Guia Cibersegurança

O que é teste de penetração e quando sua empresa precisa de um

Um teste de penetração coloca um atacante profissional contra seus sistemas antes que um real chegue lá. Este guia explica exatamente o que o pen test envolve, como ele difere de uma varredura de vulnerabilidades, qual tipo sua empresa precisa e o que fazer quando você tiver os resultados em mãos.

22 de maio de 2026
6 min de leitura
Principais conclusões
  • Um teste de penetração simula um atacante real; uma varredura de vulnerabilidades apenas identifica fraquezas conhecidas
  • Testes de rede externa são o ponto de partida mais comum para empresas novas em testes de segurança
  • Testes de penetração são exigidos por ISO 27001, NIS2 (Artigo 21, medida 6), PCI DSS e Cyber Essentials Plus
  • Um relatório de teste só é útil se você agir sobre as descobertas dentro de uma janela de remediação definida
  • O novo teste após a remediação confirma que a correção funcionou; pular esta etapa deixa o risco sem resolução

O que é realmente um teste de penetração

Um teste de penetração é uma tentativa estruturada e autorizada de comprometer seus sistemas, aplicações ou pessoas usando as mesmas técnicas que um atacante real usaria. Um testador qualificado (ou uma equipe deles) recebe um escopo e objetivo definidos, então trabalha para violá-lo, documentar cada etapa e relatar o que encontrou. O resultado não é uma lista de riscos teóricos. São evidências do que um atacante real poderia fazer ao seu negócio hoje.

A palavra "penetração" refere-se a penetrar suas defesas, não apenas sondar. Um testador de penetração não para quando encontra uma fraqueza. Ele tenta explorá-la, escalar privilégios, mover-se lateralmente pela sua rede e alcançar os sistemas ou dados mais valiosos que puder acessar. O teste para quando o escopo acordado está esgotado ou uma descoberta crítica justifica divulgação imediata ao cliente.

O teste de penetração difere de outras verificações de segurança porque combina expertise técnica, resolução criativa de problemas e uma mentalidade adversarial que ferramentas automatizadas não conseguem replicar. A pergunta do testador é concreta: se eu estivesse genuinamente tentando causar danos aqui, até onde poderia chegar? Uma resposta rigorosa a essa pergunta é o valor do engajamento.

84%
dos ataques cibernéticos exploram vulnerabilidades conhecidas que nunca foram corrigidas
4
grandes estruturas (ISO 27001, NIS2, PCI DSS, Cyber Essentials Plus) exigem testes de penetração periódicos
72h
tempo mediano para um atacante passar do acesso inicial ao comprometimento de sistema crítico

A diferença entre um pen test e uma varredura de vulnerabilidades

Esses dois termos são frequentemente confundidos, e a confusão importa porque produzem resultados muito diferentes. Uma varredura de vulnerabilidades é um processo automatizado: uma ferramenta verifica seus sistemas em relação a um banco de dados de fraquezas conhecidas, erros de configuração e versões de software desatualizadas. Ela gera uma lista de problemas potenciais classificados por severidade. A varredura não tenta explorar nada. Ela não diz se uma vulnerabilidade é realmente acessível por um atacante, se pode ser encadeada com outras fraquezas ou o que um atacante poderia fazer com ela se obtivesse êxito.

Um teste de penetração começa onde uma varredura de vulnerabilidades termina. O testador analisa o panorama de fraquezas potenciais e então tenta ativamente explorá-las. Ele procura combinações: um erro de configuração de média severidade que, combinado com uma credencial de uma simulação de phishing, concede acesso a um sistema financeiro. Nenhum scanner automatizado detecta essa cadeia. Um testador experiente detecta. Testes de penetração regularmente revelam descobertas que surpreendem organizações que já executam varreduras de vulnerabilidades: a varredura listou as peças; o testador mostrou o que um atacante poderia construir com elas.

Executar varreduras automatizadas continuamente oferece uma visão contínua das fraquezas conhecidas em seu ambiente. O teste de penetração, periódico e manualmente intensivo, mostra o que um atacante pode realmente fazer com elas. Você precisa de ambos, e nenhum substitui o outro.

Testes black-box, grey-box e white-box

Testes black-box significam que o testador começa sem conhecimento prévio de seus sistemas, simulando um atacante externo que sabe apenas o que está disponível publicamente. Produz descobertas realistas sobre o que um externo poderia alcançar, mas leva mais tempo e pode perder fraquezas internas.

Testes grey-box fornecem ao testador informações parciais, como credenciais de nível de usuário ou diagramas de rede, simulando um funcionário comprometido ou uma conta de contratado. Esta é a abordagem mais comum porque equilibra realismo com eficiência.

Testes white-box fornecem acesso completo à documentação de arquitetura, código-fonte e credenciais do sistema. É a abordagem mais completa para descobrir vulnerabilidades técnicas profundas e é comumente usada para revisões de segurança de aplicações antes do lançamento de um produto.

Tipos de teste de penetração

Os testes de penetração não são únicos para todos. O tipo apropriado depende de onde está sua maior exposição e quais obrigações de conformidade você tem. A maioria das empresas começa com um tipo e expande seu programa de testes à medida que sua maturidade de segurança cresce.

Teste de penetração de rede externa

Este é o ponto de partida mais comum e testa tudo exposto à internet pública: seus firewalls, gateways VPN, servidores de e-mail, serviços voltados para a web e quaisquer outros sistemas acessíveis de fora de sua rede. O testador trabalha de fora do seu perímetro, exatamente como um atacante remoto faria. As descobertas geralmente incluem serviços mal configurados, interfaces administrativas expostas, software desatualizado com exploits conhecidos e autenticação fraca em sistemas de acesso remoto.

Os testes de rede externa são a base para a maioria das estruturas de conformidade e são o teste correto para organizações novas em testes de segurança. Responde à pergunta mais urgente: um atacante pode entrar pela internet?

Teste de penetração de aplicação web

Se sua empresa executa um portal de clientes, uma aplicação interna, uma plataforma de e-commerce ou qualquer serviço baseado na web, essa aplicação merece seu próprio teste dedicado. Os testes de aplicação web seguem a metodologia OWASP, verificando vulnerabilidades de injeção (SQL, comando, LDAP), autenticação quebrada, referências diretas inseguras a objetos, configuração incorreta de segurança, cross-site scripting e uma variedade de falhas de lógica de negócios que os scanners automatizados consistentemente perdem.

As falhas de lógica de negócios merecem menção especial. São vulnerabilidades específicas de como sua aplicação funciona, como um fluxo de checkout que pode ser manipulado para aplicar descontos ilimitados, ou uma função de gerenciamento de conta que permite que usuários visualizem dados de outros clientes alterando um parâmetro de URL. Nenhum scanner encontra isso. Eles requerem um testador que entenda o comportamento pretendido da sua aplicação e procure desvios dele.

Teste de engenharia social

As defesas técnicas só importam se não puderem ser contornadas manipulando seu pessoal. Os testes de engenharia social avaliam se os funcionários podem ser enganados a revelar credenciais, clicar em links maliciosos ou conceder acesso físico a indivíduos não autorizados. As simulações de phishing são o formato mais comum: uma campanha de e-mail cuidadosamente elaborada imita um ataque real para medir taxas de clique, taxas de submissão de credenciais e a rapidez com que a equipe de segurança detecta e relata a campanha.

Os testes de spear-phishing visam indivíduos específicos, geralmente funcionários do financeiro, executivos ou administradores de TI, com conteúdo personalizado que faz referência a detalhes reais sobre o alvo ou sua organização. Esses testes são consistentemente reveladores. Organizações com segurança técnica forte frequentemente descobrem que um e-mail convincente para uma pessoa é tudo que um atacante precisa.

Teste de penetração física

Os testes físicos avaliam se um atacante poderia obter acesso não autorizado às suas instalações, salas de servidores ou estações de trabalho ao entrar fisicamente em seu prédio. Os testadores tentam entrar sorrateiramente por portas seguras atrás de funcionários, se passar por mensageiros ou contratados de TI, ou acessar estações de trabalho desbloqueadas em áreas comuns. Os testes físicos são menos comuns, mas críticos para organizações que lidam com dados sensíveis no local, incluindo provedores de saúde, instituições financeiras e operadores de data center.

Os testes físicos frequentemente revelam que a segurança técnica é tornada irrelevante por uma porta corta-fogo travada aberta ou uma recepcionista que deixa visitantes passarem sem verificar credenciais. A combinação de acesso físico e técnico é particularmente perigosa: um atacante que alcança uma estação de trabalho desacompanhada dentro do seu escritório efetivamente contornou todo o perímetro da sua rede.

Quando sua empresa precisa de um

A resposta honesta é: mais cedo do que a maioria das empresas pensa. Muitas organizações esperam até que uma auditoria de conformidade ou um incidente por pouco force a questão. Nesse ponto, as descobertas raramente se limitam a erros menores de configuração. O enquadramento mais útil é tratar o teste de penetração como um check-up periódico de saúde, em vez de uma medida reativa acionada por pressão externa.

Existem circunstâncias específicas que criam uma necessidade clara de testes. Se sua empresa processa pagamentos com cartão, o PCI DSS exige pelo menos testes anuais de penetração de rede externa e interna, mais testes de aplicação após quaisquer mudanças significativas. Se você está dentro do escopo do NIS2 (consulte nosso guia NIS2 para uma explicação completa do escopo), a medida 6 do Artigo 21 exige explicitamente políticas para avaliar a eficácia de suas medidas de cibersegurança por meio de testes regulares. ISO 27001 Anexo A.8.8 e A.5.36 apontam para testes regulares de controles de segurança como requisito para certificação. Cyber Essentials Plus, a certificação principal do governo do Reino Unido, inclui um componente de avaliação de vulnerabilidades que vai além do questionário básico do Cyber Essentials.

Um teste de penetração não prova que você é seguro. Ele mostra até onde um atacante pode chegar hoje, que é o único ponto de partida para uma melhoria significativa.

Além da conformidade, um teste de penetração é justificável antes de lançar uma nova aplicação ou serviço ao público, após uma mudança significativa de infraestrutura ou migração para nuvem, após um incidente de segurança para confirmar que a rota do atacante foi totalmente fechada, e após qualquer fusão ou aquisição que traga novos sistemas para seu ambiente. Novos sistemas carregam históricos desconhecidos e vulnerabilidades herdadas. Testá-los antes de integrá-los completamente é consideravelmente mais barato do que descobrir um problema após o fato.

O que acontece durante um teste de penetração

A maioria dos testes de penetração profissionais segue uma metodologia estruturada, independentemente do fornecedor. Entender as fases ajuda você a preparar sua equipe e definir expectativas realistas sobre o que receberá no final.

Definição de escopo. Antes que qualquer teste comece, você concorda exatamente sobre o que está no escopo (quais sistemas, aplicações ou locais podem ser testados), o que está explicitamente fora do escopo, a janela de testes e as regras de engajamento. Isso inclui se você deseja que sua equipe de TI esteja ciente do teste (aberto) ou seja mantida no escuro para também avaliar sua capacidade de detecção (encoberto). Tudo acordado aqui se torna o contrato que governa o engajamento.

Reconhecimento. O testador reúne o máximo de informações possível sobre o alvo antes de tocá-lo. Para um teste de rede externo, isso significa enumeração de DNS, análise de logs de transparência de certificados, OSINT sobre sua organização e funcionários, e identificação de todos os ativos voltados para a internet. Essa fase frequentemente surpreende os clientes: os testadores frequentemente encontram subdomínios esquecidos, ambientes de desenvolvimento expostos ou credenciais de funcionários publicadas em despejos de violação de dados antes que um único pacote tenha sido enviado ao alvo.

Exploração. Usando a inteligência coletada, o testador tenta ativamente violar o escopo acordado. Esta é a fase que a maioria das pessoas imagina: executar exploits, tentar contornar autenticação e testar vulnerabilidades de injeção. Um testador experiente documenta cada etapa que dá, cada comando que executa e cada descoberta que faz. Essa documentação é o que torna o relatório final credível e acionável.

Pós-exploração. Uma vez que o acesso inicial é alcançado, o testador explora até onde pode ir. Ele pode escalar de uma conta de usuário padrão para um administrador de domínio? Pode mover de um segmento de rede para outro? Pode alcançar repositórios de dados sensíveis ou sistemas de backup? A pós-exploração mapeia o raio de impacto total do comprometimento inicial e é frequentemente onde as descobertas mais significativas emergem.

Relatório. O teste termina com um relatório detalhado cobrindo um resumo executivo (projetado para leitores não técnicos), uma seção de descobertas técnicas com evidências completas para cada vulnerabilidade, uma classificação de risco para cada descoberta e orientações específicas de remediação. Um bom relatório não apenas lista o que está quebrado. Ele explica o impacto no negócio em termos que um membro do conselho pode entender e informa sua equipe exatamente o que fazer para corrigir cada problema.

O que fazer com os resultados

Receber um relatório de teste de penetração não é o fim do processo. É o início da metade mais importante. Um relatório que fica sem ser lido em um diretório compartilhado por seis meses é pior do que nenhum relatório: você agora tem evidências documentadas de que vulnerabilidades conhecidas existem em seu ambiente, que podem ser usadas contra você em caso de violação.

Comece triando as descobertas. Problemas críticos e de alta severidade devem ser atribuídos a um responsável nomeado e um prazo de remediação dentro de 24 a 48 horas após receber o relatório. Essas são as vulnerabilidades que um atacante poderia usar para causar danos materiais rapidamente. Descobertas de média e baixa severidade podem seguir uma janela de remediação mais longa, mas devem ser rastreadas em seu registro de riscos com propriedade clara e datas-alvo, não deixadas à deriva.

A remediação só está completa uma vez verificada. Uma descoberta marcada como "corrigida" sem verificação é uma suposição, não um fato. O processo correto é remediar o problema, confirmar a correção internamente e então solicitar um novo teste da equipe de testes original. Um novo teste é geralmente escopo reduzido às vulnerabilidades específicas abordadas e custa consideravelmente menos do que o engajamento original. Pular o novo teste é um atalho comum que deixa as organizações incertas se suas correções realmente funcionaram.

Por fim, use o relatório como um insumo para sua estratégia de segurança mais ampla. Os testes de penetração revelam padrões, não apenas descobertas individuais. Se várias descobertas estão relacionadas ao gerenciamento de patches, isso aponta para uma falha de processo. Se várias vulnerabilidades foram encontradas em sistemas que sua equipe não sabia que estavam voltados para a internet, isso aponta para uma lacuna na descoberta de ativos. Abordar causas raízes evita que a mesma classe de descoberta apareça no relatório do próximo ano.

O organismo de acreditação internacional CREST certifica provedores de testes de penetração e testadores individuais, e mantém um diretório pesquisável de empresas aprovadas. O NCSC publica orientações sobre como encomendar e definir o escopo de avaliações de segurança externas para organizações não familiarizadas com o processo.

Perguntas frequentes

Quanto tempo dura um teste de penetração?

A duração depende do escopo. Um teste de rede externo focado cobrindo um intervalo de IP definido geralmente leva de dois a cinco dias. Um teste de aplicação web para uma plataforma moderadamente complexa leva de três a sete dias. Um engajamento de escopo completo cobrindo rede, aplicações e engenharia social pode levar de duas a quatro semanas. A chamada de escopo antes do teste é onde o cronograma é acordado, e vale a pena ser detalhado: um teste bem definido que leva mais tempo entrega muito mais valor do que um feito às pressas que perde áreas críticas.

Quanto custa um teste de penetração?

O preço varia com o escopo, a metodologia e o fornecedor. Um teste de rede externo focado para uma pequena empresa geralmente começa em torno de €2.000 a €4.000. Um teste de aplicação web para uma plataforma de médio porte varia de €3.500 a €8.000. Engajamentos de maior escopo, exercícios de red team ou testes envolvendo elementos físicos e de engenharia social podem custar a partir de €10.000. Tenha cuidado com ofertas automatizadas de baixo custo comercializadas como testes de penetração: a varredura automatizada não é exploração manual, e a diferença é significativa quando se tenta satisfazer um requisito de conformidade ou genuinamente entender sua exposição.

Com que frequência devemos realizar um teste de penetração?

A maioria das estruturas de conformidade e práticas do setor aponta para testes anuais como base. PCI DSS exige pelo menos testes anuais de rede externa e interna, mais testes de aplicação quando mudanças significativas são feitas. ISO 27001 espera testes regulares de controles de segurança, que a maioria dos auditores interpreta como pelo menos anual. Além dos mínimos de conformidade, um teste de penetração também deve ser realizado após mudanças significativas na infraestrutura, após uma fusão ou aquisição, após implantar uma nova aplicação ou atualização importante, e após qualquer incidente de segurança. O objetivo é testar sempre que sua superfície de ataque mudar significativamente, não apenas para marcar uma data no calendário.

Fale com a Cyvra

Pronto para descobrir até onde um atacante pode chegar?

Planejamos e executamos testes de penetração para empresas nos Países Baixos e no Reino Unido. Deixe-nos mostrar o que suas defesas atuais conseguem e não conseguem deter.

Aviso legal: Este artigo é apenas para fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não oferece garantia quanto à precisão ou integralidade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem buscar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita nenhuma responsabilidade por perdas decorrentes da confiança neste conteúdo.