Quando Mariana Quadros e Rafael Tessari escreveram o primeiro memorando interno da Vetor Bruto, em abril de 2014, o cenário brasileiro era outro. A LGPD ainda era anteprojeto, o CERT.br emitia alertas que muitos lia depois do fato, e a noção de red team continuado parecia luxo norte-americano. O memorando — quatro páginas, sem logotipo — argumentava o contrário.
A tese era simples e desconfortável. Empresas brasileiras não sofriam por falta de ferramentas. Sofriam por falta de operação. Compravam licenças, contratavam diagnósticos, recebiam relatórios — e seguiam vulneráveis às mesmas técnicas listadas no relatório anterior. Faltava cadência. Faltava continuidade. Faltava alguém que vivesse dentro do ambiente, todos os dias, com mentalidade adversarial.
O método que adotamos
Operamos em ciclos de quatro semanas. Cada ciclo abre com uma hipótese — uma técnica nova vista em fóruns, um vetor reportado por outro time, uma mudança de inventário do cliente. A hipótese vira plano de ataque, vira execução supervisionada, vira evidência. A evidência alimenta o backlog de detecção do SOC parceiro. Trinta dias depois, a hipótese seguinte já está em campo.
Esse ritmo não tolera generalistas. Por isso o nosso time é distribuído em três especializações verticais: ofensiva aplicada, resposta forense e adequação regulatória. Quem é bom em uma frente não roda nas outras. Mantemos rituais semanais cruzados para que o conhecimento circule — mas a operação respeita a especialização.
Compromissos públicos
Publicamos anualmente um relatório de transparência com número de engajamentos, tempo médio de resposta e principais técnicas observadas em campo. Não nomeamos clientes. Nomeamos famílias de ataque, distribuição setorial e indicadores que outros times de defesa podem usar. O documento de 2025 foi baixado por mais de duzentas equipes brasileiras de segurança.