Red Team Assessment: o guia completo do decisor

Se você está lendo isto, provavelmente recebeu uma proposta de Red Team na mesa e está tentando entender se a fatura faz sentido, se sua empresa está pronta, e o que vai mudar no dia seguinte à entrega do relatório. Este guia foi escrito para o decisor — CISO, head de TI, diretor de risco, CFO que aprova budget de cibersegurança — não para o técnico que vai executar.

Em 2026, a contratação de Red Team no Brasil deixou de ser exótica. Bancos médios, fintechs reguladas pelo BCB, saúde com dado sensível e e-commerce de alto ticket já consideram Red Team uma prática esperada — e muitas vezes exigida em contratos enterprise. Mas a maioria das empresas que contrata, contrata mal: escopo errado, fornecedor errado, momento errado. O resultado é um relatório bonito que vira PowerPoint de board e morre na gaveta.

Vamos passar pelos cinco pontos que importam de verdade: o que é (sem o marketing), quando vale, quanto custa, como escolher fornecedor, e o que esperar de retorno mensurável.

1. O que é Red Team Assessment (sem o marketing)

Red Team Assessment é uma simulação adversarial controlada. Um time externo de especialistas em ofensiva tenta atingir objetivos específicos — exfiltrar uma base de dados, comprometer um servidor crítico, acessar um sistema interno restrito — usando o conjunto mais amplo possível de táticas que um adversário real usaria. Phishing, exploração técnica, engenharia social, acesso físico se contratado, persistência de longo prazo.

O ponto que muita gente erra: Red Team não é sobre achar vulnerabilidades. É sobre testar a cadeia inteira de defesa, detecção e resposta da sua empresa contra um adversário pensante. A pergunta que um Red Team responde não é "tenho vulnerabilidades no ambiente?" (essa é a pergunta do pentest). A pergunta é: "se um grupo organizado de atacantes me tivesse como alvo durante 2 meses, ele conseguiria atingir nossos ativos críticos antes do meu SOC detectar e do meu time responder?"

Essa diferença muda absolutamente tudo:

• Escopo: Red Team pode tocar qualquer ativo público da empresa — não há "lista" de IPs autorizados como no pentest. Tudo vale, dentro das regras de engajamento.
• Tempo: 8 a 16 semanas é o normal. Pentest é 1 a 4 semanas.
• Comunicação: O Red Team não fala com seu time de TI durante a operação. Só o "White Cell" — geralmente CISO + 1 ou 2 patrocinadores executivos — sabe que a operação está acontecendo.
• Sucesso medido por objetivos, não por achados: Um relatório pode ter "apenas" três vulnerabilidades exploradas mas demonstrar comprometimento completo do ambiente em 11 dias. Esse é um Red Team de sucesso.

Quem ainda não distingue Red Team de Pentest deveria ler nosso comparativo Pentest vs Red Team antes de seguir adiante — boa parte das propostas ruins que circulam no mercado são pentest sendo vendido como Red Team.

2. Quando faz sentido contratar (e quando não faz)

Esse é o ponto mais importante deste artigo. Red Team é caro, demorado e politicamente sensível dentro de uma empresa. Em ambiente imaturo, ele não entrega valor — ao contrário, gera frustração ("o time não detectou nada, óbvio") e custo sem aprendizado.

Pré-requisitos para Red Team valer a pena

Antes de pensar em Red Team, sua empresa precisa ter:

1. SOC ou MDR operacional há pelo menos 6 meses. Se você não tem capacidade de detecção, não há o que medir. O Red Team vai "vencer" no primeiro dia e o relatório vai ser inútil.
2. Programa de pentest maduro. Pentest anual em todos os ativos críticos, com tratamento dos findings. Se as vulnerabilidades básicas não foram resolvidas, o Red Team vai gastar tempo explorando o óbvio — você está pagando preço de bordeaux para tomar suco de uva.
3. Plano de resposta a incidentes (IR) documentado e exercitado. Sem isso, quando o Red Team for detectado, ninguém vai saber o que fazer e a operação vai parar.
4. Patrocínio executivo claro. O CEO ou pelo menos um C-level precisa estar no White Cell. Sem isso, na primeira fricção interna o exercício acaba.

Se algum desses quatro itens não existe, contrate pentest antes. Não por dois ou três meses — por dois anos. Construa o programa de pentest e amadureça o SOC primeiro. O ROI vai ser radicalmente maior.

Quando Red Team é a coisa certa

• Sua empresa já passa em pentest anual com poucas críticas e quer testar o próximo nível.
• O board está perguntando "estamos protegidos contra ataques reais?" e você precisa de uma resposta defensável com dados.
• Você passou por incidente recente e precisa validar que as melhorias funcionaram contra o vetor que te atingiu.
• Regulador (BACEN, ANS, ANPD em casos específicos) está pedindo evidência de teste adversarial.
• Você quer treinar e calibrar seu Blue Team em condições próximas do real.
• Empresa madura passando por fusão, IPO, ou expansão internacional — Red Team é prova de due diligence.

3. Quanto custa um Red Team no Brasil em 2026

Vamos ao número. As três faixas mais comuns no mercado brasileiro:

Faixa entry (R$ 180 mil – R$ 280 mil)

• Duração: 6 a 8 semanas
• Time: 2 operadores sêniores
• Vetores cobertos: phishing + exploração externa + privilege escalation interna
• Não inclui: engenharia social presencial, acesso físico, ataque a OT/ICS
• Tipicamente contratado por empresas que estão fazendo o primeiro Red Team

Faixa enterprise (R$ 300 mil – R$ 500 mil)

• Duração: 10 a 14 semanas
• Time: 3 a 4 operadores, incluindo um líder técnico dedicado
• Vetores cobertos: tudo da faixa entry + engenharia social telefônica/presencial + Active Directory/Azure AD avançado + bypass de EDR
• Inclui: 2 a 3 cenários distintos, replay com Blue Team, executive readout
• Maioria dos contratos em bancos médios, healthtechs e e-commerce de alto ticket

Faixa Tier-1 / TIBER-style (R$ 550 mil – R$ 700 mil+)

• Duração: 14 a 20 semanas
• Time: 4 a 6 operadores especializados
• Vetores cobertos: todos os anteriores + ameaça-específica baseada em CTI (treat intelligence) sob medida + ataque a fornecedores (supply chain) + persistência de longo prazo
• Modelo alinhado a frameworks como TIBER-EU
• Tipicamente big banks, infraestrutura crítica, exigência regulatória

Para um detalhamento por componente — escopo, headcount, tooling, complexidade — leia nosso artigo Quanto custa um Red Team no Brasil em 2026.

O que NÃO entra no preço (e às vezes deveria)

Cuidado com propostas que parecem baratas. Pergunte explicitamente se o valor inclui:

• Custom tooling (implants próprios, infraestrutura C2 dedicada — não Cobalt Strike rachado)
• OPSEC infrastructure (domínios, redirectors, mail servers limpos — leva 2-4 semanas para "aquecer")
• CTI ativo durante a operação (não só pré-operação)
• Replay completo com Blue Team após a operação (pelo menos 4 horas)
• Executive readout para o board (deck + apresentação ao vivo)
• Hot wash debrief com TI/SOC nas 48h seguintes ao reveal

Sem esses itens, o "Red Team" que você comprou é um pentest profundo. Pode ter valor — mas não é o que está vendendo na capa.

4. Como escolher fornecedor (12 perguntas que separam profissionais de teatro)

Esta seção é a que mais salva budget. A maioria das empresas escolhe fornecedor de Red Team por três critérios ruins: indicação de outro CISO sem checagem, marca conhecida, ou menor preço. Os três são insuficientes.

Perguntas técnicas obrigatórias

1. "Quem são os operadores que vão estar na minha conta? Vejo CVs?" Você está comprando pessoas, não logos. Peça nomes, certificações (OSCP/OSEP/CRTO/CRTL é o mínimo) e cases públicos (CVEs descobertas, talks, write-ups).
2. "Qual o framework de TTPs vocês usam? Como vai mapear no relatório?" A resposta certa menciona MITRE ATT&CK explicitamente e mostra um sample de relatório anonimizado com TTPs mapeadas. Leia mais em Adversary Emulation e MITRE ATT&CK.
3. "Vocês têm tooling próprio ou usam Cobalt Strike/Sliver/Mythic?" Mix saudável é: framework conhecido + customizações próprias para evasão. Quem só usa Cobalt Strike default vai ser detectado por qualquer EDR moderno em horas.
4. "Como vocês simulam um grupo específico?" Se a resposta é genérica, eles não fazem adversary emulation real — fazem pentest extenso. Adversary emulation envolve estudar TTPs específicas de um grupo (APT29, FIN7, Lazarus etc.) e replicá-las.
5. "Vocês fizeram quantos Red Teams nos últimos 24 meses? Quantos em empresas do meu porte/setor?" Volume importa para maturidade do processo. Mas peça referências verificáveis — não só logo.
6. "Em quanto tempo conseguem aquecer infraestrutura OPSEC para meu cenário?" Resposta abaixo de 2 semanas é red flag. Quem leva esse tempo a sério precisa de domínios pré-existentes com histórico, IPs limpos, certificados envelhecidos.
7. "Como tratam Initial Access se eu não autorizar phishing?" Times bons têm múltiplos vetores no playbook. Times ruins ficam travados.
8. "Qual a política de vocês se um operador descobrir 0-day no ambiente?" Resposta correta: divulgação coordenada, sem usar fora do escopo, registro detalhado. Se não tem política, vão usar contra outro cliente depois.

Perguntas comerciais e contratuais

9. "Quem assina o NDA? Quem pode ver o relatório?" Restrição máxima ao acesso ao relatório. Idealmente, 5 ou menos pessoas na sua empresa veem a versão completa.
10. "Como funciona o seguro de responsabilidade civil? Em quanto?" Profissionais têm seguro de pelo menos R$ 5 milhões. Sem isso, você é o cofiador de qualquer dano acidental.
11. "O contrato prevê 'safe harbor' para acessos não-intencionais a dados sensíveis?" Em operações longas, é normal o operador ver dados que não deveria. O contrato precisa lidar com isso (descarte, não-uso, log).
12. "Em que momento vocês param se houver indício de comprometimento real (não-Red-Team)?" O contrato deve dizer claramente: ao detectar atividade adversária real, o Red Team congela, comunica White Cell, e ativa-se IR. Quem não pensa nisso vai dar trabalho.

Para um guia mais profundo sobre avaliação de propostas, veja Como avaliar um relatório de Red Team: 12 perguntas do decisor.

5. Métricas e o que esperar como retorno

"Como vou justificar isso pro CFO?" — esta é a pergunta que define se o Red Team vira investimento recorrente ou exercício único. As métricas que importam para o board:

Métricas operacionais (defensáveis em qualquer auditoria)

• Time to first detection (TTFD): Quanto tempo entre a primeira ação do Red Team e o primeiro alerta gerado no SOC? Em Red Teams iniciantes, 5-15 dias é comum. O alvo após maturação: menos de 72 horas.
• Time to containment (TTC): Detecção é metade da batalha. Quanto tempo até o time isolar o asset comprometido? Bom: 2-6 horas após detecção. Ruim: dias.
• Detection coverage map: Das ~14 fases típicas de uma kill chain emulada, em quantas seu SOC gerou alerta? Mapa colorido por fase, comparado ao baseline anterior.
• Objetivos atingidos vs autorizados: Dos N objetivos contratados, o Red Team atingiu quantos? Em quanto tempo?

Para entender como o board lê esses números, leia MTTD e MTTR: as métricas que o board exige.

Métricas estratégicas (para o CFO/CEO)

• Mudança ano-a-ano: Red Team #2 detectou em 18 horas o que o Red Team #1 detectou em 11 dias. ROI traduzido.
• Cobertura de TTPs por valor: Quantas TTPs novas seu programa de detecção passou a cobrir após o exercício? Multiplicado por custo médio de incidente evitado.
• Resposta institucional: Quantos times participaram do replay? Time de comunicação treinou crise? Jurídico ativou playbook? Não é "soft" — é o que sobrevive a um incidente real.

6. Erros mais caros que vejo decisores cometerem

Erro 1: Contratar Red Team para "checkbox" de auditoria

Se a única razão é uma linha no relatório anual, contrate pentest profundo, custa metade e dá a mesma evidência para a maioria das auditorias. Red Team é caro porque o valor está no exercício, não no certificado.

Erro 2: Contratar fornecedor que faz também o pentest e gerencia o SOC

Conflito de interesse insolúvel. Quem cuida da defesa não pode atacar — vai inconscientemente evitar mostrar suas próprias falhas operacionais. Red Team precisa de fornecedor independente.

Erro 3: Não definir objetivos claros

"Tentem nos hackear" é um pedido de pentest. Red Team começa com 3-5 objetivos específicos e mensuráveis: "obter acesso ao sistema de pagamentos com privilégio admin", "exfiltrar a base de dados de cartões sem detecção", "acesso ao Active Directory Tier 0". Sem objetivos, não há critério de sucesso.

Erro 4: Esconder do Blue Team que vai ter Red Team no ano

Surpresa serve para teste único de detecção. Mas se o Blue Team nunca soube que iria acontecer, eles não tiveram tempo de melhorar runbooks, ajustar tooling, treinar pessoal. O segundo exercício deveria ser anunciado em janela (não data) para que o time tenha tempo de se preparar — assim o que você mede é a melhoria, não o susto.

Erro 5: Tratar o relatório como "achados"

Relatório de Red Team não vira ticket no Jira do mesmo jeito que vira o relatório de pentest. Cada finding precisa virar projeto de detecção, projeto de hardening, ou projeto de processo. Quem trata como bug list desperdiça 80% do valor.

7. O dia depois: o que você faz com o relatório

Esta é a parte que ninguém te conta na hora da venda. O relatório chega, são 80-150 páginas, e agora?

1. Hot wash em 48 horas com TI, Segurança, SOC e White Cell. Sem cobranças. Foco em "o que aprendemos".
2. Tradução em projetos: Cada finding gera 1 de 3 tipos de projeto — detecção (regra nova no SIEM), hardening (config segura), processo (runbook ou treinamento). Nada vira "ticket de bug" puro.
3. Plano de remediação com datas e donos, revisado pelo CISO mensalmente.
4. Re-teste em 6 meses: pentest focado nas correções, custo 10-15% do Red Team original.
5. Próximo Red Team em 12-18 meses, com cenário diferente — não repita o mesmo playbook.

Quem segue esse fluxo extrai 5x mais valor que quem só lê o relatório e arquiva. É a diferença entre R$ 300 mil bem investidos e R$ 300 mil que viraram custo afundado.

Conclusão para o decisor

Red Team Assessment é uma das ferramentas mais poderosas para validar que seu programa de segurança funciona — quando a empresa está madura o suficiente para extrair valor dele. Se você tem SOC funcional, pentest anual fluindo, IR exercitado e patrocínio executivo, Red Team é o próximo passo natural e tem retorno mensurável em redução de tempo de detecção, melhoria de cobertura de TTPs, e — mais importante — preparo real para crise.

Se você ainda não tem essa base, Red Team vira teatro caro. Construa a base primeiro. O investimento de R$ 60 mil/ano em pentest sólido durante dois anos rende mais que um Red Team de R$ 400 mil em ambiente despreparado.

Antes de assinar qualquer proposta, faça as 12 perguntas da seção 4. As respostas vão te dizer mais sobre o fornecedor que qualquer pitch comercial.