Se você está avaliando contratar segurança ofensiva para sua empresa, provavelmente já esbarrou em dois termos que parecem sinônimos mas não são: pentest e red team. Confundir os dois pode gerar expectativas erradas, escopo inadequado e investimento mal direcionado.
A diferença é simples na teoria, mas tem consequências grandes na prática.
A diferença fundamental
Pentest responde à pergunta: "Quais vulnerabilidades existem nos meus sistemas?"
Red Team responde a outra bem diferente: "Se um grupo criminoso atacasse minha empresa hoje, ele conseguiria atingir seus objetivos?"
O pentest é como um exame médico completo: metódico, estruturado, com escopo definido. O red team é como um teste de estresse: imprevisível, multi-vetor, focado em descobrir se o organismo aguenta pressão real.
Pentest: profundidade em escopo definido
Num pentest, o escopo é combinado antes do início. Algo como "vamos testar a aplicação web X, a API Y e a infraestrutura do segmento Z". O time de segurança trabalha dentro dessas fronteiras para encontrar o máximo de vulnerabilidades possível, documenta cada uma com evidências e entrega um relatório detalhado.
O pentest é abrangente dentro do seu escopo. O objetivo é mapear toda a superfície de ataque dos ativos definidos e identificar todas as falhas exploráveis, das críticas às informacionais.
O time de TI geralmente sabe que o teste está acontecendo. Em muitos casos, fornece credenciais, documentação e acesso ao ambiente. Isso permite profundidade técnica máxima.
O resultado é um relatório com cada vulnerabilidade classificada por severidade, passos de reprodução, evidências e recomendações claras de correção.
Red Team: realismo em escopo amplo
Num red team, o objetivo muda completamente. Não é "encontrar todas as vulnerabilidades". É atingir uma meta específica: acessar o banco de dados de clientes, comprometer a conta de e-mail do CEO, ou exfiltrar código-fonte proprietário.
Para atingir essa meta, o time pode usar qualquer caminho. Exploração técnica de sistemas, engenharia social como phishing e vishing, acesso físico às instalações, comprometimento da cadeia de fornecedores, ou qualquer combinação disso tudo.
O ponto mais importante: quase ninguém na organização sabe que o teste está acontecendo. Apenas um grupo pequeno de patrocinadores (normalmente o CISO e a diretoria) está ciente. O SOC, o blue team e a equipe de TI são testados de verdade, sem aviso prévio. Porque a ideia é justamente avaliar se a organização consegue detectar e responder a um ataque real.
O resultado é um relatório narrativo com a linha do tempo completa do ataque, mostrando cada etapa desde o reconhecimento inicial até o objetivo final. O relatório detalha quais controles falharam, quais detectaram algo e como a organização respondeu (ou deixou de responder).
Comparação direta
Em termos de escopo, o pentest é definido e fechado (por exemplo, "aplicação web mais API"). Já o red team é amplo e orientado a objetivo ("comprometer dados financeiros").
Em duração, o pentest geralmente leva de 1 a 4 semanas. O red team pode durar de 4 a 12 semanas, às vezes mais.
Sobre quem sabe, no pentest a equipe de TI normalmente é informada. No red team, apenas os patrocinadores sabem.
Nos vetores de ataque, o pentest usa caminhos técnicos (aplicação, rede, cloud). O red team combina técnico, social e até físico.
No que testa, o pentest avalia vulnerabilidades nos sistemas. O red team avalia sistemas, pessoas e processos ao mesmo tempo.
Em termos de investimento, pentests ficam tipicamente entre R$ 15.000 e R$ 90.000. Red teams partem de R$ 80.000 e podem passar de R$ 300.000.
Quando fazer pentest
O pentest é a escolha certa quando a organização precisa de algo específico.
Se o objetivo é validar a segurança de sistemas específicos antes de um lançamento, após uma migração ou como parte de uma auditoria de compliance, o pentest é o caminho.
Se a necessidade é atender requisitos regulatórios como LGPD, PCI-DSS, ISO 27001 ou SOC 2, o pentest é o formato mais aceito por auditores.
Se a empresa está começando a investir em segurança ofensiva, o pentest é o ponto de partida correto. Não faz sentido simular um adversário sofisticado se as falhas básicas ainda estão abertas.
E se o objetivo é simplesmente manter uma cadência regular de testes, o pentest é o que deve acontecer pelo menos uma vez por ano para cada sistema crítico.
Quando fazer red team
O red team faz sentido em cenários diferentes, geralmente para organizações mais maduras.
Se a empresa já realizou pentests e corrigiu as falhas mais críticas, mas nunca testou se o SOC realmente detecta atividade maliciosa, o red team é o próximo passo.
Se o objetivo é avaliar pessoas e processos além da tecnologia, o red team é ideal. Ele testa se o SOC detecta atividades suspeitas, se o time de resposta consegue conter um ataque e se os colaboradores caem em phishing direcionado.
Se alguém precisa convencer a liderança sobre riscos, um relatório de red team mostrando que um atacante simulado acessou o e-mail do CFO em 72 horas é muito mais impactante do que uma lista de CVEs.
E se a necessidade é simular ameaças específicas do setor, red teams podem ser modelados para simular as técnicas de grupos de ameaça conhecidos usando frameworks como o MITRE ATT&CK.
O erro mais comum
O erro mais frequente que vemos no mercado é empresas que nunca fizeram sequer um pentest querendo contratar red team porque parece mais "avançado" ou "completo".
Red team sem maturidade prévia é desperdício de dinheiro. Se os sistemas têm vulnerabilidades básicas (e provavelmente têm, se nunca foram testados), o red team vai explorar a primeira falha que encontrar e atingir o objetivo em poucas horas. A empresa paga por semanas de simulação e recebe um relatório que diz "entramos pelo SQL injection na aplicação principal". Algo que um pentest teria identificado na primeira semana por uma fração do custo.
A progressão que recomendamos é clara. Primeiro, um pentest para encontrar e corrigir as vulnerabilidades dos sistemas. Depois, uma campanha de phishing simulada para avaliar o risco humano. Em seguida, pentests recorrentes para validar que as correções se mantêm. E só então, red team para testar a organização como um todo.
E o Purple Team?
Purple team é uma abordagem colaborativa onde o time ofensivo (red) e o defensivo (blue) trabalham juntos em tempo real. O red executa técnicas de ataque e o blue tenta detectá-las, com feedback imediato sobre o que funcionou e o que não funcionou.
Não é um serviço separado. É uma metodologia que pode ser aplicada durante ou após um red team. Funciona muito bem para organizações que querem acelerar a melhoria nas capacidades de detecção.
Como decidir
Se você está lendo este artigo tentando resolver essa dúvida, a resposta provavelmente é mais simples do que parece.
Nunca fez pentest? Faça pentest.
Já fez pentest, corrigiu as falhas críticas, mas nunca testou detecção e resposta? Considere red team.
Tem dúvida? Converse com uma empresa de segurança ofensiva séria. Uma empresa ética vai recomendar o que você de fato precisa, não o serviço mais caro do catálogo.
O importante é começar. A pior estratégia de segurança ofensiva é não ter nenhuma.
