Defesa e operações
Teste de intrusão
Também conhecido como: Pentest, Hacking ético
Definição
Ciberataque simulado e autorizado contra sistemas, aplicações ou pessoas para identificar fraquezas exploráveis antes dos adversários reais.
O teste de intrusão (pentest) é uma avaliação de segurança orientada a objetivos em que testadores qualificados tentam romper as defesas da organização usando as mesmas ferramentas e técnicas dos atacantes reais. Cada projeto define escopo, regras de engajamento e autorização formal, podendo abranger redes, aplicações web e móveis, cargas em nuvem, APIs, instalações físicas ou pessoas por meio de engenharia social. Diferente do scan automatizado, o pentest comprova a explorabilidade encadeando descobertas para demonstrar impacto no negócio, como exfiltração de dados ou comprometimento do domínio. Os resultados orientam a remediação, validam os controles existentes e apoiam conformidade com PCI DSS, HIPAA, ISO 27001 e padrões similares.
Exemplos
- Pentest externo que obtém acesso inicial via VPN exposta e escala até administrador de domínio.
- Pentest de aplicação web que combina IDOR e XSS armazenado para tomar contas administrativas.
Termos relacionados
Avaliação de vulnerabilidades
Revisão sistemática de um ambiente para identificar, classificar e priorizar fraquezas de segurança, normalmente sem exploração ativa.
Red Team
Red Team — definition coming soon.
Varredura de vulnerabilidades
Processo automatizado que sonda sistemas, aplicações ou contêineres contra assinaturas de vulnerabilidades conhecidas, gerando uma lista de fraquezas potenciais.
Gestão da superfície de ataque (ASM)
Descoberta, inventário, classificação e monitorização contínuos de todos os ativos que expõem a organização a potenciais ciberataques.
Purple Team
Purple Team — definition coming soon.
Security Posture
Security Posture — definition coming soon.