Insights e Pesquisa de Cibersegurança

Relatórios de ameaças, artigos de pesquisa, webinars e whitepapers da equipe de segurança da Mercurius — mantendo-se à frente do adversário.

Especialista realizando um pentest em uma rede corporativa

O que é um Pentest? Um Guia Completo para Empresas

Um pentest (teste de invasão) é uma prática de segurança ofensiva na qual especialistas simulam ataques reais contra os sistemas, redes ou aplicações de uma organização para encontrar vulnerabilidades antes que criminosos possam explorá-las. A prática segue metodologias reconhecidas como PTES, OWASP e NIST SP 800-115, e é exigida ou recomendada por normas como ISO 27001, PCI-DSS e, no contexto brasileiro, a LGPD. Empresas de médio e grande porte realizam pentests periodicamente e após qualquer mudança significativa em sua infraestrutura.

Este guia explica o que é um pentest, como ele funciona na prática, os tipos, quanto custa, o que diferencia um relatório forte de um genérico e quando sua empresa deve realizar um. Ele é a base para qualquer tomador de decisão que precise justificar, comprar ou avaliar um teste de penetração.

O que é um pentest e por que ele existe

Um pentest é um ataque simulado e autorizado, realizado por profissionais que utilizam as mesmas técnicas de um adversário real, com o objetivo de medir o risco concreto de uma organização. A diferença entre um pentest e um ataque real é apenas uma: a intenção. O pentester encontra a falha, prova que ela é explorável e entrega o caminho para corrigi-la, em vez de causar danos.

A razão de sua existência é simples. A maioria das ferramentas de segurança avalia o risco em teoria. Um scanner de vulnerabilidades sinaliza que uma porta está aberta ou que uma versão de software está desatualizada. Um pentest responde à pergunta que o conselho realmente quer responder: um invasor pode realmente entrar, se mover pela rede e alcançar os dados críticos? Essa distinção entre risco teórico e risco explorável é o valor central do teste.

De acordo com o relatório IBM Cost of a Data Breach 2024, o custo médio global de uma violação de dados atingiu 4,88 milhões de dólares, o valor mais alto já registrado. O Verizon DBIR demonstra consistentemente que a maioria das violações envolve a exploração de vulnerabilidades conhecidas e o fator humano. Um pentest ataca exatamente esses dois pontos: encontra a falha explorável e testa como a organização responde.

Como um pentest funciona na prática

Um pentest funciona em fases sequenciais que reproduzem o comportamento de um atacante real, desde o reconhecimento inicial até a documentação do impacto. Metodologias como PTES (Penetration Testing Execution Standard) e NIST SP 800-115 formalizam essas fases para garantir consistência e cobertura.

As fases essenciais são:

  1. Planejamento e escopo. Define o que será testado (alvos, sistemas, aplicações), o nível de acesso concedido e as regras de engajamento. Este é o passo que previne ruído operacional e estabelece responsabilidade legal.
  2. Coleta de informações sobre o alvo, desde fontes públicas até mapeamento de infraestrutura exposta. Isso espelha o que um atacante faria antes de agir.
  3. Enumeração e análise de vulnerabilidades. Identificação de serviços, versões, configurações e possíveis falhas. É aqui que as técnicas manuais se combinam com ferramentas, pois um scanner sozinho não encontra falhas de lógica de negócio.
  4. O passo que separa um pentest de um scan. O especialista tenta explorar as falhas encontradas para provar que elas são reais e para medir o impacto.
  5. Pós-exploração e movimento lateral. Uma vez dentro, o pentester avalia até onde pode ir: escalando privilégios, alcançando outros sistemas, chegando aos dados críticos. É isso que demonstra o risco real de um comprometimento.
  6. Documentação e relatórios. Um registro de todas as descobertas, com evidências, classificação de severidade e uma recomendação de remediação priorizada.

 

A profundidade de cada fase depende do modelo de teste, detalhado adiante em caixa preta, caixa cinza e caixa branca.

Pentest, varredura de vulnerabilidades e Red Team: as diferenças

Confundir esses três conceitos é o erro mais comum entre compradores de segurança ofensiva pela primeira vez. Eles resolvem problemas diferentes e não se substituem.

A escaneamento de vulnerabilidades é automatizado e sinaliza falhas potenciais em escala, sem provar que são exploráveis. A teste de penetração é executado por humanos, valida quais falhas são realmente exploráveis e mede o impacto de um comprometimento dentro de um escopo e prazo definidos. A Equipe vermelha o exercício vai além: simula um adversário real e persistente, sem escopo restrito e sem avisar a equipe de defesa, a fim de testar não apenas a tecnologia, mas também as pessoas e os processos de detecção e resposta da organização.

A regra prática: um scan é para higiene contínua, um pentest é para validar riscos em pontos específicos, e um Red Team é para medir a maturidade de detecção de uma organização que já é madura. A maioria das empresas começa com um pentest e evolui para Red Team assim que seu SOC e controles estão estabelecidos.

Tipos de pentest

Os tipos de pentest variam de acordo com o alvo que está sendo testado e o nível de conhecimento prévio concedido ao especialista. Escolher o tipo certo é o que garante que o teste responda à pergunta de risco que importa para a organização.

Por nível de acesso:

Modelo
Conhecimento Prévio
Simulações
Quando usar
Caixa Preta
Nenhum
Atacante externo sem informação
Teste de exposição real visto de fora
Caixa Cinza
Parcial (uma credencial de usuário padrão)
Insider ou um atacante que já tem acesso
Melhor custo-benefício e cobertura
Caixa branca
Completo (código, arquitetura, credenciais)
Análise profunda com acesso completo
Aplicações críticas e revisão de código

Por alvo:

  • Pentest externo avalia o perímetro exposto à internet (sites, VPN, servidores públicos, e-mail).
  • Pentest interno: simula uma ameaça já dentro da rede, seja um invasor interno ou um atacante que rompeu o perímetro.
  • Pentest de aplicação web: foca em falhas de aplicação, guiado pelo OWASP Top 10 (injeção, autenticação quebrada, exposição de dados).
  • Teste de penetração mobile e API: avalia aplicativos e as interfaces que os alimentam.
  • Engenharia social: testa o fator humano com phishing e pretexting controlados.

 

Pentest de infraestrutura em nuvem avalia configurações da AWS, Azure ou GCP, onde a má configuração é a principal causa de exposição.

Metodologias de pentest reconhecidas

Um pentest sério é executado com metodologia formal, não com a improvisação de quem o executa. A metodologia garante cobertura, repetibilidade e comparação entre testes ao longo do tempo. As principais referências:

  • PTES (Padrão de Execução de Teste de Penetração): define as sete fases padrão de um teste, desde o pré-engajamento até o relatório.
  • OWASP Testing Guide e OWASP Top 10: a referência para testes de aplicativos web e a lista das falhas mais críticas.
  • NIST SP 800-115: o Guia Técnico do NIST para Avaliação de Segurança da Informação.
  • OSSTMM: uma metodologia de testes de segurança manual orientada a métricas.
  • MITRE ATT&CK: uma base de conhecimento de táticas e técnicas de adversários reais, usada para mapear e simular o comportamento de ameaças.

 

Usando estas metodologias, além de elevar a qualidade técnica, é o que torna o relatório defensável perante auditores e reguladores.

Quanto custa um pentest

O custo de um pentest varia de acordo com o escopo, a complexidade e a profundidade, e no mercado brasileiro geralmente é precificado por projeto ou por dia de trabalho especializado. Não existe uma tabela de preços pois testar um único site corporativo e testar toda uma infraestrutura financeira são trabalhos de ordens de magnitude diferentes.

Os principais fatores que influenciam o preço:

  1. Tamanho do escopo: o número de IPs, aplicativos, endpoints e ambientes para testar.
  2. Teste do modelo: caixa preta, caixa cinza ou caixa branca (caixa branca geralmente exige mais horas).
  3. Complexidade técnica: aplicativos personalizados, arquitetura em nuvem e sistemas legados aumentam o esforço.
  4. Senioridade da equipe: profissionais com certificações como OSCP entregam uma profundidade que nenhuma ferramenta substitui, e isso se reflete no preço.
  5. Requisito de conformidade: testes voltados para PCI-DSS ou ISO 27001 exigem rigor adicional na documentação.

O erro clássico na compra é escolher pelo menor preço. Um teste barato geralmente é uma varredura automatizada disfarçada de pentest, que entrega uma lista de falsos positivos e nenhuma prova de exploração. O critério de decisão correto é a profundidade da metodologia e a qualidade do relatório, não o preço isoladamente.

Testes de penetração e conformidade: LGPD, ISO 27001 e PCI-DSS

Um pentest é um controle reconhecido por múltiplos padrões de segurança e proteção de dados, servindo como evidência objetiva de que a organização avalia ativamente seus riscos. Embora nem todo padrão use a palavra “pentest” literalmente, todos eles exigem a verificação regular de vulnerabilidades.

  • LGPD (Lei 13.709/2018, Brasil): requer medidas de segurança técnicas e administrativas para proteger dados pessoais. Um pentest é uma das maneiras mais diretas de demonstrar essa diligência à ANPD, especialmente após um incidente.
  • ISO/IEC 27001:2022: aborda o gerenciamento contínuo de vulnerabilidades técnicas e a avaliação contínua de controles, e um pentest é a prática usual para atender a esses requisitos.
  • PCI-DSS v4.0: para qualquer pessoa que processe dados de titulares de cartão, o teste de penetração é obrigatório, com frequência definida e um novo teste após alterações significativas.
  • Resolução do BACEN 4.658 (Brasil): para instituições financeiras, reforça a exigência de testes e avaliações de segurança.

 

Em resumo, um pentest não é mais apenas uma boa prática técnica. Tornou-se um item de conformidade e uma defesa legal.

Com que frequência executar um pentest

A recomendação do mercado é realizar um pentest pelo menos uma vez por ano, e sempre após mudanças significativas na infraestrutura, em aplicações críticas ou na arquitetura de rede. A frequência anual é o piso, não o teto.

Gatilhos que justificam um novo teste independentemente do calendário: lançamento ou atualização pesada de um aplicativo, migração para a nuvem, uma fusão ou aquisição, um requisito de um novo contrato ou auditoria e a resposta a um incidente. Ambientes de alta criticidade, como o setor financeiro, tendem a adotar uma cadência semestral ou trimestral para seus ativos mais expostos.

Como o Mercurius executa um teste de penetração

A Mercurius aborda o pentesting com uma mentalidade verdadeiramente ofensiva, executada por engenheiros certificados (OSCP, OSWE, entre outras credenciais) que pensam como o atacante para proteger como um estrategista. O diferencial não é rodar uma ferramenta. É comprovar o risco explorável, mapear o caminho que um adversário percorreria e traduzir a descoberta técnica em uma decisão de negócios para a diretoria.

Todo projeto segue metodologias reconhecidas (PTES, OWASP, NIST SP 800-115) e é mapeado para o MITRE ATT&CK, com um relatório que prioriza a remediação por impacto real, não pela severidade genérica de um scanner.

Perguntas frequentes sobre pentest

Qual é a diferença entre um pentest e uma avaliação de vulnerabilidades? Uma avaliação de vulnerabilidade é automatizada e lista falhas potenciais em escala, sem provar que são exploráveis. Um pentest é executado por especialistas que exploram as falhas para provar que são reais e para medir o impacto de um comprometimento. Um aponta para risco teórico, o outro valida o risco explorável.

Um pentest é exigido por lei? Leis de proteção de dados como a LGPD no Brasil não usam a palavra pentest literalmente, mas exigem medidas de segurança técnica adequadas para proteger dados pessoais, e um pentest é uma das formas mais aceitas de demonstrar essa diligência. Para empresas que processam dados de titulares de cartão, o PCI-DSS torna o teste explicitamente obrigatório.

Quanto tempo leva um pentest? Depende do escopo. Um teste focado em uma única aplicação geralmente leva de uma a duas semanas. Um projeto que abrange infraestrutura externa e interna, além de aplicações, pode se estender por várias semanas, incluindo documentação e o reteste de correções.

O que um bom relatório de pentest deve conter? Um relatório sério inclui um resumo executivo em linguagem de negócios, a lista de achados com prova de exploração, a classificação de gravidade e impacto real, uma recomendação de remediação priorizada e, idealmente, um mapeamento para o MITRE ATT&CK. Um relatório que apenas entrega uma lista de saída de scanner não é um pentest.

Um pentest pode derrubar seus sistemas? Um pentest profissional é executado com regras de engajamento acordadas que minimizam o risco operacional. Técnicas de alto impacto são executadas apenas com autorização explícita e, quando necessário, em um ambiente controlado ou fora do horário de pico. A discussão de escopo na fase de planejamento existe justamente para isso.

Qual é a diferença entre um pentest e uma Red Team? Um pentest tem um escopo e prazo definidos e foca em encontrar e provar vulnerabilidades em alvos específicos. Uma Red Team simula um adversário real e persistente, sem um escopo restrito e sem avisar a equipe de defesa, para também testar a capacidade de detecção e resposta da organização. Red Team é o próximo passo para empresas com controles já maduros.

Veja sua rede como um atacante faria — antes que ele o faça!

A Mercurius realiza testes de Red Team com liderança manual, testes de penetração e avaliações de nuvem que não apenas listam vulnerabilidades, mas provam o caminho exato que um adversário seguiria para chegar aos seus ativos mais valiosos e como fechá-lo.

Caminho de Ataque → Joias da Coroa TIME VERMELHO
Reconhecimento Externo TA0043 · Ativo exposto Acesso Inicial TA0001 · Exploração da Web Escalonamento Priv. TA0004 · configuração incorreta Movimento lateral TA0008 · reutilização de créditos Joias da Coroa
5 passos · 0 alertas acionados ● objetivo alcançado

Saiba mais sobre o serviço de pentest e segurança ofensiva da Mercurius

Você gostou do conteúdo? Compartilhe com sua rede!

Categorias

Últimos conteúdos