Penetracijsko testiranje

Što je penetracijski test?

Penetracijsko testiranje je jedna od metoda evaluacije sigurnosti računalnih sustava simulirajući napad zlonamjernog korisnika (hakera). Proces uključuje aktivnu i detaljnu analizu računalnih sustava u potrazi za mogućim propustima u dizajnu, implementaciji i održavanju. Svi otkriveni propusti se na kraju testiranja navode u Izvještaju, uz ocjenu vjerojatnosti i mogućih posljedica, te prijedlozima za smanjivanje rizika. Nakon prezentacije Izvještaja ćemo odgovoriti na vaša pitanja, te zajedno s vašim IT stručnjacima osmisliti strategiju unapređenja sigurnosti.


Zašto provoditi penetracijski test?

Gledano s poslovne strane, penetracijsko testiranje vam pomaže proaktivnim, preventivnim mjerama osigurati svoje poduzeće od sljedećih rizika:

  • Financijske gubitke zbog pronevjere (hakeri, iznuđivači i nezadovoljni djelatnici) ili radi nepouzdanih poslovnih sustava i procesa
  • Pokazati veliku pozornost prema računalnoj sigurnosti, u skladu s industrijskim regulativama, te zahtjevima vaših stranaka, poslovnih partnera i dioničara. Nemar može uzrokovati velike gubitke koji se mogu manifestirati u obliku naglih prestanaka suradnje, plaćanja velikih kazni, narušenog ugleda ili totalne propasti. Na osobnoj razini posljedice mogu biti gubitak radnog mjesta, tužbe, te ponekad čak i zatvorska kazna.
  • Zaštita vlastitog ugleda izbjegavajući gubitak povjerenja stranaka i poslovnog ugleda

Gledano iz operativne perspektive, penetracijsko testiranje pomaže oblikovati strategiju računalne sigurnosti kroz:

  • Uočavanje sigurnosnih ranjivosti, kvantificirajući njihov utjecaj i vjerojatnost, omogućavajući proaktivno upravljanje, te pravovremeno osiguravanje potrebnih resursa za provedbu odgovarajućih sigurnosnih mjera

Što testirati?

Sigurnosno testiranje može obuhvatiti sve dijelove vašeg poduzeća koji zaprimaju, obrađuju ili pohranjuju digitalne podatke. Najčešće testirana područja su:

  • Mrežni serveri (izloženi prema Internet-u i interni serveri)
  • Radne stanice (PC računala ili prijenosna računala) kojima se koriste vaši djelatnici
  • Računalni sustavi izrađeni po narudžbi (dinamičke stranice, interne aplikacije…)
  • Računalne mreže i mrežna oprema (uključujući i bežične mreže)
  • Sigurnosne mjere (ili nedostatak istih) koje bi vaši djelatnici trebali primjenjivati
  • Mjere fizičke sigurnosti (kontrola pristupa, mogućnost neovlaštenog pristupa…)

U idealnom slučaju ste već proveli procjenu rizika, pa ste svjesni područja koja vam mogu nanijeti najviše štete (npr. prekidi u komunikaciji, prestanak rada računalnih sustava, gubitak povjerljivih informacija, neovlaštena promjena podataka…), te možete kroz penetracijsko testiranje identificirati sigurnosne propuste zbog koje bi se šteta mogla i ostvariti. Ukoliko niste proveli procjenu rizika, u pravilu se započinje s područjima najveće izloženosti (serveri izloženi Internetu, web stranice, serveri za elektronsku poštu, serveri za udaljeni pristup…). Prije pristupanja penetracijskom testiranju obavljamo provjeru ranjivosti, na osnovu koje vam možemo napraviti prijedlog za smanjivanje rizika.

Kako testirati?

U skladu s vašim zahtjevima, izrađenima uz pomoć savjeta naših stručnjaka, mogući su razni oblici testiranja:

  • ‘Black box’ testiranje - testiranje sigurnosti bez prethodnog znanja o vašoj računalnoj infrastrukturi i načinu poslovanja
  • ‘White box’ testiranje - na osnovu dokumentacije o vašem sustavu koju nam unaprijed isporučite obavljamo detaljno testiranje
  • ‘Gray box’ testiranje - radi uštede vremena i/ili postizanja detaljnijih rezultata testiranje se obavlja uz ograničene informacije

Što dobivate zauzvrat?

Iako prilikom testiranja i analize rezultata ulažemo velike količine truda i tehničkih vještina, prava vrijednost penetracijskog testiranja je Izvještaj kojega na kraju isporučimo. Ukoliko izvještaj nije jasan i razumljiv, onda je uloženi trud malo vrijedan.


Izvještaj, te njegova prezentacija moraju biti prilagođeni naručiteljima. Upravi su potrebni poslovni rizici i mogućnosti za prevenciju jasno opisani ‘svakodnevnim’ rječnikom. Managerima je potreban širok pregled situacije, bez suvišnih tehničkih detalja. Vaši računalni stručnjaci će najviše biti zainteresirani za tehničke detalje vezane uz otkrivene ranjivosti, te za preporuke vezane na moguće protumjere i prevenciju.

Kako dalje?

Nakon uspješno provedenog penetracijskog testiranja i u budućnosti možete računati na našu pomoć:

  • Kreiranje vaše sigurnosne politike
  • Periodične provjere ranjivosti
  • Uvođenje PKI infrastrukture
  • Konzultacije prilikom uvođenja novih dijelova računalnih sustava
  • Implementaciju kompletnog sustava sigurnosti
  • Edukacija (računalnih inženjera i ostalih djelatnika)
  • Hitne intervencije u toku i nakon sigurnosnog incidenta
  • Usluge računalne forenzike