Red Team vs Pentest vs BAS: qual contratar e quando
TL;DR
Pentest acha vulnerabilidades. Red Team testa se seu time detecta e responde a um adversário. BAS automatiza simulação contínua de ataques conhecidos contra suas defesas. Os três são complementares, não substitutos. A escolha depende da sua maturidade: empresas iniciantes precisam de pentest, empresas maduras precisam dos três rodando em ciclos diferentes (pentest contínuo, BAS mensal, Red Team anual).
Três serviços frequentemente confundidos, com objetivos completamente diferentes, faixas de preço de 10x entre o menor e o maior. Vamos colocar lado a lado para você decidir o que faz sentido para sua empresa agora — não daqui a três anos.
Definições rápidas (sem marketing)
Penetration Test (Pentest)
Objetivo: identificar o maior número possível de vulnerabilidades exploráveis em um conjunto definido de ativos. Pergunta que responde: "Quais são as falhas de segurança nestes sistemas, classificadas por criticidade?" Saída: lista de findings com CVSS, evidência, recomendação de correção.
Red Team Assessment
Objetivo: simular um adversário real tentando atingir objetivos específicos da empresa, testando toda a cadeia de defesa-detecção-resposta. Pergunta que responde: "Se um grupo organizado tivesse minha empresa como alvo, quanto tempo levaria para atingir os ativos críticos sem ser detectado?" Saída: relatório narrativo de operação + métricas de detecção/resposta.
Breach and Attack Simulation (BAS)
Objetivo: rodar continuamente uma biblioteca curada de ataques conhecidos (TTPs mapeadas no MITRE ATT&CK) contra suas defesas, medindo o que detecta e o que passa. Pergunta que responde: "Das milhares de técnicas que adversários usam, quais minha stack atual detecta?" Saída: dashboard contínuo de cobertura de detecção por TTP.
Tabela comparativa
| Critério | Pentest | Red Team | BAS |
|---|---|---|---|
| O que mede | Vulnerabilidades exploráveis | Capacidade de detecção e resposta | Cobertura de TTPs conhecidas |
| Duração típica | 1-4 semanas | 8-16 semanas | Contínuo (SaaS) |
| Custo no Brasil 2026 | R$ 20-60 mil | R$ 180-700 mil | R$ 80-300 mil/ano |
| Quem é avisado | TI inteira | Apenas White Cell (3-5 pessoas) | Time de SecOps |
| Tem objetivo final? | Não (cobertura ampla) | Sim (3-5 objetivos) | Não (cobertura ampla) |
| Pré-requisitos | Nenhum especial | SOC + IR + pentest maduros | SIEM/EDR/XDR funcionais |
| Frequência ideal | Trimestral a anual | 12-18 em 12-18 meses | Diário/semanal |
| Saída principal | Lista de vulnerabilidades | Narrativa + métricas | Dashboard contínuo |
Os três como ciclo de maturidade
A confusão mais comum: tratar como mutuamente exclusivos. Não são. São camadas de maturidade que se sobrepõem.
Estágio 1 — Pentest é tudo o que você precisa
Indicadores: empresa com até ~50 endpoints, sem SOC operacional, sem regulador exigindo evidência adversarial. Aqui pentest anual em todos os ativos críticos + corrigir findings é o caminho de maior ROI. Se você está aqui, leia o que é Pentest e quanto custa um pentest.
Estágio 2 — Pentest + BAS
Indicadores: empresa com SOC operacional, SIEM/EDR implementados, 100-1000 endpoints, time de SecOps com 3-10 pessoas. Pentest continua sendo trimestral/semestral nos ativos críticos. BAS entra para validação contínua: "estou detectando lateral movement via WMI?" "minha regra de DCSync funciona?". O BAS faz a tradução entre o que o pentest descobriu pontualmente e o que sua defesa precisa cobrir continuamente.
Estágio 3 — Os três rodando juntos
Indicadores: empresa madura, 1000+ endpoints, SOC com runbook estabelecido, board exigindo evidência de teste adversarial, possível exigência regulatória. Pentest continuo (mensal nos ativos críticos), BAS rodando 24/7 com dashboard executivo, Red Team a cada 12-18 meses para validar tudo junto sob estresse adversarial real.
O erro mais caro: contratar Red Team em vez de Pentest
É o erro de quem ouviu "Red Team" em uma palestra e decidiu "queremos ser maduros". Resultado típico:
- Empresa contrata Red Team de R$ 350 mil
- Red Team encontra 4 vulnerabilidades críticas nas primeiras 48 horas
- Atinge todos os objetivos em 9 dias
- SOC, que existe há 4 meses, não detecta nada
- Relatório é demolidor
- Diretoria fica chocada, time de TI fica defensivo, projeto morre politicamente
- Próximo ano, ninguém quer ouvir falar de Red Team de novo
Esses R$ 350 mil teriam virado 5-7 pentests de qualidade + 12 meses de BAS rodando contínuo. A empresa teria saído do estágio 1 para um sólido estágio 2 — preparada para Red Team com retorno mensurável dali a 18 meses.
O erro mais caro: usar BAS como substituto de Red Team
BAS é poderoso, mas tem limites estruturais:
- BAS roda TTPs conhecidas de uma biblioteca curada. Não improvisa.
- BAS não testa processo humano. Não liga para o atendente para tentar engenharia social. Não envia phishing customizado. Não escala social.
- BAS não tem persistência adversária real. Faz teste único da técnica e reseta.
- BAS não testa o Blue Team sob estresse. Não simula 3 horas da manhã, plantão fim de semana, segunda regional indo embora no meio do incidente.
BAS é excelente para responder "estou cobrindo X TTPs?" continuamente. Não responde "meu time aguenta um adversário real?".
Calendário ideal para empresa madura
Para uma empresa em estágio 3, um calendário razoável de testes:
- Mensal: BAS contínuo + revisão de cobertura de detecção
- Trimestral: Pentest dirigido a um sistema crítico (rotação de ativos)
- Semestral: Tabletop exercise com C-level (3-4 horas)
- Anual: Pentest completo do perímetro + ativos novos do ano
- A cada 12-18 meses: Red Team Assessment com cenário novo
- A cada 24 meses: Purple Team focado para fechar gaps específicos (leia Purple Team: ROI)
Critérios de decisão para sua próxima compra
Se você tem orçamento limitado e precisa escolher, eis a árvore de decisão honesta:
- Sua empresa tem SOC operacional há 6+ meses?
- Não → Pentest é a próxima compra. Ponto.
- Sim → siga.
- Você tem visibilidade contínua das TTPs que seu SOC detecta vs as que deveria?
- Não → BAS é a próxima compra (vai gerar mais valor por R$ que Red Team).
- Sim → siga.
- Seu último Red Team foi há mais de 18 meses (ou nunca?)
- Sim → Red Team é a próxima compra.
- Não → continue investindo em pentest dirigido aos ativos novos do ano e calibre BAS.
Quando o fornecedor "oferece tudo", desconfie
Times que fazem Red Team bem, geralmente fazem pentest bem. Mas o oposto não é verdade — fazer pentest bem não habilita ninguém a fazer Red Team. São disciplinas diferentes, com pessoas com perfis distintos.
BAS, por sua vez, geralmente é vendido por fornecedores de produto (SafeBreach, Picus, AttackIQ, Cymulate são os principais). Quem te vende BAS junto com Red Team usando o mesmo time, geralmente está revendendo BAS de outro fornecedor e empacotando — pode ser legítimo, mas peça transparência.
A regra: fornecedor independente de produto faz Red Team e Pentest mais isentos. Quem revende ferramentas tem incentivo a vender resultados que justificam mais consumo da ferramenta.
Conclusão
Pentest, Red Team e BAS não competem entre si — ocupam camadas diferentes do seu programa de segurança. O erro caro é tratar como exclusivos. Comece pelo que sua maturidade comporta hoje, e adicione camadas conforme seu programa amadurece. Investir R$ 60 mil em pentest sólido vale infinitamente mais que investir R$ 350 mil em Red Team prematuro.
Se você está montando o programa do zero, leia também o guia do decisor sobre Red Team para entender quando dar o salto.