Penetration testing — ou pentest — é um processo sistemático e autorizado de simulação de ataques cibernéticos reais contra sistemas, redes, aplicações ou infraestrutura de uma organização. O objetivo é identificar vulnerabilidades exploráveis antes que agentes maliciosos o façam, quantificar o risco concreto e fornecer um plano de remediação priorizado. Diferentemente de uma auditoria de conformidade, o pentest comprova, na prática, se uma falha é realmente explorável e qual o impacto para o negócio.

Penetration Testing vs. Scan de Vulnerabilidades

Uma confusão frequente no mercado é tratar scan automatizado de vulnerabilidades como sinônimo de pentest. São atividades complementares, porém distintas. O scan de vulnerabilidades utiliza ferramentas como Nessus, Qualys ou OpenVAS para inventariar falhas conhecidas (CVEs) de forma automatizada. Ele é rápido, escalável e gera listas de problemas potenciais — mas não confirma se cada falha é de fato explorável no contexto específico daquele ambiente, nem avalia encadeamento de vulnerabilidades, lógica de negócio ou vetores humanos.

O penetration testing vai além: um profissional qualificado analisa os resultados do scan, descarta falsos positivos, encadeia vulnerabilidades e as explora ativamente para demonstrar impacto real. O relatório de pentest contém evidências de exploração, não apenas listagens.

Tipos de Penetration Testing por Nível de Conhecimento

A abordagem varia conforme o nível de informação fornecido ao testador antes do início do trabalho.

ModalidadeInformações fornecidasSimulaCobertura
Black BoxApenas o alvo (domínio/IP)Atacante externo sem informações privilegiadasMenor — depende de recon
Grey BoxCredenciais de usuário comum, documentação parcialInsider de baixo privilégio ou acesso vazadoIntermediária
White BoxCódigo-fonte, arquitetura, credenciais de adminAuditor com acesso total ou insider privilegiadoMáxima — menor tempo

Principais Alvos e Superfícies de Ataque

O penetration testing pode ser direcionado a diferentes camadas da infraestrutura de TI. A escolha do alvo define as técnicas aplicadas, as ferramentas utilizadas e os profissionais envolvidos.

AlvoExemplos de vetores avaliadosNormas de referência
Aplicações WebInjeção SQL, XSS, CSRF, IDOR, falhas de autenticação, upload maliciosoOWASP Top 10, OWASP WSTG
APIs (REST/GraphQL/SOAP)Broken Object Level Authorization, Mass Assignment, exposição de dados, rate limit ausenteOWASP API Security Top 10
Aplicações Mobile (iOS/Android)Armazenamento inseguro, comunicação sem TLS, engenharia reversa de binários, deeplinks insegurosOWASP Mobile Top 10, OWASP MASTG
Redes e InfraestruturaPortas expostas, protocolos legados (SMBv1, Telnet), pivoting, segmentação inadequadaNIST SP 800-115, PTES
Ambientes Cloud (AWS, Azure, GCP)IAM excessivo, buckets públicos, metadados IMDS, configurações de segurança padrãoCIS Benchmarks, CSA CCM
Wireless e Segurança FísicaWPA2 enterprise fraco, rogue APs, redes de visitantes, tailgating, lockpickingOSSTMM, PTES

Metodologias de Penetration Testing

A execução de um pentest profissional não é improvisada. Existem metodologias e frameworks que padronizam as etapas, garantem cobertura e asseguram reprodutibilidade.

PTES — Penetration Testing Execution Standard

O PTES é o padrão de fato para condução de testes de invasão. Define sete fases: pré-engajamento, inteligência, modelagem de ameaças, análise de vulnerabilidades, exploração, pós-exploração e relatório. É o framework base adotado pela maioria dos times de pentest no mundo.

OWASP Testing Guide (WSTG e MASTG)

O OWASP Web Security Testing Guide cobre mais de 90 casos de teste para aplicações web, organizados por categoria (autenticação, autorização, validação de entrada, criptografia, entre outros). O OWASP Mobile Application Security Testing Guide (MASTG) é o equivalente para apps iOS e Android. Ambos são de uso livre e amplamente reconhecidos pelo mercado.

NIST SP 800-115 — Technical Guide to Information Security Testing

Publicado pelo National Institute of Standards and Technology dos EUA, o NIST SP 800-115 fornece orientações técnicas para planejamento, execução e análise de testes de segurança em sistemas de informação governamentais e corporativos. É referência obrigatória em ambientes regulados.

OSSTMM — Open Source Security Testing Methodology Manual

Desenvolvido pelo ISECOM, o OSSTMM introduz o conceito de Attack Surface e métricas quantitativas de segurança (RAV — Risk Assessment Values). É particularmente útil em testes de redes físicas, wireless e engenharia social, onde a mensuração objetiva do nível de segurança é desejável.

Fases do Penetration Testing

Independentemente da metodologia adotada, um pentest completo percorre um ciclo estruturado de fases que garante cobertura e rastreabilidade.

  1. Planejamento e Autorização: definição de escopo (IPs, domínios, sistemas incluídos e excluídos), janela de testes, regras de engajamento (RoE), contatos de emergência e acordos legais (MTP, NDA). Nenhuma atividade é iniciada sem autorização formal por escrito.
  2. Reconhecimento (Recon): coleta de informações em fontes passivas (OSINT via Shodan, Censys, WHOIS, Google Dorks, LinkedIn, certificados TLS em crt.sh) e ativas (varredura de portas com Nmap, enumeração de subdomínios, banner grabbing). O objetivo é mapear a superfície de ataque com o menor ruído possível.
  3. Análise de Vulnerabilidades (Scanning): uso de scanners automatizados combinados com análise manual para identificar CVEs, misconfigurações, versões vulneráveis de software, endpoints expostos e falhas de lógica de negócio que scanners não detectam.
  4. Exploração: tentativa controlada de explorar as vulnerabilidades confirmadas para demonstrar impacto real. Inclui exploits públicos (Metasploit, ExploitDB), scripts customizados, abuso de lógica de autenticação e encadeamento de falhas menores para comprometimento maior.
  5. Pós-exploração e Movimento Lateral: avaliação do que um atacante conseguiria após o comprometimento inicial — extração de hashes de senhas, dump de credenciais, pivoting para segmentos de rede adjacentes, acesso a bancos de dados e documentos sensíveis, escalada de privilégios até Domain Admin ou equivalente cloud.
  6. Cobertura e Relatório: remoção de todos os artefatos instalados durante o teste (scripts, backdoors de teste, contas criadas), coleta final de evidências e produção do relatório técnico e executivo com todas as vulnerabilidades classificadas por CVSS e impacto de negócio.
  7. Reteste: após a implementação das correções pelo cliente, o time de pentest valida se as vulnerabilidades críticas foram efetivamente corrigidas, emitindo um certificado de remediação.

Classificação de Vulnerabilidades com CVSS

O Common Vulnerability Scoring System (CVSS), mantido pelo FIRST, é o padrão global para classificação quantitativa de vulnerabilidades. A pontuação varia de 0 a 10 e é calculada com base em métricas de base (vetor de ataque, complexidade, privilégios necessários, impacto em confidencialidade, integridade e disponibilidade), temporais e ambientais.

  • Crítica (9,0–10,0): exploração remota sem autenticação, impacto total. Remediação imediata.
  • Alta (7,0–8,9): exploração com baixo esforço, impacto significativo. Remediação em até 30 dias.
  • Média (4,0–6,9): exploração com condições específicas, impacto parcial. Remediação em 90 dias.
  • Baixa (0,1–3,9): impacto limitado ou exploração muito complexa. Tratar no próximo ciclo de hardening.

Em relatórios de pentest, o CVSS é sempre complementado pela avaliação de impacto ao negócio: uma vulnerabilidade CVSS 5,5 num sistema de produção crítico pode ter prioridade maior que uma CVSS 8,0 em ambiente de homologação isolado.

Red Team vs. Penetration Testing

Pentest e Red Team são frequentemente confundidos, mas têm objetivos e dinâmicas distintas.

O penetration testing tem escopo definido, duração determinada (tipicamente 5 a 15 dias úteis por alvo) e objetivo de encontrar o maior número possível de vulnerabilidades dentro do escopo acordado. O cliente geralmente tem ciência de que o teste está acontecendo (time de TI pode monitorar).

O Red Team simula grupos APT (Advanced Persistent Threat) com objetivos estratégicos reais (ex: exfiltrar determinado conjunto de dados, comprometer a conta de CFO, chegar ao ambiente OT/SCADA). A duração pode ser de semanas a meses, o time de defesa (Blue Team) não é informado previamente, e as técnicas incluem engenharia social avançada, phishing dirigido (spear phishing), ataques físicos e evasão de EDR/SIEM. O produto final é uma avaliação da capacidade de detecção e resposta da organização.

Escopo, Autorização e Aspectos Legais

A fronteira entre pentest profissional e crime cibernético é a autorização formal. No Brasil, a Lei nº 12.737/2012 (Lei Carolina Dieckmann) tipifica a invasão de dispositivos informáticos sem autorização. A execução de qualquer teste ofensivo exige, no mínimo, um documento de Memorando de Testes e Permissões (MTP) ou equivalente, com assinatura de representante legal da organização dona dos sistemas, identificação precisa dos alvos e janela de execução.

Outros elementos essenciais do escopo incluem: lista de IPs e domínios in-scope e out-of-scope, regras sobre disponibilidade (é permitido testar em horário comercial?), procedimento de emergência em caso de indisponibilidade acidental e política de divulgação responsável dos achados.

Entregáveis de um Penetration Testing Profissional

Um relatório de pentest de qualidade é um documento de negócio, não apenas técnico. Ele deve ser compreensível tanto pelo CISO quanto pelo CEO.

  • Resumo Executivo: visão geral do risco, principais achados e recomendações prioritárias em linguagem de negócio, sem jargão técnico excessivo.
  • Escopo e Metodologia: o que foi testado, como e por quem, com referência às metodologias utilizadas (PTES, OWASP, NIST SP 800-115).
  • Matriz de Vulnerabilidades: tabela consolidada com todas as vulnerabilidades encontradas, classificação CVSS, impacto de negócio e status de remediação.
  • Detalhamento Técnico: para cada vulnerabilidade: descrição, evidências (screenshots, payloads, logs), impacto, passos de reprodução e recomendação de remediação detalhada.
  • Plano de Remediação Priorizado: roadmap com as correções ordenadas por criticidade e esforço estimado de implementação.
  • Certificado de Reteste (opcional): validação formal de que as vulnerabilidades críticas foram corrigidas após a implementação das correções.

Frameworks e Referências Técnicas

A execução de pentest de qualidade se apoia em bases técnicas consolidadas. As principais referências da área incluem:

  • OWASP (Open Worldwide Application Security Project): WSTG, MASTG, API Security Top 10, OWASP Top 10.
  • NIST SP 800-115: Technical Guide to Information Security Testing and Assessment.
  • MITRE ATT&CK: base de conhecimento de táticas, técnicas e procedimentos (TTPs) de adversários reais, usada para mapear achados de pentest e Red Team a comportamentos conhecidos de grupos APT.
  • OSSTMM: Open Source Security Testing Methodology Manual (ISECOM).
  • PTES: Penetration Testing Execution Standard.
  • CIS Benchmarks: configurações seguras de referência para sistemas operacionais, cloud e aplicações.

Perguntas frequentes

Qual a diferença entre penetration testing e scan de vulnerabilidades?
O scan de vulnerabilidades é automatizado e lista falhas potenciais sem explorá-las; já o penetration testing é conduzido por profissionais que exploram as falhas de ponta a ponta, simulando o comportamento real de um atacante para avaliar o impacto concreto de cada vulnerabilidade no negócio.
Com que frequência uma empresa deve realizar um pentest?
A recomendação mínima é anual, mas mudanças relevantes na infraestrutura, lançamento de novas aplicações, fusões e aquisições ou exigências regulatórias (PCI-DSS, ISO 27001, LGPD) podem demandar testes adicionais ao longo do ano.
O que é um pentest black box, grey box e white box?
No black box o testador não recebe informações prévias, simulando um atacante externo. No grey box recebe acesso parcial (credenciais de usuário comum, por exemplo). No white box tem acesso total à documentação, código-fonte e arquitetura, permitindo cobertura máxima e menor tempo de execução.
Qual a diferença entre Red Team e penetration testing?
O pentest tem escopo definido, duração curta e foco em identificar o maior número de vulnerabilidades. O Red Team simula adversários reais com objetivos estratégicos (acesso a dados críticos, movimento lateral prolongado), usando técnicas de evasão e engenharia social em campanhas que podem durar semanas ou meses.
O que é entregue ao final de um penetration testing?
O relatório final inclui: resumo executivo para gestores, detalhamento técnico de cada vulnerabilidade com evidências (prints, payloads, logs), classificação CVSS, criticidade de negócio, plano de remediação priorizado e recomendações de reteste para validar as correções.
Penetration testing é legal no Brasil?
Sim, desde que executado com autorização formal e escrita do dono dos sistemas (Regras de Engajamento / Rules of Engagement). Sem autorização, a conduta pode configurar crime previsto na Lei 12.737/2012 (Lei Carolina Dieckmann) e no Marco Civil da Internet. A Decripte sempre opera com RoE assinado antes de qualquer teste.

Como a Decripte pode ajudar

A Decripte executa penetration testing e Red Team para empresas de todos os portes — do MEI com dezenas de colaboradores a corporações com mais de 100.000 funcionários. Nossos testes seguem metodologias reconhecidas internacionalmente (PTES, OWASP, NIST SP 800-115, MITRE ATT&CK) e são conduzidos por especialistas certificados. Entregamos relatórios executivos e técnicos com plano de remediação priorizado, acompanhamento pós-entrega e reteste incluído. Se a sua organização precisa comprovar sua postura de segurança para clientes, parceiros ou reguladores — ou simplesmente quer saber onde está vulnerável antes que um atacante descubra —, fale com a Decripte.