CompTIA PenTest+

A CompTIA PenTest+ (PT0-003) valida as habilidades necessárias para planejar, definir escopo e realizar testes de penetração, analisar descobertas e comunicar efetivamente os resultados às partes interessadas. Ela abrange todo o ciclo de vida do teste de penetração, incluindo reconhecimento, enumeração, descoberta de vulnerabilidades, exploração, pós-exploração e movimentação lateral em ambientes tradicionais, cloud, híbridos, aplicações web, API e IoT.

A versão PT0-003 foi lançada em 17 de dezembro de 2024, adicionando cobertura para ataques baseados em IA, exploração expandida de cloud e API, técnicas modernas de pós-exploração e ferramentas atualizadas. É a única certificação focada especificamente em teste de penetração com uma abordagem prática baseada em desempenho.

A PenTest+ é considerada de nível intermediário, posicionada acima da Security+ e complementar à CySA+ (que foca em segurança defensiva). É recomendada para profissionais com 3 a 4 anos de experiência prática em testes de penetração.

O exame consiste em no máximo 90 questões a serem respondidas em 165 minutos. As questões incluem itens de múltipla escolha e baseados em desempenho (simulação). As questões baseadas em desempenho exigem que os candidatos resolvam problemas em ambientes simulados, como executar comandos, analisar a saída de ferramentas ou configurar exploits.

As questões de múltipla escolha incluem formatos de resposta única e múltiplas respostas. Algumas questões podem apresentar cenários que exigem a análise de diagramas de rede, saídas de logs ou resultados de ferramentas. Questões de arrastar e soltar testam a capacidade de sequenciar fases de ataque ou associar técnicas a cenários.

A nota de aprovação é 750 em uma escala de 100 a 900. As questões têm pesos diferentes, com as questões baseadas em desempenho geralmente tendo peso maior do que os itens padrão de múltipla escolha.

Armadilhas comuns para candidatos da PenTest+ incluem:

1. Negligenciar o gerenciamento do engajamento: Muitos candidatos focam fortemente na exploração técnica, subestimando a importância do scoping, regras de engajamento, considerações legais e requisitos de conformidade. O Domínio 1 (Engagement Management) e a elaboração de relatórios são frequentemente subestimados.

2. Familiaridade com ferramentas sem compreensão: Conhecer os nomes das ferramentas (Nmap, Burp Suite, Metasploit) sem entender o que a saída significa ou quando usar cada ferramenta. O exame testa o conhecimento aplicado, não apenas o reconhecimento.

3. Pular a metodologia: Ir direto para a exploração sem reconhecimento e enumeração adequados. O exame segue uma metodologia estruturada de teste de penetração e espera que os candidatos entendam por que cada fase é importante.

4. Confundir varredura de vulnerabilidades com teste de penetração: Entender a diferença entre avaliação automatizada de vulnerabilidades e teste de penetração manual é crítico.

5. Habilidades fracas de elaboração de relatórios: O exame testa sua capacidade de comunicar descobertas, escrever resumos executivos e recomendar remediação. Apenas habilidades técnicas não são suficientes.

6. Ignorar testes de cloud e API: A PT0-003 expandiu a cobertura de ambientes cloud, testes de API e superfícies de ataque modernas. Candidatos que se preparam apenas para pentesting tradicional de rede terão dificuldades.

A CompTIA PenTest+ PT0-003 é aplicada em centros de teste Pearson VUE em todo o mundo ou via supervisão online a partir de casa ou do escritório. O exame está disponível em inglês, francês, japonês e português.

O voucher do exame custa aproximadamente 404 USD (os preços podem variar por região). Os candidatos devem pagar a taxa integral do exame para cada tentativa. A CompTIA não oferece reaplicações gratuitas ou descontos em novas tentativas.

Não há pré-requisitos formais, mas a CompTIA recomenda as certificações Network+ e Security+ ou conhecimento equivalente, além de 3 a 4 anos de experiência prática em testes de penetração.

A certificação é válida por três anos a partir da data de obtenção. A renovação exige a obtenção de 60 Continuing Education Units (CEUs) dentro do ciclo de três anos, além do pagamento da taxa anual de CE. Os CEUs podem ser obtidos por meio de cursos de treinamento, conferências do setor, ensino, publicações e outras atividades aprovadas. Alternativamente, a aprovação em uma certificação CompTIA de nível superior renova automaticamente a PenTest+.