May 12, 2026 · 4 min · Carol
Annual pentest vs continuous auditing: which one protects you more?
A pentest is a snapshot. Continuous auditing is a video feed. Here's when each makes sense, what they cost, and why most companies need both — in different proportions.
"A gente já fez pentest ano passado."
É a frase que o CISO de uma fintech me disse quando perguntei sobre auditoria contínua. Três meses depois, o cliente dele descobriu — via report de bug bounty externo — uma rota /admin/export exposta. O pentest não pegou porque a rota não existia no momento da auditoria. Foi deploy de novembro.
Pentest e auditoria contínua não são a mesma coisa. Quem trata como sinônimo paga em incidente.
A diferença em uma frase
- Pentest = um time de especialistas tenta invadir seu sistema durante 1–4 semanas, escreve relatório, vai embora.
- Auditoria contínua = robôs verificam sua superfície externa todos os dias, comparam com o estado anterior, alertam o que mudou.
Pentest é foto de alta resolução. Auditoria contínua é vídeo em baixa resolução. Quem precisa identificar o cara, usa foto. Quem precisa saber se alguém entrou no prédio, usa vídeo. Você quer os dois — mas confundir um com o outro é caro.
O que cada um faz bem
Pentest
| Forte em | Por quê |
|---|---|
| Vulnerabilidades de lógica de negócio | Robô não entende "esse usuário não devia ver pedido alheio" |
| Encadeamento de falhas | Combinar XSS + CSRF + IDOR pra escalar — só humano vê |
| Profundidade autenticada | Pentester loga, navega, abusa |
| Comprovação de impacto | Relatório aceito por auditor externo, BC, conselho |
| Conformidade pontual | PCI-DSS exige pentest anual |
Auditoria contínua
| Forte em | Por quê |
|---|---|
| Drift entre pentests | O .env esquecido em prod aparece 3 dias depois do deploy, não 8 meses depois no próximo pentest |
| Superfície que muda | Subdomínios novos, certificados expirando, headers que sumiram, portas que abriram |
| Vulnerabilidades CVE públicas | CVE novo sai → no dia seguinte sua versão exposta de nginx já está sinalizada |
| Custo por checagem | Centavos por varredura, escala automática |
| Histórico evolutivo | "Em janeiro estávamos com nota C, hoje B. O que mudou?" |
Onde cada um falha
Pentest falha quando:
- O sistema muda toda semana e o pentest foi há 6 meses.
- O escopo foi reduzido pra caber no orçamento ("só a aplicação, sem infra").
- O pentester é júnior e roda Nessus disfarçado.
- O relatório vira PDF de prateleira que ninguém leu.
Auditoria contínua falha quando:
- Tratada como substituta de pentest pra coisas que exigem inteligência humana.
- Sem ninguém olhando os alertas (vira ruído).
- Configurada com escopo errado (só varre 1 domínio quando você tem 80 subdomínios).
- Não diferencia ruído de WP core vs achado real do seu código.
Custo comparativo
Numa stack típica de empresa de médio porte em BR:
O custo de um incidente de média gravidade no Brasil (multa LGPD + remediação + reputação) costuma passar de R$ 500 mil. Os dois investimentos juntos não chegam a 5% disso.
A regra prática (e por que a maioria erra)
A maioria das empresas brasileiras faz pentest anual porque a auditoria/PCI cobra, e não tem nada entre um pentest e o outro. Onze meses por ano elas são cegas pro que muda.
A regra honesta:
- Empresa que faz deploy semanal ou mais: auditoria contínua não é opcional. Pentest anual cobre profundidade; contínuo cobre drift.
- Empresa regulada (PCI, ISO 27001, LGPD com dados sensíveis): pentest é exigência formal. Auditoria contínua é o que reduz o risco entre pentests.
- Empresa pequena, site institucional, pouco código próprio: auditoria contínua sozinha cobre 80% do risco real (subdomínio órfão, cert vencendo, header faltando, secret vazado em repo). Pentest pode esperar até crescer ou aparecer dado sensível.
A inversão que vejo no mercado: empresa que só faz pentest anual e nada no meio. Isso protege a auditoria, não o negócio.
Onde Sentinela entra (e onde não entra)
O Sentinela é a camada de auditoria contínua externa. A gente roda:
- Probes de DNS, TLS, headers, portas abertas, banners de servidor
- Detecção de subdomínios e CNAMEs órfãos
- CVE matching em tecnologias detectadas
- SAST + secret scanning em repositório quando você conecta
- Score A–F atualizado a cada ciclo, com histórico
O que não somos:
- Pentest com humano (não tem julgamento de lógica de negócio nem encadeamento).
- Substituto pra relatório formal de PCI/ISO (somos evidência complementar, não primária).
A combinação que recomendo pra cliente:
- Sentinela rodando 24/7 — pega 80% do que importa, no momento que importa.
- Pentest anual com firma boa, com escopo realista (incluindo a superfície que o Sentinela mapeou — economiza dia de pentester reconhecendo o ambiente).
- Reauditoria do pentest pós-fix — pequena, mas crítica.
Para entender melhor o lado contínuo, vale ler ASM (Attack Surface Management) explicado.
A regra simples
Pentest sem auditoria contínua é planejar segurança como quem fotografa o cofre uma vez por ano e assume que ninguém mexeu nele entre as fotos. Funciona até o dia em que alguém mexeu.
Keep reading