Red Team 101: Diferenca entre Pentest e Operacoes Adversariais Reais

Tem cliente que pede red team e quer um relatorio de pentest com 47 CVEs e screenshot do Nessus. Outro pede pentest e espera que voce contorne o EDR, faca lateral movement no AD e exfiltre o banco de dados de RH sem ser detectado em 30 dias. Os dois estao errados, e a culpa e parcialmente nossa, da industria, que mistura os termos ate virar marketing. Antes de cobrar 80k por engajamento, voce precisa saber exatamente que servico esta vendendo, porque a diferenca entre as duas modalidades muda contrato, ROE, equipe, ferramental e, principalmente, o que voce entrega no final.

Pentest e um exercicio de cobertura: dado um escopo finito (10 IPs, 3 aplicacoes web, uma API), voce enumera vulnerabilidades, valida exploracao quando possivel e produz um relatorio com severidades CVSS, evidencias e recomendacoes. O sucesso e medido em achados validos por hora, taxa de falso-positivo baixa e clareza de remediacao. E parecido com o trabalho que descrevemos em Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite e Pentest de APIs REST e GraphQL: Checklist Tecnico para Bug Bounty Legal: metodico, repetivel, com checklist tipo OWASP WSTG ou PTES. Voce nao precisa ser invisivel; precisa ser completo. Um SQLi como discutimos em SQL Injection na Pratica: Explorando, Detectando e Mitigando em Lab Controlado vale tanto quanto um XSS armazenado se ambos forem explorados e documentados.

Red team opera no eixo oposto: objetivos, nao cobertura. O cliente define uma joia da coroa (acesso ao cofre de assinatura de codigo, exfiltracao de planilha de M&A, domain admin no AD financeiro) e voce tem entre 4 e 12 semanas para chegar la emulando um adversario especifico, geralmente um TTP-set do MITRE ATT&CK mapeado de threat intel. O escopo de superficie e amplo (frequentemente toda a empresa), mas o de objetivo e estreito. Voce nao reporta 50 vulnerabilidades; voce reporta 3 caminhos de ataque end-to-end. Tecnicas como as de Adversary Emulation com Caldera e MITRE ATT&CK em Lab Corporativo, Lateral Movement em Lab: SMB, WMI e WinRM com Foco em Deteccao e Active Directory Pentest: Kerberoasting Passo a Passo em Lab GOAD entram em jogo, e cada acao precisa ser pensada contra deteccao.

ROE (Rules of Engagement) e onde projetos morrem. Em pentest, ROE costuma caber em duas paginas: janelas de teste, IPs autorizados, contatos de emergencia, proibicao de DoS. Em red team, ROE vira documento de 15 paginas com: lista de trusted agents (3 a 5 pessoas que sabem do exercicio), procedimentos de stand-down se a blue team comecar resposta a incidente real, regras de phishing (a quem mandar, a quem nao, como tratar credenciais coletadas) como em Phishing em Red Team Autorizado: Templates, GoPhish e Ressalvas Eticas, limites de C2 (sem implantes em estacoes de C-level sem autorizacao escrita), e clausulas sobre dados pessoais. Sem isso, voce vira o proximo headline do Krebs por motivos errados.

Disciplina etica importa mais que tecnica, e isso nao e frase de palestra. Significa coisas concretas: voce nao testa AMSI bypass em producao sem ter pratado em laboratorio como em Bypass de AMSI e ETW para Pesquisa Defensiva: O que Blue Teams Devem Saber; voce nao sobe infra de C2 reutilizada como em Construindo Infra de C2 com Sliver em Lab Isolado para Estudo Defensivo sem rotacao; voce nao usa initial access via Initial Access Simulado: Macros, LNK e ISO em Lab Windows 11 Isolado em estagiarios para inflar metrica; voce destroi credenciais coletadas no final do exercicio e documenta a destruicao. OPSEC operacional, como em OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal, protege tanto voce quanto o cliente, porque um vazamento dos seus artefatos vira intrusao real.

Times tambem sao diferentes. Pentest funciona bem com 1-2 operadores generalistas e talvez um especialista pontual (mobile, AD, cloud). Red team precisa de papeis: um operador de C2, um de phishing/initial access, um de AD/lateral, um para reporting continuo, e idealmente um threat intel lead que monta o profile do adversario emulado. Se voce esta vendendo red team com a mesma estrutura do pentest, esta vendendo pentest demorado. Pior: esta cobrando red team e entregando uma simulacao mediocre que nao testa o SOC nem da resultado de purple team utilizavel, como o que descrevemos em Purple Team na Pratica: Construindo Ciclo de Feedback Red x Blue.

Takeaway pratico: antes de aceitar qualquer engajamento, pergunte tres coisas ao cliente. Um, qual e o objetivo de negocio (compliance, validar SOC, testar resposta, achar buracos)? Dois, qual e o apetite por deteccao (testa-se o caminho ou testa-se o time)? Tres, quem sao os trusted agents e quem NAO pode saber? Se as respostas indicam compliance e cobertura, venda pentest e cumpra com excelencia. Se indicam validar deteccao e resposta contra adversario realista, venda red team com ROE robusto. Misturar os dois sob o mesmo SOW e como cobrar de cirurgia e entregar massagem: alguem sai machucado, geralmente sua reputacao.