O teste de intrusão, comumente chamado de pentest, é um componente crucial da estratégia de segurança cibernética de qualquer empresa madura e está ganhando mais força e popularidade à medida que as empresas estão mais conscientes dos riscos cibernéticos diretos e de terceiros, exigindo, portanto, o pentesting como parte das avaliações de segurança cibernética dos fornecedores antes de assinar contratos com eles.
Além disso, regulamentos que estão entrando em vigor, como LGPD, SOC 2, DORA, NIS 2 e GDPR, também esperam testes de segurança pelo menos anualmente como parte da atividade de conformidade.
Quando se trata de contratar serviços de teste de intrusão, geralmente surge uma pergunta: qual é o preço médio do serviço de pentest?
Neste artigo vamos nos aprofundar nas nuances que afetam o preço dos serviços de testes de intrusão, discutindo tópicos relevantes como a qualidade, a profundidade e o escopo da análise.
Além disso, forneceremos uma visão geral dos tipos mais comuns de pentest e falaremos sobre os fatores de preço e os custos médios associados a cada um deles, permitindo que você tome as decisões corretas ao contratar uma empresa de pentest para avaliar as defesas da sua organização.
Preço médio do teste de intrusão – quais fatores o influenciam?
Ao considerar o custo do teste de intrusão, é importante reconhecer que vários fatores entram em jogo. Nesta seção, exploraremos os principais aspectos que geralmente influenciam o preço e o custo geral de um pentest, ajudando-o a entender como ajustar seu orçamento de acordo e o que esperar ao solicitar cotações para serviços de pentesting.
Reputação da empresa e experiência da equipe de pentest
A reputação da empresa de pentest e as habilidades da equipe que realiza o teste de intrusão fatores cruciais para determinar o custo.
Pentesters sênior com certificações relevantes do setor, como CREST, Offensive Security OSCP/OSCE/OSWE, SANS etc., podem cobrar valores mais altos, mas sua experiência pode levar a resultados mais valiosos, ajudando as empresas a entender melhor e a lidar com seus riscos de segurança.
A escolha de uma empresa de pentesting bem qualificada, com uma equipe experiente, que possa identificar vulnerabilidades que podem passar despercebidas por pentesters menos capacitada, garante uma análise mais abrangente e reduz as chances de incidentes de segurança e violações de dados.
Escopo, tamanho e complexidade do projeto
O escopo e a complexidade de um pentest têm um impacto significativo em seu custo. Projetos com escopo maior ou complexidade mais alta geralmente exigem mais tempo e recursos para serem avaliados, o que resulta em aumento de custos. Fatores como o número de sistemas, aplicativos ou ativos que estão sendo testados, bem como a complexidade do projeto, podem afetar significativamente o preço geral.
Sistema mais exóticos, legados ou integrações também pode aumentar o custo do teste de intrusão devido ao esforço extra necessário para analisá-los de forma adequada.
Conformidade e requisitos específicos do setor
Determinados setores, como o de saúde e o financeiro, podem ter requisitos ou padrões regulatórios específicos que precisam ser atendidos durante um pen test. A adesão a esses requisitos pode aumentar a complexidade do processo de teste e resultar em custos mais altos.
A conformidade com normas e frameworks, como HIPAA, PCI DSS, TIBER EU, CBEST, SOC 2 ou ISO 27001, pode exigir etapas adicionais ou conhecimento especializado, aumentando o custo do teste de intrusão.
Suporte a retestes e correções
Algumas empresas de testes de intrusão oferecem serviços de suporte adicionais, como testes de remediação, para ajudar os clientes a implementar as melhorias de segurança recomendadas ou fornecer consultoria contínua. Esses serviços podem ser importantes para as empresas que desejam aprimorar sua postura de segurança, mas também podem contribuir para aumentar os custos. É essencial pesar os benefícios desse suporte adicional em relação aos custos associados para determinar a opção mais adequada para sua empresa.
Nós oferecemos uma rodada de retestes gratuitos na maioria dos trabalhos de pentest que realizamos.
Infográfico – Fatores que afetam preço do pentest
Como os modelos comerciais influenciam o preço do pentest
Ao compreender como os diferentes modelos comerciais podem influenciar o preço dos pentest, as organizações podem tomar decisões mais informadas ao selecionar um fornecedor de segurança cibernética e reservar um orçamento para avaliações de testes de segurança. Vamos agora discutir os modelos comerciais mais comuns empregados no mercado.
Modelo de créditos ou compra de banco de horas
O modelo de créditos, também conhecido como a compra de um pacote de dias ou banco de horas, é outra abordagem de preços que alguns provedores de pentest oferecem. Nesse modelo, o cliente compra previamente um número definido de horas/dias de teste ou créditos, que podem ser usados para vários serviços de teste de penetração como parte de um serviço gerenciado. Esse modelo oferece flexibilidade, permitindo que as empresas aloquem os dias ou créditos adquiridos de acordo com suas necessidades e prioridades.
Além disso, a compra de um pacote geralmente negociam-se com desconto, o que pode ajudar os clientes a economizarem nos custos dos pentests. No entanto, é essencial monitorar cuidadosamente o uso desses dias ou créditos e garantir que sejam utilizados de forma eficiente, pois qualquer parte não utilizada pode expirar após um determinado período (geralmente 12 meses).
Isso é semelhante aos modelos de preços baseados em retenção (retainer), que envolvem um relacionamento contratual contínuo entre a organização e o provedor de pentest; com a diferença de que, em alguns contratos de retenção, há um valor mensal ou trimestral regular para um número predeterminado de horas de serviço.
Pacotes de serviços com preço fixo
Os pacotes de serviços de preço fixo oferecem um conjunto predefinido de serviços de teste de intrusão por um preço predeterminado. Esse modelo oferece um entendimento claro dos custos envolvidos, facilitando o orçamento das avaliações de segurança.
No entanto, os pacotes de preço fixo nem sempre são adequados para organizações com requisitos complexos, pois podem não abranger todos os aspectos necessários da análise, resultando em custos adicionais para serviços suplementares ou análises com cobertura de teste abaixo do ideal.
Contrato de tempo e material
O modelo de preços por tempo e materiais envolve o faturamento com base no tempo real gasto no teste de intrusão e na confecção de quaisquer materiais ou recursos adicionais necessários. Esse modelo pode ser mais flexível do que os pacotes de preço fixo ou de retenção, permitindo que as empresas paguem apenas pelos serviços de que precisam. No entanto, pode ser mais desafiador prever o custo final, pois ele depende do tempo e dos recursos reais consumidos durante o processo de teste.
Em termos de horas cobradas, os provedores de pentest de boa reputação costumam ter uma taxa horária no Brasil entre de R$ 400 a R$ 600 por hora, sendo que as tarefas mais especializadas, como avaliações de segurança de produtos ou engenharia reversa, exigem um valor de hora mais alta.
Serviços agregados
Alguns provedores de pentest podem oferecer pacotes ou complementos, nos quais vários tipos de avaliações ou serviços relacionados são reunidos em um pacote com desconto. Os serviços agregados podem proporcionar às empresas um serviço de pentest mais abrangente e, ao mesmo tempo, reduzir o custo geral.
Deve-se avaliar cuidadosamente se os serviços agrupados atendem às suas necessidades específicas e se as possíveis economias de custo justificam quaisquer compensações na profundidade ou no escopo dos testes.
Relacionamentos com fornecedores existentes
As relações existentes entre o cliente e o provedor de serviço de pentest também podem influenciar o preço. Se um prestador de serviço tiver trabalhado anteriormente com a empresa e tiver um profundo conhecimento de seus sistemas e infraestrutura, ele poderá oferecer preços mais competitivos. Isso ocorre porque o provedor pode aproveitar seu conhecimento existente para reduzir o tempo e o esforço necessários para a avaliação.
Além disso, os provedores podem estar dispostos a oferecer descontos ou outros incentivos para manter um relacionamento de longo prazo com a organização.
Procurando por um fornecedor de pentest? Coloque à prova suas defesas cibernéticas.
Entre em contato conosco para um orçamento
Tipos de pentest e seus fatores de preço
Nesta seção, exploraremos alguns dos tipos mais comuns de pentest, os fatores que influenciam seu custo e a faixa de preço médio para cada tipo de análise nos preços atuais do mercado.
Preço médio de um pentest Web/SaaS ou API
Os pentest em aplicações web e de API concentram-se na identificação de vulnerabilidades em aplicativos SaaS e aplicativos web e em seu back-end de suporte.
Os fatores de preço para esse tipo de análise incluem o número de aplicativos a serem testados, a complexidade dos aplicativos, o número de funcionalidades de cada aplicativo, quantas funções de usuário diferentes o aplicativo tem e quaisquer tecnologias ou estruturas específicas usadas. As abordagens de teste, como o pentest black box, grey box ou o pentest white box, também influenciam o preço.
O preço médio de um pentest em aplicação web pode variar de R$ 15,000 a R$ 65,000.
Preço médio de um pentest mobile
O pentesting de aplicativos móveis concentra-se na identificação de vulnerabilidades principalmente em aplicativos móveis Android e iOS e em sua infraestrutura de back-end e APIs associadas. Esse tipo de avaliação tem como objetivo descobrir pontos fracos de segurança que poderiam ser explorados por invasores contra o backend e também por aqueles com acesso físico ao dispositivo, o que poderia comprometer os dados do usuário ou a funcionalidade do aplicativo.
Os fatores de preço para pentest mobile incluem o número de aplicativos a serem testados, a plataforma a ser testada, a complexidade dos aplicativos, a variedade de recursos em cada aplicativo, as diferentes funções de usuário que o aplicativo suporta e quaisquer tecnologias específicas (por exemplo, biometria, NFC) ou estruturas usadas. Além disso, as abordagens de teste, como pentest de caixa preta e pentest de caixa branca/assistidos por código-fonte, também podem influenciar o preço.
O preço médio de um pentest de aplicativo mobile pode variar de R$ 20,000 a R$ 65,000, dependendo desses fatores e do nível de especialização necessário para avaliar efetivamente a segurança do aplicativo.
Preço médio de um pentest de infraestrutura de rede
O pentest infraestrutura avalia a segurança da rede, dos sistemas e dos dispositivos de uma organização. Esse tipo de teste pode ser dividido em teste de penetração externo e teste de penetração interno.
Os fatores que influenciam o custo dos pentest de infraestrutura incluem o tamanho e a complexidade da rede, o número de dispositivos a serem testados e quaisquer configurações exclusivas ou personalizadas.
Pentest externo
Um pentest externo concentra-se na identificação de vulnerabilidades e possíveis vetores de ataque de uma perspectiva externa, normalmente simulando as ações de um invasor que tenta obter acesso não autorizado à rede de uma empresa. Os fatores de preço para pentest externo incluem o número de sistemas e serviços expostos para a Internet, bem como a complexidade do perímetro da rede.
Os custos de um pentest externo pode variar de R$ 15,000 a R$ 75,000.
Pentest interno
Um teste de penetração interna, por outro lado, avalia a segurança da rede de uma organização a partir da perspectiva de uma pessoa de dentro. Esse tipo de teste simula um ataque originado dentro da organização, como um funcionário com intenção maliciosa ou um sistema comprometido. Os fatores que influenciam o custo dos pentest interna incluem o tamanho e a complexidade da rede interna, o número de dispositivos a serem testados, a presença de configurações exclusivas ou personalizadas e se o pentest é orientado por metas (por exemplo, tem um conjunto de bandeiras ou troféus a serem adquiridos como parte da avaliação).
Os custos de um pentest interno pode variar de R$ 25,000 a R$ 90,000.
Preço médio de um pentest cloud
O pentest em cloud avalia a segurança do ambiente de nuvem de uma empresa, inclusive a infraestrutura, os aplicativos e os dados armazenados em cloud. Os fatores de preço para esse tipo de teste incluem o número e a complexidade dos serviços em nuvem que estão sendo usados, bem como quaisquer requisitos de conformidade específicos do setor da organização.
Os custos dos pentest na nuvem podem variar muito, indo de R$ 15,000 a R$ 45,000.
Preço médio de um pentest em dispositivo IoT
Os pentest da IoT (Internet das Coisas) concentram-se na avaliação da segurança dos dispositivos conectados e de seus sistemas associados. Os fatores que influenciam o custo desse tipo de teste incluem o número e a variedade de dispositivos a serem testados, se é necessário contornar proteções como tamper proofing, se o firmware está protegido por criptografia, o número de protocolos de comunicação, como Bluetooth Low-Energy e ZigBee, bem como a complexidade do dispositivo associado.
Os custos dos pentest de IoT podem variar de R$ 50,000 a R$ 150,000, dependendo desses fatores.
Preço médio de uma avaliação de segurança de produto (product security)
As avaliações de segurança do produto envolvem a avaliação da segurança de um produto ou aplicativo de software específico durante todo o seu ciclo de vida de desenvolvimento. Os fatores que influenciam o custo desse tipo de avaliação incluem a complexidade do produto, as metodologias de desenvolvimento usadas, os modelos de ameaças levados em consideração e quaisquer tecnologias ou estruturas exclusivas envolvidas.
As avaliações de segurança de produtos geralmente têm escopos grandes, contendo vários elementos de um produto, às vezes acompanhados de revisão de código, e podem variar entre R$ 75,000 a mais de R$ 200,000.
Preço médio de um serviço de red team
Red teams simulam ataques reais para testar as defesas de segurança e a capacidade de resposta a incidentes de uma empresa. Os fatores que influenciam o custo de uma avaliação da red team incluem o tamanho e a complexidade da empresa, os objetivos do teste, a sofisticação dos ataques simulados, o nível de especialização necessário para realizar a avaliação e a estrutura que deve ser seguida (por exemplo, CBEST do Banco da Inglaterra, TIBER EU do Banco Central Europeu etc.), pois ela determina como a avaliação será realizada.
O preço de um exercício de red team com escopo aberto contra uma empresa de grande porte, orientado por objetivos e liderado por inteligência contra ameaças pode variar entre R$ 150,000 a R$ 250,000 ou até mais, dependendo desses fatores.
Os perigos dos pentests baratos
É essencial reconhecer que investir em um teste de intrusão abrangente e de alta qualidade pode proporcionar um valor significativo a longo prazo para sua empresa. Embora possa ser tentador optar por um serviço mais barato, isso pode ter várias consequências negativas que, em última análise, podem prejudicar a postura de segurança de sua instituição e, possivelmente, até mesmo sua reputação.
Frequentemente, esses tipos de avaliação são apressados, com testes altamente automatizados ou realizados manualmente por pentesters menos experientes, o que pode levar à perda de vulnerabilidades ou à identificação incorreta de riscos. Em muitos casos, trata-se de uma varredura de vulnerabilidades disfarçada de pentest. Resultados imprecisos ou incompletos podem dar às organizações uma falsa sensação de segurança, fazendo com que elas ignorem pontos fracos críticos de segurança que poderiam ser explorados por invasores.
A combinação de resultados imprecisos e uma falsa sensação de segurança pode levar a uma maior exposição ao risco para as organizações que optam por serviços de teste de penetração com preços “bons demais para ser verdade”.
Ao deixar de identificar e resolver vulnerabilidades críticas, essas organizações podem ficar mais suscetíveis a ataques cibernéticos, o que pode resultar em perdas financeiras significativas, danos à reputação e até mesmo consequências legais.
Observações finais
Compreender os vários fatores por trás de uma cotação de pentest é essencial para empresas que buscam investir em segurança cibernética. Fatores como o escopo e a profundidade do teste, a experiência do pentester e o tipo de avaliação desempenham um papel crucial na determinação do preço final. É fundamental reconhecer os possíveis perigos de optar por pentest baratos e bons demais para serem verdade, pois eles podem deixar lacunas de segurança significativas sem solução.
Ao considerar as necessidades exclusivas de seus sistemas e infraestrutura, as organizações podem selecionar o tipo mais adequado de teste de intrusão. Além disso, o conhecimento dos diferentes modelos comerciais e estruturas de preços disponíveis no mercado pode ajudar as organizações a tomar decisões informadas e a fazer um orçamento eficaz para suas avaliações de segurança cibernética.
No final, o investimento em um teste de intrusão completo e confiável pode contribuir significativamente para a postura geral de segurança de uma organização, ajudando a proteger seus valiosos ativos e sua reputação a longo prazo.
Se a sua organização estiver pensando em contratar serviços de pentest no futuro ou estiver procurando um novo fornecedor de pentest, entre em contato com nossos especialistas para obter uma cotação.