Um teste de invasão (pentest, de penetration test) é um ataque simulado e autorizado contra os seus sistemas. Um especialista se coloca no lugar de um criminoso e tenta invadir de verdade — explorando falhas, encadeando brechas e validando o impacto real — para revelar por onde um ataque de verdade entraria. No fim, você recebe um relatório com o que foi encontrado e como corrigir, antes que a falha seja usada contra você.
Deixar um sistema no ar é apostar que ninguém vai achar a porta destrancada. O pentest é a maneira de descobrir isso por conta própria: contratar alguém para tentar arrombar a porta, com sua permissão, e te avisar exatamente onde ela cede — antes que um invasor real faça o mesmo sem avisar.
Pentest não é scan de vulnerabilidade
É comum confundir os dois, mas eles são bem diferentes. Um scanner de vulnerabilidade é uma ferramenta automática: ele varre o sistema, compara com uma lista de falhas conhecidas e cospe um relatório. É rápido, barato e útil como higiene básica — mas não sabe o que é real e o que é falso alarme, nem qual o impacto de fato.
Um pentest vai muito além. Um profissional pega os resultados, explora as falhas de verdade, encadeia várias brechas pequenas em um ataque completo e valida o impacto real. Um scanner diz "esta senha é fraca". O pentester usa essa senha fraca para entrar, escalar privilégios e provar que consegue chegar até o banco de dados de clientes. A diferença entre "talvez seja um problema" e "isto expõe todos os seus dados" é justamente o pentest.
Os tipos: black, gray e white box
Os testes variam conforme quanto o pentester sabe do alvo antes de começar. Quanto menos conhecimento, mais parecido com um ataque real; quanto mais, mais fundo e mais rápido o teste cobre o sistema.
| Tipo | Conhecimento do alvo | Simula |
|---|---|---|
| Black box | Zero — o pentester começa como um estranho, sem credenciais nem diagramas. | Um criminoso externo qualquer, batendo na porta pela primeira vez. |
| Gray box | Parcial — recebe alguns acessos, como um login de usuário comum ou parte da documentação. | Um cliente, fornecedor ou funcionário com acesso limitado que decide abusar dele. |
| White box | Total — tem código-fonte, arquitetura e credenciais de administrador. | Uma auditoria profunda para cobrir o máximo de falhas no menor tempo. |
Nenhum é "melhor" — cada um responde uma pergunta diferente. O black box mede o que um invasor descobriria sozinho; o white box encontra o maior número de falhas por hora de trabalho.
OWASP Top 10
A OWASP (Open Worldwide Application Security Project) é uma fundação sem fins lucrativos que mantém o OWASP Top 10: a lista das dez categorias de falha mais críticas e comuns em aplicações web. É a referência mundial que orienta qualquer pentest sério — se um teste não cobre o Top 10, ele deixa passar justamente o que mais é explorado no mundo real.
| Código | Categoria (pt-BR) |
|---|---|
| A01 | Broken Access Control — Controle de acesso quebrado |
| A02 | Cryptographic Failures — Falhas de criptografia |
| A03 | Injection — Injeção (SQL, comandos e afins) |
| A04 | Insecure Design — Design inseguro |
| A05 | Security Misconfiguration — Configuração de segurança incorreta |
| A06 | Vulnerable and Outdated Components — Componentes vulneráveis e desatualizados |
| A07 | Identification and Authentication Failures — Falhas de identificação e autenticação |
| A08 | Software and Data Integrity Failures — Falhas de integridade de software e dados |
| A09 | Security Logging and Monitoring Failures — Falhas de registro e monitoramento |
| A10 | Server-Side Request Forgery (SSRF) — Falsificação de requisição no servidor |
Como é um bom relatório de pentest
O valor do pentest não está em achar falhas — está em conseguir corrigi-las. E isso depende do relatório. Um bom relatório de pentest tem:
- Nota de risco por falha: cada problema classificado (crítico, alto, médio, baixo) para você saber o que corrigir primeiro.
- Passo a passo de correção: não só "isto está errado", mas exatamente o que fazer para consertar, de forma que seu time consiga aplicar.
- Linguagem clara, em português: um resumo que a diretoria entende e um detalhamento técnico que a TI consegue seguir — sem enrolação.
- Prova do impacto: a demonstração de até onde a falha permitiria chegar, para não sobrar dúvida sobre a gravidade.
E tão importante quanto o relatório é como o teste foi conduzido: sem risco à operação. Um pentest responsável roda em horário combinado, com autorização por escrito, evitando qualquer ação que possa derrubar um sistema em produção. É assim que o Argos faz: pentest com metodologia OWASP Top 10, relatório em português, com autorização e em horário acordado.
Com que frequência fazer
Segurança não é foto, é filme. Um pentest fotografa o sistema num momento — e o sistema muda o tempo todo. Por isso a recomendação é fazer pentest ao menos uma vez por ano e, principalmente, depois de mudanças grandes: um novo módulo, uma migração de infraestrutura, uma integração com terceiros ou uma reformulação da aplicação. Cada mudança relevante pode abrir uma porta nova que o teste anterior nem podia enxergar.
O pentest acha o buraco; o SOC gerenciado vigia a porta 24 horas. Juntos, formam a base da defesa: um encontra a falha antes do criminoso, o outro detecta e bloqueia o ataque quando ele chega. E quando algo passa, entra a resposta a incidentes. O Argos reúne os três — SOC 24h com bloqueio automático, plantão e pentest — operado pela NoBug.
Perguntas frequentes
O pentest é seguro para o meu site?
Sim, quando feito por um time sério. O teste é combinado com você, roda em horário acordado e evita ações que possam derrubar a operação. O objetivo é achar a falha e provar o impacto, não causar dano. No Argos, o pentest é feito com autorização, em horário combinado e sem risco à operação.
Preciso autorizar o pentest?
Sim, e isso não é opcional. Testar um sistema sem autorização do dono é crime. Todo pentest legítimo começa com uma autorização por escrito que define o que pode ser testado, quando e até onde o teste pode ir. Sem esse documento, não é pentest — é invasão.
Qual a diferença entre pentest e SOC?
São complementares. O pentest é um evento pontual que acha as falhas antes do criminoso e mostra como corrigir. O SOC gerenciado é a vigilância contínua, 24 horas por dia, que detecta e bloqueia ataques quando eles acontecem. Um encontra o buraco; o outro vigia a porta o tempo todo.
Quanto tempo leva um pentest?
Depende do tamanho e da complexidade do alvo, mas costuma levar de alguns dias a poucas semanas entre a execução dos testes e a entrega do relatório. Um escopo bem definido no início encurta o prazo e torna o resultado mais útil.