A plataforma Core Impact, comercializada pela HelpSystems e hoje pertencente à Fortra, é uma das ferramentas comerciais de teste de intrusão mais caras e completas do mercado de cibersegurança. Lançada em 2001 pela Core Security Technologies, a solução automatiza ciclos completos de exploração — da descoberta de vulnerabilidades à exfiltração de dados — com licenças anuais que ultrapassam US$ 30 mil por usuário. A ferramenta figura entre as preferidas de grandes consultorias de segurança para auditorias regulatórias em bancos, seguradoras e órgãos governamentais.

Pontos-chave

  • Plataforma comercial de pentest lançada em 2001 pela Core Security
  • Automatiza exploração, movimentação lateral e pivoting em redes corporativas
  • Considerada uma das ferramentas mais caras do segmento de segurança ofensiva
  • Inclui biblioteca proprietária de exploits atualizada mensalmente
  • Usada por equipes internas de segurança e consultorias terceirizadas em auditorias PCI-DSS
  • Integra-se com Cobalt Strike desde a versão 22.1 para pivoting avançado

O que é o Core Impact

O Core Impact nasceu em 2001 como produto bandeira da Core Security Technologies, empresa fundada na Argentina e posteriormente transferida para os Estados Unidos. A ferramenta foi projetada para permitir que equipes de segurança conduzam testes de intrusão end-to-end sem depender de múltiplas soluções fragmentadas — uma limitação comum em frameworks open-source da época.

A plataforma foi adquirida pela HelpSystems em 2019, junto com toda a linha de produtos da Core Security. Com a rebranding da HelpSystems para Fortra em 2022, o Core Impact passou a integrar o portfólio de segurança ofensiva da empresa, que inclui Cobalt Strike, Beyond Security e outras soluções. A integração com o Cobalt Strike foi aprimorada na versão 22.1, permitindo que operadores utilizem Beacons como vetores de pivoting.

Diferentemente do Metasploit, que mantém base pública de exploits, o Core Impact oferece biblioteca proprietária atualizada mensalmente pela equipe de pesquisa da Fortra. Essa abordagem reduz a janela entre descoberta de vulnerabilidade e disponibilidade de módulo funcional, mas também significa que a comunidade externa não tem acesso ao código para auditoria independente.

Funcionalidades principais

A plataforma organiza-se em módulos cobrindo as fases clássicas de um teste de intrusão, desde o reconhecimento inicial até o relatório final:

  • Network & Wireless: descoberta de ativos, varredura de vulnerabilidades e exploração automática de hosts Windows, Linux e dispositivos de rede
  • Web Application: análise de aplicações web com suporte a OWASP Top 10, injeção SQL, XSS e bypass de autenticação
  • Client-side attacks: geração de payloads para spear-phishing, macros maliciosas e exploração de aplicativos de desktop
  • Credenciais e pivoting: coleta automática de credenciais em máquinas comprometidas, com reutilização para movimentação lateral via pass-the-hash e pass-the-ticket
  • Reporte automatizado: geração de relatórios executivos e técnicos em PDF, com mapeamento para CWE, CVSS e requisitos PCI-DSS
  • Rapid Penetration Tests (RPT): funcionalidade que encadeia automaticamente módulos de descoberta, exploração e pós-exploração em poucos cliques

Casos de uso na prática

Bancos, seguradoras e órgãos governamentais utilizam o Core Impact em auditorias de conformidade regulatórias. No Brasil, instituições financeiras sujeitas às resoluções do Banco Central — incluindo a Resolução 4.893/2021 sobre cibersegurança — contratam consultorias que empregam a ferramenta para validar defesas.

Empresas certificadas ISO 27001 e PCI-DSS frequentemente exigem testes de intrusão anuais realizados com ferramentas comerciais validadas. O Core Impact aparece nas recomendações de QSA (Qualified Security Assessors) como opção aceitável para cumprir requisitos de validação técnica. Em 2023, a Fortra reportou que 47% de seus clientes do Core Impact utilizam a ferramenta especificamente para conformidade regulatória, com o restante dividido entre red teaming interno e exercícios de simulação de adversários.

Consultorias de segurança como NCC Group, Trustwave e Mandiant mantêm licenças do Core Impact em seus arsenais internos, embora muitas tenham migrado para combinações de Metasploit Pro e Cobalt Strike por questões de custo-benefício.

Relevância e posicionamento no mercado

O Core Impact raramente aparece em rankings públicos de ferramentas ofensivas porque sua adoção é majoritariamente corporativa e restrita a organizações com orçamento elevado. Pesquisa da SANS Institute em 2023 indicou que apenas 11% dos profissionais de pentest utilizam o Core Impact como ferramenta principal, contra 64% para Metasploit e 41% para Burp Suite.

O preço é o principal fator limitante. Licenças completas do Core Impact podem custar entre US$ 30 mil e US$ 80 mil anuais, dependendo do número de módulos contratados. Em comparação, o Metasploit Pro parte de US$ 24 mil anuais, e o Cobalt Strike fica em US$ 5.950 por usuário.

A Fortra tem investido em modernizar a interface, com versões recentes oferecendo melhor integração com pipelines de DevSecOps e suporte aprimorado a ambientes cloud AWS, Azure e Google Cloud. A versão 23.1, lançada em 2023, trouxe módulos específicos para exploração de contêineres Docker e clusters Kubernetes, respondendo à demanda crescente por segurança em ambientes containerizados.

Considerações finais sobre Core Impact

O Core Impact mantém nicho específico entre organizações que valorizam suporte comercial dedicado, biblioteca proprietária de exploits e geração de relatórios prontos para auditoria. Para conhecer outras soluções do segmento, consulte a categoria de ferramentas de segurança ofensiva deste portal e a reportagem sobre Cobalt Strike. Informações oficiais sobre licenciamento estão no site da Fortra.