Red Team · Pentest · Maturidade · 11 min
Red Team vs Pentest: O Que Cada Um Faz, e Quando Contratar Cada Um
Pentest e Red Team são frequentemente vendidos como sinônimos — e quase nunca são. Pentest cobre amplitude de vulnerabilidades em superfície definida; Red Team cobre profundidade de cenário adversarial com objetivo concreto, testando também detecção e resposta. Esta página separa os dois, mostra a maturidade que cada um exige, e como escolher.
Pentest = amplitude
Encontrar o máximo de vulnerabilidades exploráveis em superfície definida. Equipe é declarada, sponsor sabe que está rodando. Sai com 30-60 findings e PoC.
Red Team = profundidade
Atingir objetivo concreto ("transferir R$ X da conta A para B sem ser detectado") como adversário simulado. Apenas sponsor sabe. Testa também o SOC.
Maturidade diferente
Pentest serve empresa que ainda está estruturando AppSec. Red Team serve quem já passou no básico e quer estressar detecção/resposta.
1. A diferença fundamental: objetivo vs cobertura
Pentest opera por cobertura: dado um escopo (uma aplicação web, uma API, uma rede interna, um ambiente cloud), o pentester explora o máximo de vetores em um prazo definido e entrega findings priorizados por CVSS + business impact. Time fixo, sponsor declarado, comunicação aberta.
Red Team opera por objetivo: dado um goal (acessar a base de cartões, transferir valor, manter persistência por 30 dias sem detecção, exfiltrar IP), a equipe escolhe as TTPs mais realistas para o ator de ameaça simulado — APT financeiro, ransomware operator, insider, hacktivismo. Apenas o sponsor (geralmente CISO + jurídico + auditoria) sabe. O SOC não sabe.
Pentest pergunta "o que está vulnerável aqui?". Red Team pergunta "consigo causar o resultado que importa, e quem percebe o caminho?".
2. Quando contratar Pentest
- Auditoria SOC 2, ISO 27001, PCI-DSS, BACEN ou LGPD pediu evidência;
- Lançamento de nova aplicação, API ou produto;
- Mudança arquitetural significativa (migração cloud, refatoração de auth, novo gateway);
- Validação anual obrigatória (PCI-DSS 11.4 exige anual e após mudança significativa);
- Empresa em fase de organização da prática de segurança ofensiva.
3. Quando contratar Red Team
- SOC interno ou MSSP rodando, com SIEM e regras de detecção ativas;
- Pentest anual já maduro, findings sendo corrigidos em ciclo;
- Quer testar capacidade de detecção e resposta (MTTD/MTTR), não apenas vulnerabilidade;
- Compliance avançado (banco, fintech madura, infra crítica) ou seguro cyber exigindo;
- Pré-evento de alto risco (M&A, IPO, expansão internacional).
Empresa sem SOC contratando Red Team gasta caro e recebe pentest disfarçado: o time não tem com quem "competir", a parte de detecção do exercício fica vazia.
4. Por dentro de uma operação Red Team séria
Um engajamento típico de 8-12 semanas em ambiente bancário roda assim:
- Pre-engagement (1-2 semanas) — definição de goal, white card, regras (DoS proibido, dados reais não exfiltrados, janela de operação), contatos de plantão. Sponsor + jurídico + auditoria interna assinam.
- Recon & weaponization (1-2 semanas) — OSINT profundo, identificação de pessoas-alvo, mapeamento de tecnologia, preparo de payloads customizados, infraestrutura C2 (Cobalt Strike / Mythic / Sliver) com redirector e domínio aged.
- Initial access — phishing direcionado, malicious LNK em USB drop, supply chain quando autorizado, exploração de exposição externa. Critério: passar despercebido pelas primeiras 72h.
- Persistência & movimento lateral — beacon estável, sleep alto, jitter, persistência via mecanismo "esperado pelo blue team" (scheduled task, WMI, run key). Lateral via Kerberoasting, Pass-the-Hash, AS-REP roast, exploração de ACL mal configurada.
- Escalation & objetivos — chegada ao asset alvo, demonstração do impacto sem causar dano real, evidência criptografada com hash imutável.
- Reporting (2-3 semanas) — narrativa completa da operação mapeada em MITRE ATT&CK, oportunidades de detecção perdidas pelo SOC, recomendações de blue team, lições para o sponsor.
5. White card e regras de engajamento
O white card é o documento que separa Red Team ético de invasão criminosa. Ele descreve:
- Identificação do exercício (data, equipe, sponsor);
- Contatos de plantão (sponsor 24/7);
- Goals autorizados e proibidos explícitos;
- Limites técnicos (sem destruição, sem DoS, sem afetar terceiros);
- Protocolo de stand-down (em caso de detecção: continuar, pausar ou encerrar).
Quando o SOC detecta o atacante, o operador apresenta o white card a um contato de plantão. O sponsor decide. Sem white card, é crime.
6. Saída de cada um
Pentest sério entrega 80-150 páginas com findings priorizados, PoC, CVSS, business impact e rota de correção. O time de engenharia consegue executar.
Red Team sério entrega narrativa adversarial mapeada em MITRE ATT&CK, gaps de detecção do SOC, recomendações de purple team e tabletop. O time de operações de segurança consegue executar.
São entregáveis para audiências diferentes. Ambos cabem na maturidade de uma empresa séria — mas em momentos diferentes.
FAQ
Toda empresa precisa de Red Team?
Não. Red Team faz sentido para organizações que já maturaram pentest anual, têm SOC ativo (interno ou MSSP) e querem testar detecção e resposta. Sem SOC, Red Team vira pentest caro.
Quanto dura um Red Team?
De 4 a 16 semanas. Engajamento típico bancário: 8-12 semanas, com janela longa de Pre-engagement e período de silêncio inicial para evitar detecção.
Vocês fazem Red Team com C2 próprio?
Sim. Operamos Cobalt Strike, Mythic e Sliver com payloads customizados, infraestrutura redirector, OPSEC adequada e cadeia de TTPs mapeada em MITRE ATT&CK.
Red Team inclui engenharia social?
Sim, dentro do escopo autorizado pelo white card. Phishing direcionado (spear), vishing, pretexting físico se aplicável. Sempre com regra de engajamento documentada.
Como o cliente sabe que foi simulado e não ataque real?
White card emitido pelo sponsor (CISO + jurídico) identifica o exercício e o contato de plantão. Em caso de detecção, white card é apresentado e o sponsor decide continuar ou pausar.