Neste artigo
O que é Pentest e Por Que é Importante
O teste de penetração (pentest) é uma avaliação de segurança que simula ataques reais contra sistemas, redes ou aplicações de uma organização. Diferente de scanners automatizados de vulnerabilidades, o pentest envolve profissionais qualificados que pensam e agem como atacantes reais, utilizando criatividade e conhecimento técnico para encontrar falhas que ferramentas automatizadas não detectariam.
Existem diversas formas de classificar testes de penetração. As três principais categorias são: por nível de conhecimento fornecido ao testador (Black Box, White Box, Gray Box), por alvo do teste (rede, web, mobile, API, cloud) e por objetivo (compliance, red team, bug bounty). Cada abordagem tem vantagens específicas e é adequada para diferentes cenários.
Antes de contratar um pentest, é fundamental entender os diferentes tipos disponíveis e qual melhor atende aos objetivos da sua organização. Este guia detalha cada modalidade para auxiliar nessa decisão. Para conhecer as metodologias e frameworks utilizados na execução, consulte nosso artigo sobre frameworks de pentest como PTES, OWASP e NIST.
Tipos de Pentest por Nível de Conhecimento
A classificação mais comum de pentests baseia-se na quantidade de informação fornecida ao testador antes do início dos trabalhos. Essa abordagem simula diferentes perfis de atacantes e tem impacto direto no escopo, duração e profundidade dos testes.
Black Box Testing (Caixa Preta)
Black Box - Teste de Caixa Preta
Simula um atacante externo sem conhecimento prévio do ambiente. O testador recebe apenas o escopo (quais sistemas podem ser testados) e deve descobrir tudo mais por conta própria, incluindo tecnologias, arquitetura e pontos de entrada.
Características do Black Box
- Informação fornecida: Apenas escopo (IPs, domínios, URLs autorizadas)
- Perspectiva simulada: Atacante externo, hacker oportunista
- Tempo necessário: Maior (30-50% gasto em reconhecimento)
- Realismo: Alto - simula ataque real
- Cobertura: Menor - limitada ao que o atacante consegue descobrir
Quando usar Black Box
- Avaliar a exposição real da organização a atacantes externos
- Testar a eficácia de controles de segurança perimetral
- Validar se informações sensíveis estão expostas publicamente
- Primeira avaliação de segurança (visão de atacante)
- Requisitos de compliance que exigem teste de perspectiva externa
Limitações
- Pode não identificar vulnerabilidades em áreas não descobertas
- Maior custo por hora de teste efetivo (tempo gasto em reconhecimento)
- Resultados dependem muito da habilidade do testador em OSINT
- Difícil garantir cobertura completa do ambiente
White Box Testing (Caixa Branca)
White Box - Teste de Caixa Branca
O testador recebe acesso total a informações do ambiente: código-fonte, documentação de arquitetura, diagramas de rede, credenciais de teste e acesso a desenvolvedores. Permite análise profunda e identificação máxima de vulnerabilidades.
Características do White Box
- Informação fornecida: Código-fonte, arquitetura, credenciais, documentação completa
- Perspectiva simulada: Insider malicioso, desenvolvedor, auditor
- Tempo necessário: Variável - mais eficiente por hora
- Realismo: Menor - atacantes externos raramente têm esse acesso
- Cobertura: Máxima - todas as áreas podem ser testadas
Quando usar White Box
- Aplicações críticas que exigem revisão profunda
- Desenvolvimento seguro (SSDLC) - revisão de código
- Identificação máxima de vulnerabilidades antes de produção
- Auditorias de conformidade detalhadas
- Avaliar riscos de insider threat
Limitações
- Não simula a perspectiva real de um atacante externo
- Requer colaboração significativa da equipe interna
- Pode gerar falsos positivos em vulnerabilidades não exploráveis
- Custo inicial maior (preparação de documentação)
Gray Box Testing (Caixa Cinza)
Gray Box - Teste de Caixa Cinza
Combina elementos de Black Box e White Box. O testador recebe conhecimento parcial, como credenciais de usuário comum, documentação de API ou diagrama de rede de alto nível. Equilibra realismo com eficiência.
Características do Gray Box
- Informação fornecida: Credenciais de usuário, documentação parcial, endpoints de API
- Perspectiva simulada: Usuário comprometido, parceiro, terceiro com acesso
- Tempo necessário: Equilibrado - eficiente e abrangente
- Realismo: Alto - cenário comum de ataque pós-phishing
- Cobertura: Boa - maior que Black Box, focada em áreas críticas
Quando usar Gray Box
- Avaliar o que um usuário comprometido poderia fazer
- Testar aplicações que requerem autenticação
- Simular ataques de phishing bem-sucedidos (pós-comprometimento)
- Melhor custo-benefício para a maioria das organizações
- Testar escalação de privilégios e movimentação lateral
Limitações
- Não substitui completamente Black Box ou White Box
- Escopo precisa ser bem definido para evitar ambiguidades
- Pode não identificar falhas no processo de autenticação inicial
Tipos de Pentest por Alvo
Além do nível de conhecimento, pentests são classificados pelo tipo de sistema ou tecnologia sendo testada. Cada alvo requer ferramentas, metodologias e conhecimentos especializados.
Pentest de Rede (Network Penetration Testing)
Foco: Infraestrutura de Rede
Avalia a segurança de redes internas e externas, incluindo firewalls, roteadores, switches, servidores e estações de trabalho. Pode ser dividido em:
- Pentest Externo: Avalia o perímetro da rede a partir da internet
- Pentest Interno: Simula um atacante já dentro da rede (insider ou pós-comprometimento)
Alvos comuns: Servidores expostos, serviços de rede (SSH, RDP, SMB), Active Directory, segmentação de rede, VPNs, wireless.
Pentest de Aplicação Web (Web Application Testing)
Foco: Aplicações Web
Testa aplicações web contra vulnerabilidades como as listadas no OWASP Top 10: injeção SQL, XSS, falhas de autenticação, exposição de dados sensíveis e outras.
Alvos comuns: Formulários de login, APIs REST/GraphQL, upload de arquivos, sessões, controle de acesso, lógica de negócios.
Pentest de Aplicação Mobile
Foco: Apps iOS e Android
Analisa aplicativos móveis em busca de vulnerabilidades no código, armazenamento de dados, comunicação com backend e implementação de controles de segurança. Segue o OWASP Mobile Security.
Alvos comuns: Armazenamento local inseguro, comunicação sem criptografia, engenharia reversa, APIs do backend, autenticação biométrica.
Pentest de API
Foco: APIs e Microsserviços
Especializado em testar interfaces de programação (REST, SOAP, GraphQL). APIs são frequentemente o elo mais fraco, pois podem expor dados e funcionalidades diretamente. Segue o OWASP API Security Top 10.
Alvos comuns: Autenticação de API, rate limiting, BOLA/IDOR, mass assignment, injeção, exposição excessiva de dados.
Pentest de Cloud
Foco: Ambientes AWS, Azure, GCP
Avalia a segurança de ambientes em nuvem, incluindo configurações de IAM, buckets S3/Blob Storage, funções serverless, Kubernetes e compliance com benchmarks como CIS.
Alvos comuns: Políticas IAM permissivas, recursos expostos publicamente, secrets em código, network security groups, container escapes.
Pentest de IoT/OT
Foco: Dispositivos e Sistemas Industriais
Testa dispositivos IoT (câmeras, sensores, wearables) e sistemas de tecnologia operacional (SCADA, PLCs, sistemas industriais). Requer conhecimento de protocolos específicos e hardware.
Alvos comuns: Firmware, comunicação wireless (Zigbee, BLE), interfaces físicas, protocolos industriais (Modbus, DNP3), default credentials.
Tipos de Pentest por Objetivo
Pentest de Compliance
Realizado para atender requisitos regulatórios específicos como PCI DSS (indústria de pagamentos), HIPAA (saúde), SOX (financeiro) ou LGPD. Segue escopos e metodologias definidas pelo padrão e resulta em relatórios formatados para auditoria.
Red Team Assessment
Vai além do pentest tradicional, simulando um adversário persistente com objetivo específico (exfiltrar dados, acessar sistema crítico). Utiliza táticas avançadas incluindo engenharia social, acesso físico e persistência. Testa não apenas sistemas, mas pessoas e processos. Saiba mais em nosso artigo sobre Red Team vs Blue Team vs Purple Team.
Bug Bounty
Programa contínuo onde pesquisadores externos são recompensados por encontrar vulnerabilidades. Diferente de pentests pontuais, oferece cobertura contínua. Plataformas como HackerOne, Bugcrowd e Intigriti facilitam a gestão desses programas.
Purple Team Exercise
Exercício colaborativo entre equipe ofensiva (Red Team) e defensiva (Blue Team). O objetivo é melhorar detecção e resposta, não apenas encontrar vulnerabilidades. Cada técnica de ataque é testada enquanto a equipe defensiva tenta detectar e responder.
Comparativo Completo dos Tipos de Pentest
| Característica | Black Box | Gray Box | White Box |
|---|---|---|---|
| Conhecimento prévio | Nenhum (apenas escopo) | Parcial (credenciais, docs) | Total (código, arquitetura) |
| Realismo | Alto (atacante externo) | Alto (usuario comprometido) | Baixo (auditor interno) |
| Cobertura | Limitada | Boa | Máxima |
| Tempo necessário | Maior | Moderado | Variável |
| Custo relativo | $$ | $$ | $$$ |
| Melhor para | Visão de atacante | Equilíbrio geral | Revisão profunda |
| Vulnerabilidades típicas | Exposição externa | Escalação de privilégios | Falhas de código |
Comparativo por Alvo
| Tipo | Duração Típica | Faixa de Preço (BRL) | Certificações Relevantes |
|---|---|---|---|
| Pentest Web | 1-3 semanas | R$ 15.000 - 60.000 | OSCP, OSWE, BSCP |
| Pentest de Rede | 2-4 semanas | R$ 25.000 - 80.000 | OSCP, PNPT, CRTP |
| Pentest Mobile | 1-2 semanas | R$ 20.000 - 50.000 | OSCP, eMAPT |
| Pentest API | 1-2 semanas | R$ 15.000 - 40.000 | OSCP, OSWE |
| Pentest Cloud | 2-3 semanas | R$ 30.000 - 70.000 | OSCP, AWS/Azure certs |
| Red Team | 4-8 semanas | R$ 80.000 - 250.000+ | OSCP, OSEP, CRTO |
Como Escolher o Tipo Certo de Pentest
A escolha do tipo adequado depende de vários fatores. Use o seguinte framework de decisão:
1. Defina o objetivo principal
- Visão de atacante externo? Black Box de rede/web
- Cobertura máxima de código? White Box com revisão de código
- Usuário comprometido? Gray Box
- Testar pessoas e processos? Red Team
- Atender compliance? Pentest específico para o padrão
2. Considere a maturidade da organização
- Primeira avaliação: Black Box externo para ter visão inicial
- Maturidade média: Gray Box para equilíbrio custo-benefício
- Alta maturidade: Combinação de tipos + Red Team periódico
3. Avalie recursos e restrições
- Orçamento limitado: Priorize Gray Box nos ativos mais críticos
- Prazo curto: Gray Box é mais eficiente que Black Box
- Equipe técnica disponível: White Box gera mais valor com colaboração
Recomendação prática: A maioria das organizações se beneficia de um pentest Gray Box anual como linha de base, complementado por pentests Black Box externos periódicos e White Box para aplicações críticas antes de lançamentos importantes.
Critérios para selecionar fornecedor
Além de escolher o tipo de pentest, é essencial selecionar um fornecedor qualificado. Para um guia detalhado sobre o que avaliar, consulte nosso artigo sobre como avaliar e escolher uma empresa de cibersegurança.
Precisa de um Pentest Profissional?
Nossa equipe de especialistas certificados (OSCP, OSWE, CRTP) realiza testes de penetracao seguindo as melhores metodologias do mercado.
Solicitar PropostaPerguntas Frequentes sobre Tipos de Pentest
O scan de vulnerabilidades é automatizado e identifica potenciais falhas conhecidas. O pentest é realizado por profissionais que validam se as vulnerabilidades são exploráveis, descobrem falhas de lógica que scanners não detectam e demonstram o impacto real de um comprometimento. Pentests custam mais, mas fornecem resultados mais precisos e acionáveis.
Um pentest profissional raramente causa indisponibilidade. Testadores experientes evitam técnicas destrutivas como DoS e coordenam testes de alto risco. No entanto, sempre há um risco residual. Recomenda-se ter backups atualizados, informar equipes de operação e, para sistemas críticos, considerar testes em ambiente de homologação primeiro.
As certificações mais reconhecidas são OSCP (Offensive Security Certified Professional) como baseline, OSWE para web, CRTP/CRTO para Active Directory, e eMAPT para mobile. Além de certificações, avalie portfólio, metodologia utilizada e referências de clientes anteriores. Certificações garantem conhecimento técnico mínimo, mas experiência prática é fundamental.
Depende do escopo e tipo. Uma aplicação web simples pode levar 1-2 semanas. Uma rede corporativa de médio porte, 2-4 semanas. Um Red Team completo pode durar 4-8 semanas. O relatório final geralmente é entregue 1-2 semanas após a conclusão dos testes. Projetos muito curtos (menos de 1 semana) geralmente não permitem profundidade adequada.
