Typický rozsah
Web, aplikace nebo API Jasně vymezený cíl, role, prostředí, testovací účty a pravidla práce.Ověřím, které slabiny jsou skutečně zneužitelné a jaký mají reálný dopad.
Penetrační testování je vhodné tam, kde potřebujete nezávisle ověřit odolnost webu, aplikace nebo vybraného rozsahu infrastruktury z pohledu útočníka.
Má smysl začít, když známe rozsah a rozhodnutí, které má test podpořit.
Penetrační test není obecná kontrola bezpečnosti. Největší hodnotu má ve chvíli, kdy je jasné, jaký systém se testuje, kdo výstup použije a jak rychle mají navázat opravy.
Cenový filtr
Review od 75 000 Kč Plnohodnotný penetrační test typicky od 120 000 Kč podle rozsahu.Výstup
Nálezy použitelné pro opravy Dopad, důkaz, priorita a doporučení, aby technický tým věděl, co má změnit.Kdy zvolit security review a kdy penetrační test
Technické ověření má největší hodnotu, když je jasné, co se testuje, proč se to testuje a kdo bude podle výstupu opravovat.
Jaký problém řešíme
Potřebujete ověřit skutečnou zneužitelnost
Ne každá slabina má stejný dopad. Penetrační test ukáže, které chyby jsou skutečně využitelné útokem.
Chybí nezávislý pohled na odolnost systému
Interní tým zná prostředí příliš dobře. Externí test pomůže odhalit slepá místa a slabé kombinace nastavení.
Potřebujete podklad pro opravy a ověření změn
Cílem není jen najít chybu, ale dodat nález tak, aby šel efektivně opravit a následně ověřit.
Co potřebuji pro nacenění a bezpečné provedení
Čím přesnější je rozsah, tím lépe jde odhadnout cenu, termín a pravidla testu.
- typ systému, URL nebo popis prostředí, které se má testovat
- vymezení rozsahu, rolí, testovacích účtů, API a integrací
- informaci, zda jde o produkci, testovací prostředí nebo pre-release
- požadovaný termín, časová omezení a kontaktní osobu pro eskalaci
- předchozí nálezy nebo architektonický kontext, pokud existují
Kdy penetrační test není správný vstup
Někdy je lepší začít menším review, architektonickou konzultací nebo vyjasněním rozsahu.
Rozsah není vymezený
Pokud není jasné, co se testuje a co je mimo rozsah, nejdřív je potřeba rozsah připravit.
Cílem je jen automatický sken
Automatizace může být součástí práce, ale hlavní hodnota je v ověření dopadu a prioritě oprav.
Nemáte kapacitu na opravy
Test bez navazující kapacity má menší hodnotu. V takovém případě může být vhodnější menší review s prioritami.
Ukázka struktury výstupu penetračního testu
Výstup z testu je zaměřený na zneužitelné scénáře, důkaz a prioritu oprav.
Důkaz
Popis zneužitelného scénáře
Každý významný nález je popsaný z pohledu dopadu, podmínek zneužití a důkazního materiálu.
Priorita
Rozdělení nálezů podle reálného rizika
Oddělení kritických a skutečně využitelných chyb od věcí, které mají menší dopad nebo lze řešit jinak.
Ověření oprav
Jasné napojení na opravu a ověření
Doporučení k nápravě a možnost navazujícího ověření po opravách.
Co dostanete
Report zneužitelných nálezů
Slabiny popsané z pohledu dopadu, scénáře zneužití a priority řešení.
Doporučení k nápravě
Praktický návrh, co upravit v aplikaci, konfiguraci nebo architektuře.
Ověření oprav
Na penetrační test může navázat ověření, že byly kritické nálezy odstraněny správně.
Kdy to řešit hned
Penetrační test dává největší smysl ve chvíli, kdy potřebujete ověřit konkrétní rozsah, zneužitelnost a dopad.
Blíží se vydání aplikace nebo API
Potřebujete před vydáním vědět, jestli existují blokující zneužitelné chyby.
Máte veřejně dostupný systém
Chcete ověřit, jaké slabiny jsou skutečně dosažitelné a s jakým dopadem.
Opravili jste předchozí nálezy
Dává smysl ověřit, že opravy odstranily riziko a nezavedly nové slabiny.
Typický první krok
Detailní posouzení není bezplatná konzultace. Před cenou a termínem je potřeba určit testovaný rozsah.
Vymezení rozsahu testu
Nacenění připravuji až po vyjasnění rozsahu aplikace, API, rolí, prostředí, testovacích účtů a dostupné dokumentace.
Orientační cena
U testování je klíčový rozsah. Rozdíl mezi malým security review a plnohodnotným penetračním testem je hlavně v hloubce, počtu rolí, API, prostředích a požadovaném ověření oprav.
Cílené security review
Typicky od 75 000 Kč pro menší rozsah, konkrétní funkci, změnu nebo předběžné ověření rizik.
Penetrační test
Typicky od 120 000 Kč pro jasně vymezený web, aplikaci nebo API s reportem zneužitelných nálezů.
Ověření oprav
Navazující ověření kritických nebo významných oprav lze nacenit samostatně podle počtu nálezů a rozsahu změn.
Pro hrubý odhad potřebuji typ systému, rozsah, počet rolí, API, prostředí a očekávaný termín.
Jak probíhá spolupráce
Rozsah a pravidla testu
Vymezíme cílový rozsah, omezení, časové okno a způsob práce s citlivými zjištěními.
Technické testování
Ověřuji zneužitelnost slabin v dohodnutém rozsahu a eviduji dopad i důkazní materiál.
Report a prioritizace
Dostanete report s dopadem, scénářem zneužití a doporučením k opravě.
Ověření oprav nebo konzultace nad nápravou
Po opravách mohu potvrdit jejich účinnost nebo projít nálezy s technickým týmem.
Pro koho je služba vhodná
- týmy s webem nebo aplikací vystavenou ven
- organizace, které chtějí ověřit konkrétní rozsah infrastruktury
- firmy, které potřebují nezávislý bezpečnostní pohled před spuštěním nebo po změně
Navazující situace a služby
Časté otázky
Děláte test spíš jako sken nebo manuální ověření?
Zaměřuji se na ověření zneužitelnosti. Automatizace může být součástí práce, ale cílem je použitelné vyhodnocení, ne jen export nástrojů.
Může penetrační test ohrozit provoz?
Rozsah a pravidla testu nastavujeme předem. Cílem je minimalizovat riziko pro provoz a pracovat kontrolovaně.
Umíte navázat ověřením oprav?
Ano. Ověření oprav je vhodný navazující krok po odstranění kritických nebo významných nálezů.
Potřebujete ověřit zneužitelnost slabin?
Pošlete rozsah, typ systému a očekávaný termín. Navrhnu vhodný model testu i výstupu.