Testy penetracyjne a ocena podatności: kompleksowy przewodnik pozwalający zrozumieć różnice

Płacisz za test penetracyjny, a dostajesz raport z automatycznego skanera. To jedna z najczęstszych i najdroższych pomyłek przy zakupie usług bezpieczeństwa. Ocena podatności i test penetracyjny brzmią podobnie, ale odpowiadają na zupełnie inne pytania, kosztują inne pieniądze i inaczej chronią Twoją firmę. Poniżej pokazujemy, czym się różnią, kiedy stosować każde z nich i po czym poznać, że dostawca sprzedaje Ci skan pod nazwą pentestu.
Ocena podatności: szeroki skan znanych słabości
Ocena podatności (Vulnerability Assessment, VA) to w dużej mierze zautomatyzowany przegląd środowiska pod kątem znanych słabości. Skanery takie jak Nessus, OpenVAS czy Qualys sprawdzają wersje oprogramowania, konfiguracje, otwarte usługi i brakujące łatki, a na koniec zwracają listę luk uszeregowaną według wagi, najczęściej w skali CVSS.
To tania i szybka kontrola higieny bezpieczeństwa. Odpowiada na pytanie: co potencjalnie jest nie tak. Nie odpowiada na pytanie: co z tego realnie da się wykorzystać.
Co daje ocena podatności:
- Szeroki zasięg: skanuje wiele hostów, usług i aplikacji naraz, żeby wykryć jak najwięcej znanych luk.
- Automatyzacja: opiera się na narzędziach, z minimalnym udziałem człowieka.
- Priorytetyzacja: na wyjściu dostajesz listę słabości i kolejność ich łatania.
- Regularność: nadaje się do cyklicznego, częstego powtarzania.
Test penetracyjny: kontrolowany atak na Twoją firmę
Test penetracyjny (Penetration Test, PT) to kontrolowany, symulowany atak. Pentester wciela się w rolę napastnika i sprawdza, jak daleko realnie da się zajść, wykorzystując znalezione słabości. Często zaczyna się tak samo jak skan, ale na tym się nie kończy: ekspert manualnie potwierdza luki, łączy je w łańcuchy i pokazuje faktyczny skutek.
Różnica jest praktyczna. Skaner powie Ci, że w formularzu może występować podatność SQL injection. Pentester ją wykorzysta, pobierze bazę danych klientów i pokaże zrzut ekranu z ich danymi. W języku biznesu to nie pozycja na liście, tylko gotowy scenariusz wycieku, kary RODO i obowiązku notyfikacji UODO.
Dlatego jakość pentestu zależy od ludzi, nie od narzędzi. Pytaj o metodykę (PTES, OWASP, NIST) i o certyfikaty pentesterów, na przykład OSCP i OSEP. To Twój dowód, że płacisz za pracę eksperta, a nie za wyeksportowany raport ze skanera.
Co daje test penetracyjny:
- Głębokość zamiast szerokości: skupia się na realnym wykorzystaniu wybranych luk i pokazuje ich praktyczne skutki.
- Praca człowieka: manualne testy, kreatywne łączenie podatności i taktyki, których automat nie odtworzy.
- Realny scenariusz ataku: phishing, ruch boczny w sieci, eskalacja uprawnień, eksfiltracja danych.
- Raport z dowodami: opis exploitów, przejęte konta i dane, oś czasu ataku oraz konkretna ścieżka naprawcza, najlepiej z retestem po wdrożeniu.
VA czy pentest? Najważniejsze różnice
Najprościej zestawić oba podejścia obok siebie.
Dlaczego ta różnica kosztuje
Mylenie skanu z pentestem ma trzy konkretne konsekwencje.
Zgodność z przepisami. Standardy i regulacje takie jak PCI DSS, ISO 27001, NIST, DORA czy NIS2 rozróżniają skanowanie podatności i testy penetracyjne. Jeśli audytor lub regulator wymaga pentestu, a Ty pokażesz raport ze skanera, formalnie nie spełniasz wymogu. To ryzyko zastrzeżeń w audycie albo kary.
Fałszywe poczucie bezpieczeństwa. Sama lista luk, bez potwierdzenia, które z nich da się wykorzystać, uspokaja zarząd bez realnej podstawy. Prawdziwe ryzyko zostaje nietknięte.
Marnowanie budżetu. VA jest tańsze i świetne do regularnej kontroli. PT kosztuje więcej, ale pokazuje, które poprawki naprawdę zmniejszają ryzyko. Płacenie ceny pentestu za skan to najgorszy z możliwych wyników.
Jak rozpoznać skan sprzedawany jako pentest
Część dostawców sprzedaje automatyczny skan pod nazwą testu penetracyjnego, bo brzmi poważniej i pozwala policzyć więcej za mniej pracy. Oto sygnały ostrzegawcze.
- Brak dowodów wykorzystania. Raport wymienia luki, ale nie pokazuje, jak zostały wykorzystane ani połączone w łańcuch. To znak, że dostałeś skan.
- Zero pracy manualnej. Brak wzmianki o manualnych testach, własnych ładunkach czy niestandardowych exploitach. Prawdziwy pentest to praca człowieka.
- Ogólnikowy raport. Same automatyczne wnioski i rady w stylu 'zaktualizuj oprogramowanie', bez zrzutów ekranu, logów i opisu ataku.
- Brak kontaktu z testerem. Rzetelny pentester ustala zakres, dopytuje o szczegóły i omawia znaleziska na bieżąco. Cisza i sam wyeksportowany plik to cecha skanu.
Kiedy używać VA, a kiedy pentestu
Oba podejścia się uzupełniają. VA utrzymuje bieżącą higienę, PT weryfikuje realną odporność.
Sięgnij po ocenę podatności, gdy:
- prowadzisz regularne, cykliczne kontrole (co miesiąc, co kwartał),
- chcesz szybko sprawdzić system po zmianie lub aktualizacji,
- budujesz program bezpieczeństwa i chcesz namierzyć znane słabości na starcie.
Zamów test penetracyjny, gdy:
- wymaga tego regulacja lub kontrakt (często raz albo dwa razy w roku),
- wdrażasz nowy produkt, usługę albo dużą zmianę w systemie,
- chcesz zweryfikować skuteczność zabezpieczeń i planu reakcji na incydent,
- potrzebujesz realnego scenariusza ataku, żeby świadomie zaplanować inwestycje w bezpieczeństwo.
Co z tego wynika dla Twojej firmy
Ocena podatności mówi, co może być nie tak. Test penetracyjny pokazuje, dlaczego to ma znaczenie i ile realnie kosztuje. Nie są konkurencją, tylko dwiema warstwami tej samej strategii.
Zanim podpiszesz umowę, wymagaj jasności. Poproś dostawcę o zakres i metodykę na piśmie, zapytaj wprost o manualną eksploatację, dowody w raporcie i retest po naprawie. Jeśli w odpowiedzi słyszysz wyłącznie o narzędziach, prawdopodobnie kupujesz skan.
Jeśli nie masz pewności, czego naprawdę potrzebujesz, zacznij od krótkiej rozmowy z konsultantem. W 30 minut podpowiemy, czy w Twojej sytuacji lepszy będzie regularny skan podatności, pełny test penetracyjny, czy jedno i drugie.
Umów bezpłatną konsultację. Wspólnie ustalimy, czy wystarczy ocena podatności, czy potrzebny jest pełny test penetracyjny.