Ir para o conteúdo principal
Modalidades

Tipos de pentest

A principal diferença entre as modalidades de pentest está na quantidade de informação que o time recebe antes de começar. Isso impacta diretamente o tipo de ataque simulado, a profundidade dos testes e o custo do projeto.

As três modalidades

Black Box

O time de pentest não recebe nenhuma informação prévia sobre o ambiente. Começa do zero, como um atacante externo que não tem relação com a organização.

Vantagens
  • +Simula fielmente um atacante externo real
  • +Testa a exposição pública do ambiente
  • +Não exige preparação extensa por parte do cliente
Limitações
  • -Menor cobertura em menor tempo
  • -Pode não atingir sistemas internos profundos
  • -Mais tempo gasto em reconhecimento
Quando usar: Quando o objetivo é simular um ataque externo realista e avaliar a exposição pública do ambiente. Bom ponto de partida para organizações em fase inicial de maturidade.

White Box

O time de pentest recebe documentação completa: arquitetura, código-fonte, credenciais de acesso e configurações. Máxima profundidade e cobertura.

Vantagens
  • +Cobertura técnica máxima
  • +Identifica vulnerabilidades em lógica de negócio e código
  • +Mais eficiente em tempo: menos reconhecimento necessário
Limitações
  • -Não simula um ataque externo real
  • -Requer mais preparação e compartilhamento de informações sensíveis
  • -Pode gerar conforto falso: atacante real não teria esse acesso
Quando usar: Para avaliar a segurança com máxima profundidade, especialmente em aplicações críticas antes de lançamentos. Também indicado para auditorias de segurança de código.

Grey Box

O time recebe informações parciais: por exemplo, credenciais de um usuário comum, mas não acesso administrativo nem ao código-fonte. Balanceia realismo e profundidade.

Vantagens
  • +Melhor relação custo-benefício
  • +Simula atacante com acesso inicial (credencial comprometida)
  • +Maior cobertura que black box com menos tempo
Limitações
  • -Não simula ataque externo puro
  • -Profundidade menor que white box em aspectos de código
Quando usar: A modalidade mais comum e recomendada para a maioria dos contextos. Simula o cenário mais realista: um atacante que obteve credenciais de um usuário legítimo via phishing ou vazamento.
Nossa recomendação

Qual modalidade escolher?

Para a maioria dos projetos, a modalidade grey box oferece a melhor relação entre profundidade técnica, realismo e custo. Simula o cenário mais comum de ataque real: um adversário que comprometeu credenciais de um usuário via phishing ou vazamento de dados.

O black box faz sentido quando o objetivo específico é avaliar a exposição pública e a superfície de ataque visível externamente. Ideal como primeira avaliação de um novo ambiente ou após uma migração.

O white box é recomendado quando a profundidade é prioritária: revisão de segurança de código antes de lançamento, auditoria de sistemas críticos ou quando é necessário maximizar a cobertura dentro de um prazo limitado.

Não sabe qual modalidade escolher?

Nossa equipe ajuda a definir o escopo e a modalidade mais adequada para o seu ambiente.

Solicitar diagnóstico gratuito