Pular para o conteúdo principal

PTES — As Sete Fases do Pentest

Âmbito e propósito

O manual exige validação ofensiva (pentest) para sistemas L2/L3 e produtos críticos, mas sem definir a profundidade que distingue um pentest sério de um scan rebatizado. O PTES (Penetration Testing Execution Standard) fornece essa referência: sete fases que estruturam o que um pentest deve cobrir, do enquadramento ao relatório.

Este addon integra o PTES como referência metodológica que ancora o requisito de pentest já existente. Não o impõe como norma única — OSSTMM, NIST SP 800-115 e o OWASP WSTG são referências complementares válidas conforme o âmbito.

Aplicabilidade: L2 e L3, APIs externas e produtos críticos, conforme a política de pentesting.

O PTES é uma referência de método, não uma certificação. A profundidade aplicada em cada fase deve ser proporcional ao risco do sistema. Exploração e pós-exploração exigem autorização explícita e rules of engagement documentadas — a metodologia não dispensa o enquadramento legal.

As sete fases

  1. Pre-Engagement. Definição de âmbito, rules of engagement, autorização formal e objetivos (black-box, grey-box, white-box). É a fase que torna o pentest legal e delimitado; sem ela, a execução é exposição de risco, não validação.
  2. Intelligence Gathering. Recolha de informação sobre o alvo — superfície exposta, tecnologia, OSINT — para identificar os pontos de entrada que um atacante real exploraria.
  3. Threat Modeling. Identificação dos ativos, processos de negócio e comunidades de ameaça relevantes, para focar o esforço onde o impacto é maior. Esta fase deve reutilizar o threat model do sistema (Cap. 03), não recomeçar do zero.
  4. Vulnerability Analysis. Identificação das fraquezas exploráveis nos pontos de entrada mapeados, combinando ferramenta e análise manual.
  5. Exploitation. Confirmação da explorabilidade real, não apenas teórica. É o que separa o pentest da análise de vulnerabilidades: demonstra que a fraqueza é acionável, dentro das rules of engagement.
  6. Post-Exploitation. Avaliação do impacto alcançável após o compromisso — movimento lateral, escalada de privilégios, acesso a dados, persistência. Quantifica o risco de negócio e é estritamente limitada pelas rules of engagement.
  7. Reporting. Documentação de achados, evidência, classificação de risco e orientação de remediação, dirigida tanto a decisores como a equipas técnicas. O relatório é o produto do pentest; sem ele, o exercício não produz valor acionável.

Integração no programa de testes

Cada fase do PTES ancora-se em artefactos já definidos no SbD-ToE:

  • Pre-Engagement materializa-se na política de pentesting e na autorização formal — âmbito, periodicidade e rules of engagement.
  • Threat Modeling reutiliza o Cap. 03, evitando duplicação e garantindo coerência entre o que se modelou e o que se testa.
  • Reporting alimenta a gestão de findings (Cap. 10) e exige a mesma disciplina de evidência e reprodutibilidade aplicada a qualquer teste — um achado de pentest que não é reproduzível não é acionável.

Relação com o TLPT

O PTES define a profundidade de um pentest geral, proporcional ao risco. O TLPT (Threat-Led Penetration Testing) é um regime regulatório distinto sob o DORA, com requisitos próprios de âmbito, threat intelligence e supervisão. Os dois não se confundem: aplicar o PTES não satisfaz uma obrigação de TLPT, e o TLPT não dispensa a prática regular de pentest proporcional ao risco.

Referências cruzadas

DocumentoRelação
Cap. 10 — PenTestingRequisito de validação ofensiva que estas fases aprofundam
Cap. 10 — Gestão de findingsDestino dos achados da fase de Reporting
Cap. 10 — Evidência e reprodutibilidadeDisciplina de evidência aplicável aos achados de pentest
Cap. 10 — TLPT readinessRegime regulatório distinto, a não confundir com pentest geral
Cap. 03 — Threat ModelingModelo reutilizado na fase de Threat Modeling do PTES
Política de Execução de PenTestingEnquadramento, âmbito e periodicidade

Sobre a curadoria: Consolidado a partir do PTES (Penetration Testing Execution Standard, pentest-standard.org) e de referências complementares (NIST SP 800-115, OSSTMM). Referência metodológica proporcional ao risco — não uma certificação nem um substituto do TLPT regulatório.