A plataforma Core Impact, comercializada pela HelpSystems e hoje pertencente à Fortra, é uma das ferramentas comerciais de teste de intrusão mais caras e completas do mercado de cibersegurança. Lançada em 2001 pela Core Security Technologies, a solução automatiza ciclos completos de exploração — da descoberta de vulnerabilidades à exfiltração de dados — com licenças anuais que ultrapassam US$ 30 mil por usuário. A ferramenta figura entre as preferidas de grandes consultorias de segurança para auditorias regulatórias em bancos, seguradoras e órgãos governamentais.
Pontos-chave
- Plataforma comercial de pentest lançada em 2001 pela Core Security
- Automatiza exploração, movimentação lateral e pivoting em redes corporativas
- Considerada uma das ferramentas mais caras do segmento de segurança ofensiva
- Inclui biblioteca proprietária de exploits atualizada mensalmente
- Usada por equipes internas de segurança e consultorias terceirizadas em auditorias PCI-DSS
- Integra-se com Cobalt Strike desde a versão 22.1 para pivoting avançado
O que é o Core Impact
O Core Impact nasceu em 2001 como produto bandeira da Core Security Technologies, empresa fundada na Argentina e posteriormente transferida para os Estados Unidos. A ferramenta foi projetada para permitir que equipes de segurança conduzam testes de intrusão end-to-end sem depender de múltiplas soluções fragmentadas — uma limitação comum em frameworks open-source da época.
A plataforma foi adquirida pela HelpSystems em 2019, junto com toda a linha de produtos da Core Security. Com a rebranding da HelpSystems para Fortra em 2022, o Core Impact passou a integrar o portfólio de segurança ofensiva da empresa, que inclui Cobalt Strike, Beyond Security e outras soluções. A integração com o Cobalt Strike foi aprimorada na versão 22.1, permitindo que operadores utilizem Beacons como vetores de pivoting.
Diferentemente do Metasploit, que mantém base pública de exploits, o Core Impact oferece biblioteca proprietária atualizada mensalmente pela equipe de pesquisa da Fortra. Essa abordagem reduz a janela entre descoberta de vulnerabilidade e disponibilidade de módulo funcional, mas também significa que a comunidade externa não tem acesso ao código para auditoria independente.
Funcionalidades principais
A plataforma organiza-se em módulos cobrindo as fases clássicas de um teste de intrusão, desde o reconhecimento inicial até o relatório final:
- Network & Wireless: descoberta de ativos, varredura de vulnerabilidades e exploração automática de hosts Windows, Linux e dispositivos de rede
- Web Application: análise de aplicações web com suporte a OWASP Top 10, injeção SQL, XSS e bypass de autenticação
- Client-side attacks: geração de payloads para spear-phishing, macros maliciosas e exploração de aplicativos de desktop
- Credenciais e pivoting: coleta automática de credenciais em máquinas comprometidas, com reutilização para movimentação lateral via pass-the-hash e pass-the-ticket
- Reporte automatizado: geração de relatórios executivos e técnicos em PDF, com mapeamento para CWE, CVSS e requisitos PCI-DSS
- Rapid Penetration Tests (RPT): funcionalidade que encadeia automaticamente módulos de descoberta, exploração e pós-exploração em poucos cliques
Casos de uso na prática
Bancos, seguradoras e órgãos governamentais utilizam o Core Impact em auditorias de conformidade regulatórias. No Brasil, instituições financeiras sujeitas às resoluções do Banco Central — incluindo a Resolução 4.893/2021 sobre cibersegurança — contratam consultorias que empregam a ferramenta para validar defesas.
Empresas certificadas ISO 27001 e PCI-DSS frequentemente exigem testes de intrusão anuais realizados com ferramentas comerciais validadas. O Core Impact aparece nas recomendações de QSA (Qualified Security Assessors) como opção aceitável para cumprir requisitos de validação técnica. Em 2023, a Fortra reportou que 47% de seus clientes do Core Impact utilizam a ferramenta especificamente para conformidade regulatória, com o restante dividido entre red teaming interno e exercícios de simulação de adversários.
Consultorias de segurança como NCC Group, Trustwave e Mandiant mantêm licenças do Core Impact em seus arsenais internos, embora muitas tenham migrado para combinações de Metasploit Pro e Cobalt Strike por questões de custo-benefício.
Relevância e posicionamento no mercado
O Core Impact raramente aparece em rankings públicos de ferramentas ofensivas porque sua adoção é majoritariamente corporativa e restrita a organizações com orçamento elevado. Pesquisa da SANS Institute em 2023 indicou que apenas 11% dos profissionais de pentest utilizam o Core Impact como ferramenta principal, contra 64% para Metasploit e 41% para Burp Suite.
O preço é o principal fator limitante. Licenças completas do Core Impact podem custar entre US$ 30 mil e US$ 80 mil anuais, dependendo do número de módulos contratados. Em comparação, o Metasploit Pro parte de US$ 24 mil anuais, e o Cobalt Strike fica em US$ 5.950 por usuário.
A Fortra tem investido em modernizar a interface, com versões recentes oferecendo melhor integração com pipelines de DevSecOps e suporte aprimorado a ambientes cloud AWS, Azure e Google Cloud. A versão 23.1, lançada em 2023, trouxe módulos específicos para exploração de contêineres Docker e clusters Kubernetes, respondendo à demanda crescente por segurança em ambientes containerizados.
Considerações finais sobre Core Impact
O Core Impact mantém nicho específico entre organizações que valorizam suporte comercial dedicado, biblioteca proprietária de exploits e geração de relatórios prontos para auditoria. Para conhecer outras soluções do segmento, consulte a categoria de ferramentas de segurança ofensiva deste portal e a reportagem sobre Cobalt Strike. Informações oficiais sobre licenciamento estão no site da Fortra.