Penetration testing — ou pentest — é um processo sistemático e autorizado de simulação de ataques cibernéticos reais contra sistemas, redes, aplicações ou infraestrutura de uma organização. O objetivo é identificar vulnerabilidades exploráveis antes que agentes maliciosos o façam, quantificar o risco concreto e fornecer um plano de remediação priorizado. Diferentemente de uma auditoria de conformidade, o pentest comprova, na prática, se uma falha é realmente explorável e qual o impacto para o negócio.
Penetration Testing vs. Scan de Vulnerabilidades
Uma confusão frequente no mercado é tratar scan automatizado de vulnerabilidades como sinônimo de pentest. São atividades complementares, porém distintas. O scan de vulnerabilidades utiliza ferramentas como Nessus, Qualys ou OpenVAS para inventariar falhas conhecidas (CVEs) de forma automatizada. Ele é rápido, escalável e gera listas de problemas potenciais — mas não confirma se cada falha é de fato explorável no contexto específico daquele ambiente, nem avalia encadeamento de vulnerabilidades, lógica de negócio ou vetores humanos.
O penetration testing vai além: um profissional qualificado analisa os resultados do scan, descarta falsos positivos, encadeia vulnerabilidades e as explora ativamente para demonstrar impacto real. O relatório de pentest contém evidências de exploração, não apenas listagens.
Tipos de Penetration Testing por Nível de Conhecimento
A abordagem varia conforme o nível de informação fornecido ao testador antes do início do trabalho.
| Modalidade | Informações fornecidas | Simula | Cobertura |
|---|---|---|---|
| Black Box | Apenas o alvo (domínio/IP) | Atacante externo sem informações privilegiadas | Menor — depende de recon |
| Grey Box | Credenciais de usuário comum, documentação parcial | Insider de baixo privilégio ou acesso vazado | Intermediária |
| White Box | Código-fonte, arquitetura, credenciais de admin | Auditor com acesso total ou insider privilegiado | Máxima — menor tempo |
Principais Alvos e Superfícies de Ataque
O penetration testing pode ser direcionado a diferentes camadas da infraestrutura de TI. A escolha do alvo define as técnicas aplicadas, as ferramentas utilizadas e os profissionais envolvidos.
| Alvo | Exemplos de vetores avaliados | Normas de referência |
|---|---|---|
| Aplicações Web | Injeção SQL, XSS, CSRF, IDOR, falhas de autenticação, upload malicioso | OWASP Top 10, OWASP WSTG |
| APIs (REST/GraphQL/SOAP) | Broken Object Level Authorization, Mass Assignment, exposição de dados, rate limit ausente | OWASP API Security Top 10 |
| Aplicações Mobile (iOS/Android) | Armazenamento inseguro, comunicação sem TLS, engenharia reversa de binários, deeplinks inseguros | OWASP Mobile Top 10, OWASP MASTG |
| Redes e Infraestrutura | Portas expostas, protocolos legados (SMBv1, Telnet), pivoting, segmentação inadequada | NIST SP 800-115, PTES |
| Ambientes Cloud (AWS, Azure, GCP) | IAM excessivo, buckets públicos, metadados IMDS, configurações de segurança padrão | CIS Benchmarks, CSA CCM |
| Wireless e Segurança Física | WPA2 enterprise fraco, rogue APs, redes de visitantes, tailgating, lockpicking | OSSTMM, PTES |
Metodologias de Penetration Testing
A execução de um pentest profissional não é improvisada. Existem metodologias e frameworks que padronizam as etapas, garantem cobertura e asseguram reprodutibilidade.
PTES — Penetration Testing Execution Standard
O PTES é o padrão de fato para condução de testes de invasão. Define sete fases: pré-engajamento, inteligência, modelagem de ameaças, análise de vulnerabilidades, exploração, pós-exploração e relatório. É o framework base adotado pela maioria dos times de pentest no mundo.
OWASP Testing Guide (WSTG e MASTG)
O OWASP Web Security Testing Guide cobre mais de 90 casos de teste para aplicações web, organizados por categoria (autenticação, autorização, validação de entrada, criptografia, entre outros). O OWASP Mobile Application Security Testing Guide (MASTG) é o equivalente para apps iOS e Android. Ambos são de uso livre e amplamente reconhecidos pelo mercado.
NIST SP 800-115 — Technical Guide to Information Security Testing
Publicado pelo National Institute of Standards and Technology dos EUA, o NIST SP 800-115 fornece orientações técnicas para planejamento, execução e análise de testes de segurança em sistemas de informação governamentais e corporativos. É referência obrigatória em ambientes regulados.
OSSTMM — Open Source Security Testing Methodology Manual
Desenvolvido pelo ISECOM, o OSSTMM introduz o conceito de Attack Surface e métricas quantitativas de segurança (RAV — Risk Assessment Values). É particularmente útil em testes de redes físicas, wireless e engenharia social, onde a mensuração objetiva do nível de segurança é desejável.
Fases do Penetration Testing
Independentemente da metodologia adotada, um pentest completo percorre um ciclo estruturado de fases que garante cobertura e rastreabilidade.
- Planejamento e Autorização: definição de escopo (IPs, domínios, sistemas incluídos e excluídos), janela de testes, regras de engajamento (RoE), contatos de emergência e acordos legais (MTP, NDA). Nenhuma atividade é iniciada sem autorização formal por escrito.
- Reconhecimento (Recon): coleta de informações em fontes passivas (OSINT via Shodan, Censys, WHOIS, Google Dorks, LinkedIn, certificados TLS em crt.sh) e ativas (varredura de portas com Nmap, enumeração de subdomínios, banner grabbing). O objetivo é mapear a superfície de ataque com o menor ruído possível.
- Análise de Vulnerabilidades (Scanning): uso de scanners automatizados combinados com análise manual para identificar CVEs, misconfigurações, versões vulneráveis de software, endpoints expostos e falhas de lógica de negócio que scanners não detectam.
- Exploração: tentativa controlada de explorar as vulnerabilidades confirmadas para demonstrar impacto real. Inclui exploits públicos (Metasploit, ExploitDB), scripts customizados, abuso de lógica de autenticação e encadeamento de falhas menores para comprometimento maior.
- Pós-exploração e Movimento Lateral: avaliação do que um atacante conseguiria após o comprometimento inicial — extração de hashes de senhas, dump de credenciais, pivoting para segmentos de rede adjacentes, acesso a bancos de dados e documentos sensíveis, escalada de privilégios até Domain Admin ou equivalente cloud.
- Cobertura e Relatório: remoção de todos os artefatos instalados durante o teste (scripts, backdoors de teste, contas criadas), coleta final de evidências e produção do relatório técnico e executivo com todas as vulnerabilidades classificadas por CVSS e impacto de negócio.
- Reteste: após a implementação das correções pelo cliente, o time de pentest valida se as vulnerabilidades críticas foram efetivamente corrigidas, emitindo um certificado de remediação.
Classificação de Vulnerabilidades com CVSS
O Common Vulnerability Scoring System (CVSS), mantido pelo FIRST, é o padrão global para classificação quantitativa de vulnerabilidades. A pontuação varia de 0 a 10 e é calculada com base em métricas de base (vetor de ataque, complexidade, privilégios necessários, impacto em confidencialidade, integridade e disponibilidade), temporais e ambientais.
- Crítica (9,0–10,0): exploração remota sem autenticação, impacto total. Remediação imediata.
- Alta (7,0–8,9): exploração com baixo esforço, impacto significativo. Remediação em até 30 dias.
- Média (4,0–6,9): exploração com condições específicas, impacto parcial. Remediação em 90 dias.
- Baixa (0,1–3,9): impacto limitado ou exploração muito complexa. Tratar no próximo ciclo de hardening.
Em relatórios de pentest, o CVSS é sempre complementado pela avaliação de impacto ao negócio: uma vulnerabilidade CVSS 5,5 num sistema de produção crítico pode ter prioridade maior que uma CVSS 8,0 em ambiente de homologação isolado.
Red Team vs. Penetration Testing
Pentest e Red Team são frequentemente confundidos, mas têm objetivos e dinâmicas distintas.
O penetration testing tem escopo definido, duração determinada (tipicamente 5 a 15 dias úteis por alvo) e objetivo de encontrar o maior número possível de vulnerabilidades dentro do escopo acordado. O cliente geralmente tem ciência de que o teste está acontecendo (time de TI pode monitorar).
O Red Team simula grupos APT (Advanced Persistent Threat) com objetivos estratégicos reais (ex: exfiltrar determinado conjunto de dados, comprometer a conta de CFO, chegar ao ambiente OT/SCADA). A duração pode ser de semanas a meses, o time de defesa (Blue Team) não é informado previamente, e as técnicas incluem engenharia social avançada, phishing dirigido (spear phishing), ataques físicos e evasão de EDR/SIEM. O produto final é uma avaliação da capacidade de detecção e resposta da organização.
Escopo, Autorização e Aspectos Legais
A fronteira entre pentest profissional e crime cibernético é a autorização formal. No Brasil, a Lei nº 12.737/2012 (Lei Carolina Dieckmann) tipifica a invasão de dispositivos informáticos sem autorização. A execução de qualquer teste ofensivo exige, no mínimo, um documento de Memorando de Testes e Permissões (MTP) ou equivalente, com assinatura de representante legal da organização dona dos sistemas, identificação precisa dos alvos e janela de execução.
Outros elementos essenciais do escopo incluem: lista de IPs e domínios in-scope e out-of-scope, regras sobre disponibilidade (é permitido testar em horário comercial?), procedimento de emergência em caso de indisponibilidade acidental e política de divulgação responsável dos achados.
Entregáveis de um Penetration Testing Profissional
Um relatório de pentest de qualidade é um documento de negócio, não apenas técnico. Ele deve ser compreensível tanto pelo CISO quanto pelo CEO.
- Resumo Executivo: visão geral do risco, principais achados e recomendações prioritárias em linguagem de negócio, sem jargão técnico excessivo.
- Escopo e Metodologia: o que foi testado, como e por quem, com referência às metodologias utilizadas (PTES, OWASP, NIST SP 800-115).
- Matriz de Vulnerabilidades: tabela consolidada com todas as vulnerabilidades encontradas, classificação CVSS, impacto de negócio e status de remediação.
- Detalhamento Técnico: para cada vulnerabilidade: descrição, evidências (screenshots, payloads, logs), impacto, passos de reprodução e recomendação de remediação detalhada.
- Plano de Remediação Priorizado: roadmap com as correções ordenadas por criticidade e esforço estimado de implementação.
- Certificado de Reteste (opcional): validação formal de que as vulnerabilidades críticas foram corrigidas após a implementação das correções.
Frameworks e Referências Técnicas
A execução de pentest de qualidade se apoia em bases técnicas consolidadas. As principais referências da área incluem:
- OWASP (Open Worldwide Application Security Project): WSTG, MASTG, API Security Top 10, OWASP Top 10.
- NIST SP 800-115: Technical Guide to Information Security Testing and Assessment.
- MITRE ATT&CK: base de conhecimento de táticas, técnicas e procedimentos (TTPs) de adversários reais, usada para mapear achados de pentest e Red Team a comportamentos conhecidos de grupos APT.
- OSSTMM: Open Source Security Testing Methodology Manual (ISECOM).
- PTES: Penetration Testing Execution Standard.
- CIS Benchmarks: configurações seguras de referência para sistemas operacionais, cloud e aplicações.
Perguntas frequentes
- Qual a diferença entre penetration testing e scan de vulnerabilidades?
- O scan de vulnerabilidades é automatizado e lista falhas potenciais sem explorá-las; já o penetration testing é conduzido por profissionais que exploram as falhas de ponta a ponta, simulando o comportamento real de um atacante para avaliar o impacto concreto de cada vulnerabilidade no negócio.
- Com que frequência uma empresa deve realizar um pentest?
- A recomendação mínima é anual, mas mudanças relevantes na infraestrutura, lançamento de novas aplicações, fusões e aquisições ou exigências regulatórias (PCI-DSS, ISO 27001, LGPD) podem demandar testes adicionais ao longo do ano.
- O que é um pentest black box, grey box e white box?
- No black box o testador não recebe informações prévias, simulando um atacante externo. No grey box recebe acesso parcial (credenciais de usuário comum, por exemplo). No white box tem acesso total à documentação, código-fonte e arquitetura, permitindo cobertura máxima e menor tempo de execução.
- Qual a diferença entre Red Team e penetration testing?
- O pentest tem escopo definido, duração curta e foco em identificar o maior número de vulnerabilidades. O Red Team simula adversários reais com objetivos estratégicos (acesso a dados críticos, movimento lateral prolongado), usando técnicas de evasão e engenharia social em campanhas que podem durar semanas ou meses.
- O que é entregue ao final de um penetration testing?
- O relatório final inclui: resumo executivo para gestores, detalhamento técnico de cada vulnerabilidade com evidências (prints, payloads, logs), classificação CVSS, criticidade de negócio, plano de remediação priorizado e recomendações de reteste para validar as correções.
- Penetration testing é legal no Brasil?
- Sim, desde que executado com autorização formal e escrita do dono dos sistemas (Regras de Engajamento / Rules of Engagement). Sem autorização, a conduta pode configurar crime previsto na Lei 12.737/2012 (Lei Carolina Dieckmann) e no Marco Civil da Internet. A Decripte sempre opera com RoE assinado antes de qualquer teste.
Como a Decripte pode ajudar
A Decripte executa penetration testing e Red Team para empresas de todos os portes — do MEI com dezenas de colaboradores a corporações com mais de 100.000 funcionários. Nossos testes seguem metodologias reconhecidas internacionalmente (PTES, OWASP, NIST SP 800-115, MITRE ATT&CK) e são conduzidos por especialistas certificados. Entregamos relatórios executivos e técnicos com plano de remediação priorizado, acompanhamento pós-entrega e reteste incluído. Se a sua organização precisa comprovar sua postura de segurança para clientes, parceiros ou reguladores — ou simplesmente quer saber onde está vulnerável antes que um atacante descubra —, fale com a Decripte.
