@Rodrigo Sabanai vai depender muito do que você está buscando, geralmente pentest tem um escopo bem definido e a ideia é explorar uma parte da aplicação.
Da pra gastar de R$10.000,00 a $20,000. Tem desde de consultorias como Tempest (minha recomendação), Redbelt, Vantico (custo beneficio) entre outros, ou fabricantes de software de segurança que também oferecem o serviço, como TrendAI, Fortinet e outros, mas esses geralmente cobram em dólar.
Talvez um passo antes do pentest (se ainda não tiver) é ir atras de ferramentas de DAST (Dynamic Application Security Testing), é um ferramenta que vai testar sua aplicação com falhas conhecidas, é meio que um "pentest" pra validar OWASP Top 10 e outras vulnerabilidades mais conhecidas, não substitui um pentest, mas já ajuda resolver muitas falhas.
Também teria o SAST para o código, e outras ferramentas de postura para infraestrutura da aplicação, seja da nuvem pública ou ambiente de containers/k8s.
Enfim, vai depender muito do seu ambiente, qual ponto da aplicação quer testar, se vai ser white box, gray ou black como @Allan Henrique Granada Da Costa falou.
Existem ferramentas open source que fazem essas analises, e para alguns clientes pode ser suficiente por hora para comprovar que vocês fazem controle de risco e vulnerabilidades. Só para listar alguns:
SAST (Static Application Security Testing)
Semgrep (usada inclusive por big techs)
SonarQube (Community Edition)
DAST (Dynamic Application Security Testing)
OWASP ZAP (Zaproxy)
StackHawk (Plano Gratuito)
SCA (Software Composition Analysis)
Trivy
Dependency-Check (OWASP)
CSPM (Cloud Security Posture Management)
Prowler
E existe uma lista extensa no site da própria OWASP:
https://owasp.org/www-community/Source_Code_Analysis_Tools
https://owasp.org/www-community/Vulnerability_Scanning_Tools
