Como este tema funciona na sua empresa
Pentest é dispensável se há scanner + code review. Se compliance exige: pentest red team simplificado (1-2 semanas, escopo pequeno) a cada 2 anos. Custo: R$ 40-80K.
Pentest anual (white box se há código interno; black box se foco em aplicações externas). Escopo: testes externos de aplicação + teste de phishing. Custo: R$ 100-200K/ano. Frequência: anual + teste pós-importante (novo sistema crítico).
Pentest contínuo. Red team interno (simula atacante). Pentest terceirizado anual (validação externa). Escopo: infraestrutura, aplicações, física, social engineering. Custo: R$ 200K-500K+/ano. Frequência: trimestral com rotação de escopo.
Penetration testing (pentest) é serviço de segurança onde testadores simulam ataques reais para identificar vulnerabilidades que um invasor poderia explorar. Diferencia-se de vulnerability scanning (que apenas lista falhas) ao explorar vulnerabilidades e demonstrar impacto real. Pentest é investimento significativo (R$ 100–500k), e muitas empresas o fazem porque compliance exige, não porque entendem valor. Objetivo deste artigo é desmitificar pentest, explicar tipos (black box, white box, gray box), periodicidade apropriada, e como extrair valor real (implementação de achados).
Pentest vs. Vulnerability Scanning: a diferença crítica
Scanner de vulnerabilidade (Nessus, Qualys, Rapid7) automaticamente encontra falhas conhecidas e lista para você. Resultado: lista de vulnerabilidades (CVE-XXXX, CVSS score). Pentest vai além: testador tenta explorar vulnerabilidade (prova que é real), concatena falhas (vulnerabilidade A + B = acesso não autorizado), e avalia impacto real. Exemplo: scanner encontra "SQL injection"; pentest explora SQL injection, extrai dados sensíveis, avalia extensão do acesso obtido[1].
Scanner é automático e barato (~R$ 5–15k/ano). Pentest é manual, caro (~R$ 100–300k), mas mais realista. Ambos são complementares: scanner encontra, pentest prova e avalia impacto.
Tipos de pentest: black box, white box, gray box
Black box (caixa preta): Testador não tem informação prévia sobre sistemas. Simula atacante externo que conhece apenas que site é "seuempresa.com.br". Precisa fazer reconhecimento (OSINT, DNS lookup, port scan). Mais realista, mas leva mais tempo (2–6 semanas). Custo: R$ 150–300k. White box (caixa branca): Testador tem acesso completo ao código-fonte, arquitetura, credenciais de teste. Simula insider ou desenvolvedor. Rápido (2–3 semanas), mas menos realista. Custo: R$ 100–200k. Gray box (caixa cinza): Meio termo — testador tem algumas informações (lista de servidores), mas não acesso completo. Realismo moderado, tempo moderado. Custo: R$ 120–250k[2].
Recomendação prática: black box a cada 2 anos (valida segurança perimetral), white box ou gray box a cada ano (valida segurança interna).
Escopo de pentest: o que testar
Pentest "completo" de infraestrutura pode incluir: (1) Teste externo: site, APIs, VPN, email (phishing). (2) Teste interno: rede corporativa, sistemas críticos, escalação de privilégio. (3) Teste físico: tailgating em escritório, Social Engineering. (4) Teste de wireless. Teste de aplicação web propriamente. Um teste completo leva 4–6 semanas e custa R$ 200–400k. Um teste focado (p.ex., apenas aplicação web + email phishing) leva 2 semanas e custa R$ 80–150k.
Escolha de escopo deve basear-se em risco real, não em "fazer tudo". Uma empresa pequena com aplicação web crítica deve fazer pentest focado em web + phishing. Uma empresa grande com múltiplas filiais deve fazer teste externo + interno + físico.
Relatório de pentest e plano de remediação
Um bom relatório de pentest detalha: (1) Vulnerabilidades encontradas com severidade (CVSS score), (2) Prova de conceito (como explorar), (3) Impacto (dados que poderiam ser acessados), (4) Recomendação de remedição. O relatório deve priorizar por severidade: crítico (corrigir em 7 dias), alto (30 dias), médio (90 dias). Um plano de remediação deve incluir: quem é responsável, deadline, como validar se foi corrigido.
Ponto crítico: pentest que não resulta em remediação é R$ 100k jogado fora. Deve haver: (1) Responsabilidade atribuída por achado, (2) Deadline formal, (3) Acompanhamento em 30/60/90 dias, (4) Retest pós-remediação para validar.
Escolhendo empresa de pentest: certificações e referências
Empresas de pentest variam em qualidade. Indicadores de qualidade: (1) Certificações: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), ou equivalente. Não é obrigatório, mas indica competência. (2) Experiência: Quantos anos fazendo pentest? Quantos clientes similares ao seu? (3) Referências: Clientes dispostos a dar feedback? (4) Transparência: Empresa explica metodologia? Mostra exemplos de relatórios (anônimos)?
Evite: "pentest shopping" (trocar empresa a cada ano). Melhor: relacionamento de longo prazo com mesma empresa (entende contexto, histórico, evolução de risco).
- Conformidade exige (PCI DSS, ISO 27001, LGPD)
- Aplicação crítica foi desenvolvida internamente e nunca testada externamente
- Histórico de incidente sugere que vulnerabilidades passaram despercebidas
- Grande volume de dados sensíveis (clientes, financeiro)
- Mudança significativa de infraestrutura ou aplicação
- Clientes ou parceiros estão pedindo evidência de pentest
Pequena: Defina escopo focado (p.ex.: aplicação web + email phishing). Comunique datas com usuários. Espere 2 semanas para conclusão.
Média: Defina escopo detalhado. Crie ambiente de teste isolado se possível. Designar ponto de contato (security officer). Planejar remediação em paralelo.
Grande: Coordenar com múltiplos teams. Cumprir SLA de comunicação (p.ex.: testing requer aprovação de downtime). Criar task force de remediação antes de pentest.
Procure por: Certificações (OSCP, CEH), experiência com seu setor, referências, metodologia clara (NIST, PTES).
Escopo: Discuta escopo, timeline, entregas de forma clara. Contrato deve especificar o que está in-scope/out-of-scope.
Pós-pentest: Empresa deve suportar interpretação de achados, priorização, e validação de remediação.
Perguntas frequentes
Qual é a diferença entre black box, white box e gray box pentest?
Black box: sem informação prévia (realista, caro, longo). White box: acesso completo a código/arquitetura (rápido, barato, menos realista). Gray box: informação parcial (meio-termo).
Com que frequência fazer pentest?
Recomendado: black box a cada 2 anos, white box ou gray box a cada ano. Se mudança significativa de infraestrutura, fazer ad-hoc. Conformidade pode exigir anual (PCI DSS, ISO 27001).
Quanto custa um pentest?
Black box completo: R$ 200–400k. White box focado: R$ 100–200k. Nível simplificado (small scope): R$ 40–80k. Custo varia conforme escopo, duração, complexidade.
Como escolher empresa de pentest?
Procure por: certificações (OSCP, CEH), experiência com seu setor, referências, metodologia clara (NIST, PTES). Evite companies sem reputação verificável.
Qual é a diferença entre pentest e vulnerability scan?
Scan: automatizado, lista vulnerabilidades, barato (~R$ 5–15k). Pentest: manual, explora vulnerabilidades, prova impacto, caro (~R$ 100–300k). Complementares.
O que esperar de um relatório de pentest?
Detalhe de vulnerabilidades (severidade, CVSS), prova de conceito, impacto, recomendações de remediação, plano de ação. Deve priorizar por severidade.