O que é Pentest?
Pentest, abreviação de Penetration Testing (Teste de Intrusão ou Teste de Penetração), é um processo sistemático de avaliação de segurança no qual especialistas qualificados simulam ataques reais contra sistemas, redes, aplicações e infraestrutura de uma organização, com autorização prévia e escopo definido.
O objetivo principal é identificar vulnerabilidades exploráveis antes que criminosos cibernéticos o façam. Diferente de um scanner automático de vulnerabilidades, o pentest envolve raciocínio humano criativo, cadeia de exploração (exploit chaining) e análise de impacto de negócio.
"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas." — Sun Tzu, A Arte da Guerra
Por que contratar um Pentest?
Empresas que nunca realizaram um teste de intrusão frequentemente descobrem vulnerabilidades críticas que já existiam há meses ou anos, muitas vezes exploráveis por atacantes com habilidade moderada. Os principais motivos para contratar são:
- Identificação proativa de vulnerabilidades antes de uma violação real
- Conformidade regulatória: ISO 27001 (controle A.8.8), PCI-DSS, LGPD e BACEN exigem testes periódicos
- Validação de controles de segurança: firewalls, WAFs e IDS podem ter lacunas
- Treinamento de equipes de defesa (Blue Team) com cenários reais
- Relatórios técnicos e executivos para tomada de decisão e investimento em segurança
Tipos de Pentest
Por escopo
| Tipo | Alvo | Quando usar |
|---|---|---|
| Pentest de Rede | Infraestrutura, roteadores, switches, firewalls | Exposição de serviços externos ou rede interna |
| Pentest Web | Aplicações HTTP/HTTPS, APIs REST/GraphQL | Aplicações voltadas à internet |
| Pentest Mobile | Apps iOS e Android | Aplicativos com dados sensíveis |
| Pentest Cloud | AWS, Azure, GCP — IAM, S3, funções serverless | Infraestrutura em nuvem |
| Pentest Social Engineering | Funcionários, processos humanos | Phishing, vishing, pretexting |
| Red Team | Organização completa | Simulação de APT (ameaça persistente avançada) |
Por nível de informação fornecida
- Black Box: O pentester não recebe nenhuma informação prévia. Simula um atacante externo sem conhecimento interno. Tempo e custo maiores, cobertura menor.
- Gray Box: O pentester recebe informações parciais (credenciais de usuário comum, diagrama de rede). Equilíbrio entre realismo e eficiência. Mais comum em projetos corporativos.
- White Box: Acesso total ao código-fonte, documentação, credenciais de admin. Cobertura máxima, ideal para auditoria interna ou revisão de código seguro.
As 5 Fases do Pentest (Metodologia PTES)
O PTES (Penetration Testing Execution Standard) é a metodologia mais adotada no mercado. Define cinco fases principais:
1. Reconhecimento (Reconnaissance)
Coleta passiva e ativa de informações sobre o alvo: subdomínios, tecnologias utilizadas, e-mails de funcionários, registros DNS, certificados SSL, perfis em redes sociais e informações públicas de WHOIS.
Ferramentas: Shodan, theHarvester, Maltego, Amass, Subfinder, OSINT Framework
2. Varredura e Enumeração
Identificação de portas abertas, serviços em execução, versões de software e possíveis vetores de ataque. Inclui varredura de vulnerabilidades conhecidas (CVEs).
Ferramentas: Nmap, Masscan, Nessus, OpenVAS, Nikto
3. Exploração
Tentativa de exploração das vulnerabilidades identificadas para confirmar se são realmente exploráveis. Esta fase requer autorização explícita por escrito do contratante.
Ferramentas: Metasploit Framework, Burp Suite Pro, SQLmap, Impacket
4. Pós-exploração
Após o acesso inicial, o pentester verifica o que é possível fazer: escalada de privilégios, movimentação lateral, acesso a dados sensíveis, persistência e exfiltração de dados simulada.
5. Relatório
Documentação completa com todas as vulnerabilidades encontradas, classificadas por severidade (CVSS v3.1), evidências, impacto potencial e recomendações de remediação priorizadas.
CVSS — Como são classificadas as vulnerabilidades
O Common Vulnerability Scoring System (CVSS) v3.1 é o padrão internacional para classificação de severidade de vulnerabilidades:
| Score | Severidade | Ação necessária |
|---|---|---|
| 9.0 – 10.0 | Crítica | Correção imediata (24–72h) |
| 7.0 – 8.9 | Alta | Correção urgente (7 dias) |
| 4.0 – 6.9 | Média | Plano de remediação (30 dias) |
| 0.1 – 3.9 | Baixa | Próximo ciclo de manutenção |
Ferramentas mais usadas em Pentests
| Ferramenta | Categoria | Descrição |
|---|---|---|
| Kali Linux | SO especializado | Distribuição Linux com 600+ ferramentas de segurança |
| Metasploit | Exploração | Framework de exploração de vulnerabilidades |
| Burp Suite | Web App | Proxy de intercepção e scanner para aplicações web |
| Nmap | Reconhecimento | Scanner de rede e descoberta de serviços |
| Wireshark | Análise de tráfego | Captura e análise de pacotes de rede |
| Hashcat | Criptoanálise | Quebra de hashes por força bruta e dicionário |
| SQLmap | Web App | Detecção e exploração automática de SQL Injection |
| BloodHound | Active Directory | Mapeamento visual de caminhos de ataque no AD |
Quanto custa um Pentest?
O custo varia conforme escopo, complexidade e metodologia:
- Pentest Web (1 aplicação): R$ 4.500 – R$ 15.000
- Pentest de Infraestrutura: R$ 6.800 – R$ 25.000
- Red Team (empresa completa): R$ 30.000 – R$ 120.000+
- Pentest Mobile (iOS + Android): R$ 8.000 – R$ 20.000
Como contratar um Pentest?
Antes de contratar, certifique-se de:
- Definir claramente o escopo (quais sistemas, IPs, URLs e funcionalidades serão testados)
- Exigir um contrato formal com cláusula de autorização explícita
- Verificar certificações dos profissionais: OSCP, CEH, GPEN, CRTE
- Solicitar exemplos de relatórios anteriores (anonimizados)
- Definir janela de execução para minimizar impacto em produção