareza.

  • Simulação segura

    Cenários ficcionais inspirados em operações reais, sem risco.

Como funciona

  1. 01

    Briefing da operação

    O grupo recebe um cenário realista com objetivo, escopo, restrições e informações iniciais sobre o alvo.

  2. 02

    Análise, perguntas e hipóteses

    Os participantes formulam perguntas, levantam hipóteses e propõem caminhos possíveis de ataque.

  3. 03

    Decisões, artefatos e consequências

    O facilitador revela documentos, pistas, evidências e complicações conforme as decisões do grupo evoluem.

  4. 04

    Debrief e avaliação

    O grupo apresenta raciocínio, decisões, impacto de negócio e recomendações. Instrutor avalia maturidade operacional.

Para quem é

  • 01Red/Blue/Purple Teams
  • 02Consultorias de segurança ofensiva
  • 03Pentesters em transição para Red Team
  • 04Líderes técnicos de segurança
  • 05Blue teams ampliando pensamento adversarial
  • 06Profissionais em operações ofensivas complexas
  • 07Empresas treinando tomada de decisão em cenários ofensivos

Diferenciais

  • Baseado em lógica de operações reais
  • Cenários ficcionais e seguros
  • Experiência tabletop imersiva
  • Artefatos, pistas e documentos narrativos
  • Foco em decisão, não apenas em técnica
  • Desenvolvimento de postura consultiva
  • Customizável para a realidade da empresa
  • Aplicável em formato in company

Red Team Tabletop Experience.

Quero treinar meu time em Red Team Tabletop Experience Abre em nova aba · Google Calendar
05Método

Como as ofertas se conectam.

A entrada pode ser um treinamento pontual, uma revisão de arquitetura ou uma conversa diagnóstica. A evolução natural é construir uma rotina de melhoria contínua.

Fluxo 01 · Capacitação contínua

01Etapa

Treinamento

02Etapa

Diagnóstico

03Etapa

Advisory mensal

Fluxo 02 · Segurança por projeto

01Etapa

Projeto crítico

02Etapa

Threat Modeling

03Etapa

Revisão contínua

06Fit

Para quem é — e para quem não é.

Para quem é

  • Empresas com times de segurança que precisam desenvolver pensamento ofensivo
  • Blue teams que querem melhorar priorização e detecção
  • AppSec e desenvolvedores que precisam validar aplicações e APIs
  • Times de engenharia criando sistemas críticos
  • Gestores que precisam traduzir risco técnico em decisão executiva
  • Empresas que querem maturidade defensiva sem contratar um red team interno completo

Para quem não é

  • Empresas procurando apenas um scanner automatizado
  • Times que querem checklist superficial sem mudança de raciocínio
  • Organizações que buscam exploração fora de escopo ou sem autorização
  • Quem quer apenas um relatório genérico sem aplicação prática
  • Empresas que não têm abertura para priorizar e corrigir riscos reais

Próximo passo

Qual formato faz mais sentido para o seu time?

Uma conversa diagnóstica de 20 a 30 minutos para entender contexto, maturidade, riscos prioritários e recomendar o melhor caminho — treinamento, advisory, threat modeling ou uma combinação entre eles.

Agendar conversa

Sem pitch agressivo. Primeiro entendemos o problema, depois avaliamos se há fit.

07FAQ

Perguntas frequentes.

08Contato

Defenda melhor entendendo como o ataque progride.

Se seu time precisa sair da reação para uma defesa mais estratégica, prática e orientada a risco real, vamos conversar.

LevelUp Tech

Cybersecurity advisory & training
Ulisses Alves · fundador

Agenda · Google Calendar

Reserve uma conversa diagnóstica de 30 minutos.

  • Entendimento rápido do contexto, time e prioridades atuais
  • Discussão sobre superfície de ataque, controles e onde focar
  • Sem compromisso — saída com clareza, mesmo se não avançarmos
Reservar horário Abre em nova aba · Google Calendar