O custo de um pentest (teste de intrusão) varia em média de R$ 15.000 a R$ 80.000 no Brasil (ou US$ 5.000 a US$ 30.000 no mercado internacional), dependendo fortemente do tamanho do escopo, da complexidade do sistema e da senioridade da equipe. Um serviço de pentest profissional e completo deve incluir o planejamento detalhado, a exploração manual de vulnerabilidades, a entrega de um relatório técnico e executivo e, fundamentalmente, um reteste após a equipe de TI aplicar as correções sugeridas.
Principais Aprendizados
- O preço é calculado com base em "dias-homem" (man-days), variando conforme o tamanho da superfície de ataque.
- Um pentest real exige exploração manual por especialistas; desconfie de orçamentos muito baixos que entregam apenas relatórios de ferramentas automatizadas.
- Os entregáveis obrigatórios incluem um relatório executivo para a diretoria, um relatório técnico para os desenvolvedores e o direito a um reteste.
O que influencia o preço de um Pentest?
Não existe um valor fixo de prateleira para testes de intrusão. As consultorias de cibersegurança e os profissionais independentes calculam o valor baseando-se no tempo estimado para concluir o trabalho, conhecido como dias-homem (man-days). Diversos fatores afetam essa estimativa.
Tamanho e Complexidade do Escopo
O escopo é o limite do que será testado. Um teste focado em um único aplicativo web com três níveis de acesso custará significativamente menos do que um teste em uma infraestrutura corporativa global com centenas de servidores e redes interligadas. Além disso, avaliar aplicações web legadas ou com regras de negócio altamente complexas exige mais tempo de análise manual.
A Abordagem do Teste
A quantidade de informações fornecidas aos pentesters também altera o custo. Entender as diferenças entre black box, white box e gray box é essencial. Um teste White Box (onde o código-fonte e a arquitetura são fornecidos) pode ser mais caro por exigir revisão de código, mas é extremamente minucioso. Já um Black Box simula um ataque às escuras, o que pode consumir mais tempo na fase de reconhecimento.
Faixa de Preços: Quanto custa na prática?
Embora os valores variem, podemos dividir o mercado nas seguintes faixas médias (valores de referência para 2024/2025):
- Pentest de Pequeno Porte (R$ 10.000 a R$ 25.000): Ideal para startups ou pequenas aplicações. Geralmente leva de 3 a 5 dias e foca em um escopo bem reduzido, como um site institucional ou uma API simples.
- Pentest de Médio Porte (R$ 25.000 a R$ 60.000): Focado em plataformas SaaS, redes corporativas médias ou aplicativos móveis completos. Pode durar de 2 a 3 semanas.
- Pentest de Grande Porte (Acima de R$ 60.000): Envolve infraestruturas críticas, múltiplos domínios, análise de pentest interno vs externo simultâneos e engenharia social. Pode ultrapassar R$ 150.000 dependendo do tamanho da corporação.
Para colocar esse custo em perspectiva, segundo o relatório Cost of a Data Breach da IBM, o custo médio global de um vazamento de dados atingiu a marca de US$ 4,45 milhões. Pagar por um pentest preventivo representa uma fração minúscula do prejuízo causado por um incidente real.
O que deve estar incluído em um Pentest Profissional?
Um serviço de qualidade segue padrões globais, como o PTES (Penetration Testing Execution Standard). Independentemente das metodologias de pentest adotadas, o seu contrato deve prever, no mínimo, quatro entregáveis essenciais:
1. Planejamento e Definição de Escopo (Rules of Engagement)
Antes de qualquer ataque, deve haver uma reunião para definir o que pode e o que não pode ser testado (ex: evitar testes de negação de serviço - DoS - em horário comercial). Este documento protege tanto a empresa contratante quanto os auditores.
2. Execução e Exploração Manual
O pentester não deve apenas rodar ferramentas automatizadas. A maior parte do tempo deve ser gasta na exploração manual, encadeando vulnerabilidades de baixo impacto para conseguir comprometer o sistema de forma crítica, validando falsos positivos.
3. Relatório Técnico e Executivo
A entrega final não é um sistema seguro, mas sim a informação de como torná-lo seguro. O documento deve conter um relatório de pentest dividido em duas partes: um sumário executivo (para a diretoria entender o risco de negócio) e um relatório técnico detalhado (com provas de conceito, evidências e passos para correção destinados aos desenvolvedores).
4. Reteste (Validação das Correções)
Um bom contrato de pentest inclui o direito a um reteste (geralmente dentro de 30 a 90 dias após a entrega do relatório). O auditor verificará se as correções implementadas pela sua equipe realmente mitigaram as vulnerabilidades apontadas, sem introduzir novas falhas.
Cuidado com o "Falso Pentest"
Muitas empresas são enganadas ao comprar um "Vulnerability Assessment" (Análise de Vulnerabilidades) achando que é um Pentest. A análise de vulnerabilidades é apenas o uso de softwares automatizados (como Nessus ou OpenVAS) para varrer a rede em busca de falhas conhecidas. Ela não envolve exploração manual, não confirma se a falha é explorável na prática e custa muito menos. Certifique-se de que o contrato especifica a exploração manual (Exploitation) e a prova de conceito (PoC).
Perguntas Frequentes
Qual a diferença entre Pentest e Análise de Vulnerabilidades?
A análise de vulnerabilidades apenas identifica falhas potenciais usando ferramentas automatizadas. O pentest vai além: um profissional tenta ativamente explorar essas falhas de forma manual para comprovar o impacto real no negócio, eliminando falsos positivos.
Quanto tempo demora um teste de intrusão?
Em média, um pentest dura entre 1 e 3 semanas. Esse tempo varia de acordo com o tamanho do escopo, a complexidade dos sistemas envolvidos e a abordagem escolhida (Black, Gray ou White Box).
Com que frequência uma empresa deve fazer um Pentest?
As melhores práticas de segurança e normas como PCI-DSS e ISO 27001 recomendam a realização de um pentest completo pelo menos uma vez ao ano, ou sempre que houver mudanças significativas na infraestrutura ou no código da aplicação.
0 Comentários