Guia · 7 min de leitura

O QUE É
TESTE DE INVASÃO?

Teste de invasão — também chamado de pentest, do inglês penetration testing — é uma simulação controlada de ataque conduzida por especialistas em segurança ofensiva, com escopo, prazo e regras de engajamento previamente acordados em contrato. É a única forma de saber, na prática, se o seu ambiente resiste a um adversário real.

1. Pentest não é varredura de scanner

Há uma confusão comum entre teste de invasão e varredura de vulnerabilidades. São coisas diferentes:

• Varredura (vulnerability scan) — automatizada (Nessus, Qualys), encontra vulnerabilidades documentadas pela base de assinaturas. Custa pouco, roda em horas. Boa para hardening de baseline.
• Pentest manual — humanos especialistas executam exploração manual com criatividade, encadeamento de falhas e abuso de lógica de negócio. Custa mais, dura semanas. Encontra o que importa.

Pentest sério é 90% manual, 10% automatizado. O scanner é insumo, não produto.

2. Tipos de teste de invasão

• Pentest externo — superfície pública (IPs, domínios, APIs expostas);
• Pentest interno — ataque a partir da rede corporativa, com Active Directory;
• Pentest web/API — aplicações, REST, GraphQL, OAuth/SAML;
• Pentest mobile — apps iOS/Android, reverse engineering, certificate pinning;
• Pentest OT/SCADA — indústria, energia, infraestrutura crítica (IEC 62443);
• Red Team — adversary emulation com objetivo (ex.: "transferir R$ X sem ser detectado");
• Engenharia social — phishing, spear phishing, BEC, simulação física;
• PTaaS — pentest contínuo com escopo rotativo, mensal.

3. Fases (PTES — Penetration Testing Execution Standard)

1. Pré-engajamento — escopo, NDA, Carta de Autorização (Authorization to Test);
2. Reconhecimento — OSINT, footprint, modelagem de ameaça do setor;
3. Análise de vulnerabilidades — enumeração profunda, scan complementar;
4. Exploração — validação manual com PoC controlado;
5. Pós-exploração — escalação, persistência, exfiltração simulada;
6. Relatório — executivo (3-5 páginas) + técnico (50-150 páginas);
7. Reteste — validação das correções aplicadas.

4. Quando contratar

• Auditoria SOC 2 Type II, ISO 27001, PCI-DSS req. 11.4;
• Regulação brasileira aplicável (BACEN 4.658, ANS RN 305, ANPD/LGPD, ANEEL REH 22);
• Due diligence para contrato com cliente enterprise;
• Lançamento de produto ou mudança arquitetural relevante;
• Pós-incidente — imediato após contenção;
• Quando o último foi há mais de 12 meses.

5. O relatório do teste de invasão

Um deliverable sério inclui:

• Relatório executivo com nível de risco e impacto de negócio para C-level;
• Relatório técnico com PoC reproduzível, screenshots, payload exato;
• Mapeamento de cada finding contra a regulação aplicável (LGPD, ISO, PCI);
• Priorização por risco real — não CVSS-puro, mas exploitabilidade no SEU ambiente;
• Recomendações acionáveis com guia de mitigação;
• Reteste opcional de findings críticos após correção.

6. Como contratar

Mande seu contexto (escopo desejado, urgência, regulação aplicável). Em 48h respondemos com proposta confidencial sob NDA. Pagamento BRL/USD/EUR. Para Brasil, NF-e emitida.

SOLICITAR COTAÇÃO