Elementrica
03Realizacje04Referencje05Firma06Aktualności07Kontakt
PLENDE

Testy penetracyjne a ocena podatności: kompleksowy przewodnik pozwalający zrozumieć różnice

ElementricaElementrica6 min
Testy penetracyjne a ocena podatności: kompleksowy przewodnik pozwalający zrozumieć różnice

Płacisz za test penetracyjny, a dostajesz raport z automatycznego skanera. To jedna z najczęstszych i najdroższych pomyłek przy zakupie usług bezpieczeństwa. Ocena podatności i test penetracyjny brzmią podobnie, ale odpowiadają na zupełnie inne pytania, kosztują inne pieniądze i inaczej chronią Twoją firmę. Poniżej pokazujemy, czym się różnią, kiedy stosować każde z nich i po czym poznać, że dostawca sprzedaje Ci skan pod nazwą pentestu.

Ocena podatności: szeroki skan znanych słabości

Ocena podatności (Vulnerability Assessment, VA) to w dużej mierze zautomatyzowany przegląd środowiska pod kątem znanych słabości. Skanery takie jak Nessus, OpenVAS czy Qualys sprawdzają wersje oprogramowania, konfiguracje, otwarte usługi i brakujące łatki, a na koniec zwracają listę luk uszeregowaną według wagi, najczęściej w skali CVSS.

To tania i szybka kontrola higieny bezpieczeństwa. Odpowiada na pytanie: co potencjalnie jest nie tak. Nie odpowiada na pytanie: co z tego realnie da się wykorzystać.

Co daje ocena podatności:

  • Szeroki zasięg: skanuje wiele hostów, usług i aplikacji naraz, żeby wykryć jak najwięcej znanych luk.
  • Automatyzacja: opiera się na narzędziach, z minimalnym udziałem człowieka.
  • Priorytetyzacja: na wyjściu dostajesz listę słabości i kolejność ich łatania.
  • Regularność: nadaje się do cyklicznego, częstego powtarzania.

Test penetracyjny: kontrolowany atak na Twoją firmę

Test penetracyjny (Penetration Test, PT) to kontrolowany, symulowany atak. Pentester wciela się w rolę napastnika i sprawdza, jak daleko realnie da się zajść, wykorzystując znalezione słabości. Często zaczyna się tak samo jak skan, ale na tym się nie kończy: ekspert manualnie potwierdza luki, łączy je w łańcuchy i pokazuje faktyczny skutek.

Różnica jest praktyczna. Skaner powie Ci, że w formularzu może występować podatność SQL injection. Pentester ją wykorzysta, pobierze bazę danych klientów i pokaże zrzut ekranu z ich danymi. W języku biznesu to nie pozycja na liście, tylko gotowy scenariusz wycieku, kary RODO i obowiązku notyfikacji UODO.

Dlatego jakość pentestu zależy od ludzi, nie od narzędzi. Pytaj o metodykę (PTES, OWASP, NIST) i o certyfikaty pentesterów, na przykład OSCP i OSEP. To Twój dowód, że płacisz za pracę eksperta, a nie za wyeksportowany raport ze skanera.

Co daje test penetracyjny:

  • Głębokość zamiast szerokości: skupia się na realnym wykorzystaniu wybranych luk i pokazuje ich praktyczne skutki.
  • Praca człowieka: manualne testy, kreatywne łączenie podatności i taktyki, których automat nie odtworzy.
  • Realny scenariusz ataku: phishing, ruch boczny w sieci, eskalacja uprawnień, eksfiltracja danych.
  • Raport z dowodami: opis exploitów, przejęte konta i dane, oś czasu ataku oraz konkretna ścieżka naprawcza, najlepiej z retestem po wdrożeniu.

VA czy pentest? Najważniejsze różnice

Najprościej zestawić oba podejścia obok siebie.

KryteriumOcena podatności (VA)Test penetracyjny (PT)
PytanieCo potencjalnie jest nie tak?Co realnie da się wykorzystać?
MetodaAutomatyczny skanManualna praca eksperta
ZakresSzeroki, wiele systemówGłęboki, wybrane cele
WynikLista luk według wagiRaport z dowodami i ścieżką ataku
Kto wykonujeNarzędziePentester z certyfikatami
CzęstotliwośćCyklicznie, częstoOkresowo, np. raz w roku
KosztNiższyWyższy, ale głębszy wgląd

Dlaczego ta różnica kosztuje

Mylenie skanu z pentestem ma trzy konkretne konsekwencje.

Zgodność z przepisami. Standardy i regulacje takie jak PCI DSS, ISO 27001, NIST, DORA czy NIS2 rozróżniają skanowanie podatności i testy penetracyjne. Jeśli audytor lub regulator wymaga pentestu, a Ty pokażesz raport ze skanera, formalnie nie spełniasz wymogu. To ryzyko zastrzeżeń w audycie albo kary.

Fałszywe poczucie bezpieczeństwa. Sama lista luk, bez potwierdzenia, które z nich da się wykorzystać, uspokaja zarząd bez realnej podstawy. Prawdziwe ryzyko zostaje nietknięte.

Marnowanie budżetu. VA jest tańsze i świetne do regularnej kontroli. PT kosztuje więcej, ale pokazuje, które poprawki naprawdę zmniejszają ryzyko. Płacenie ceny pentestu za skan to najgorszy z możliwych wyników.

Jak rozpoznać skan sprzedawany jako pentest

Część dostawców sprzedaje automatyczny skan pod nazwą testu penetracyjnego, bo brzmi poważniej i pozwala policzyć więcej za mniej pracy. Oto sygnały ostrzegawcze.

  • Brak dowodów wykorzystania. Raport wymienia luki, ale nie pokazuje, jak zostały wykorzystane ani połączone w łańcuch. To znak, że dostałeś skan.
  • Zero pracy manualnej. Brak wzmianki o manualnych testach, własnych ładunkach czy niestandardowych exploitach. Prawdziwy pentest to praca człowieka.
  • Ogólnikowy raport. Same automatyczne wnioski i rady w stylu 'zaktualizuj oprogramowanie', bez zrzutów ekranu, logów i opisu ataku.
  • Brak kontaktu z testerem. Rzetelny pentester ustala zakres, dopytuje o szczegóły i omawia znaleziska na bieżąco. Cisza i sam wyeksportowany plik to cecha skanu.

Kiedy używać VA, a kiedy pentestu

Oba podejścia się uzupełniają. VA utrzymuje bieżącą higienę, PT weryfikuje realną odporność.

Sięgnij po ocenę podatności, gdy:

  • prowadzisz regularne, cykliczne kontrole (co miesiąc, co kwartał),
  • chcesz szybko sprawdzić system po zmianie lub aktualizacji,
  • budujesz program bezpieczeństwa i chcesz namierzyć znane słabości na starcie.

Zamów test penetracyjny, gdy:

  • wymaga tego regulacja lub kontrakt (często raz albo dwa razy w roku),
  • wdrażasz nowy produkt, usługę albo dużą zmianę w systemie,
  • chcesz zweryfikować skuteczność zabezpieczeń i planu reakcji na incydent,
  • potrzebujesz realnego scenariusza ataku, żeby świadomie zaplanować inwestycje w bezpieczeństwo.

Co z tego wynika dla Twojej firmy

Ocena podatności mówi, co może być nie tak. Test penetracyjny pokazuje, dlaczego to ma znaczenie i ile realnie kosztuje. Nie są konkurencją, tylko dwiema warstwami tej samej strategii.

Zanim podpiszesz umowę, wymagaj jasności. Poproś dostawcę o zakres i metodykę na piśmie, zapytaj wprost o manualną eksploatację, dowody w raporcie i retest po naprawie. Jeśli w odpowiedzi słyszysz wyłącznie o narzędziach, prawdopodobnie kupujesz skan.

Jeśli nie masz pewności, czego naprawdę potrzebujesz, zacznij od krótkiej rozmowy z konsultantem. W 30 minut podpowiemy, czy w Twojej sytuacji lepszy będzie regularny skan podatności, pełny test penetracyjny, czy jedno i drugie.

Nie wiesz, czy potrzebujesz skanu czy pentestu?

Umów bezpłatną konsultację. Wspólnie ustalimy, czy wystarczy ocena podatności, czy potrzebny jest pełny test penetracyjny.

Poprzedni
Ile kosztuje test penetracyjny? Z czego składa się cena i na co uważać
Następny
Wzmocnienie cyberbezpieczeństwa w sektorze finansowym: kompletny przewodnik po ustawie o cyfrowej odporności operacyjnej (DORA)