Testul de penetrare (pentest) este un atac simulat și controlat asupra sistemelor IT ale companiei tale, executat de specialiști în securitate, pentru a identifica vulnerabilitățile care pot fi exploatate de atacatori reali. Spre deosebire de o scanare automată, pentest-ul folosește instrumente plus analiză umană pentru a explora cum un atacator ar combina mai multe slăbiciuni ca să compromită sistemul. Livrabilul este un raport cu vulnerabilitățile găsite, dovada exploatării lor și un plan concret de remediere prioritizat.
Acest ghid explică ce tipuri de pentest oferim, ce primești la final și cum se desfășoară un proiect. Pentru intervalele orientative de preț, vezi ghidul de prețuri pentru auditul de securitate.
Ce este testul de penetrare?
Penetration testing este procesul prin care un specialist autorizat încearcă să compromită un sistem IT folosind aceleași tehnici și instrumente ca un atacator real, dar într-un cadru legal și controlat. Scopul nu este să demonstreze că „totul e nesigur”, ci să arate concret ce poate fi exploatat, cu ce impact și ce trebuie reparat — în ordinea priorității.
Un pentest serios urmează metodologii recunoscute (OWASP, PTES, NIST SP 800-115) și se încheie cu un raport care livrează valoare reală: nu o listă de scanare cu sute de „medium severity” generice, ci un set restrâns de vulnerabilități cu impact dovedit și pași clari de remediere.
Tipuri de teste de penetrare pe care le oferim
Diferite componente ale infrastructurii necesită abordări diferite. Cele mai cerute tipuri:
| Tipul de pentest | Ce testează | Când îți trebuie |
|---|---|---|
| Pentest aplicații web | Site-uri, portaluri, aplicații SaaS — OWASP Top 10 + business logic | Înainte de lansare sau anual pentru aplicații cu date sensibile |
| Pentest infrastructură rețea | Servere, switch-uri, firewall, segmentare, Active Directory | După modificări majore de arhitectură; obligatoriu pentru NIS2 |
| Pentest API | REST/GraphQL: autentificare, autorizare, business logic, rate limiting | Pentru aplicații mobile/SaaS cu backend API |
| Pentest cloud (AWS/Azure/GCP) | Configurări IAM, buckets, network, secrets management | După migrare cloud sau periodic pentru workload-uri critice |
| Pentest aplicații mobile | Aplicații iOS/Android: stocare locală, comunicare, autentificare | Înainte de lansare pe App Store / Google Play |
| Social engineering & phishing | Cât de bine reacționează angajații la atacuri de phishing țintit | Anual, ca parte din programul de awareness |
| Pentest rețea wireless | Configurări Wi-Fi corporate, segmentare invitați, rogue AP | După implementare/upgrade infrastructură WiFi |
| Pentest OT / SCADA / industrial | Sisteme industriale, PLC-uri, segmentare IT/OT | Pentru companii din producție/utilități (intră sub NIS2) |
Cum se desfășoară un proiect de pentest
Un pentest profesional are 5 etape clare:
- Definirea scope-ului și a regulilor de angajament — ce sisteme intră în test, ce metode sunt permise, ferestrele de timp, datele de contact pentru urgențe. Totul în scris.
- Recunoaștere și mapare — identificarea suprafeței de atac (porturi deschise, tehnologii, endpoint-uri, headere).
- Identificare vulnerabilități — combinație de scanare automată (Nessus, Burp, Nuclei) și analiză manuală pentru a elimina false positives.
- Exploatare și demonstrare impact — confirmăm că vulnerabilitatea poate fi exploatată în condiții reale și până unde poate ajunge un atacator (privilege escalation, lateral movement, date exfiltrate).
- Raportare și debrief — raport executiv (pentru management) + raport tehnic (pentru IT) + sesiune de Q&A. La nevoie, re-testare după remediere.
Ce primești în raportul de pentest
- Sumar executiv — risc agregat, top vulnerabilități cu impact de business, recomandări strategice
- Listă detaliată de vulnerabilități — fiecare cu: descriere, scor CVSS, dovadă (PoC), pași de exploatare, recomandare de remediere
- Cronologie a atacurilor — ce am încercat, ce a mers, ce nu
- Recomandări prioritizate — ce repari prima dată, în ce ordine, cu ce efort estimat
- Aliniere la standarde — mapare la NIS2, ISO 27001, GDPR (după caz)
- Re-testare gratuită a vulnerabilităților critice după remediere
Black-box, grey-box sau white-box?
Trei abordări, fiecare cu rolul ei:
- Black-box — testerii nu primesc nicio informație internă. Simulează cel mai bine un atacator extern, dar acoperă mai puțin într-un timp dat.
- Grey-box — testerii primesc acces de utilizator obișnuit și informații parțiale de arhitectură. Echilibru bun cost/acoperire — cel mai frecvent ales.
- White-box — testerii primesc cod-sursă, arhitectură, credentiale admin. Acoperire maximă, ideal pentru aplicațiile critice și pentru remediere rapidă.
Pentest vs scanare de vulnerabilități
Confuzia e frecventă. Diferența practică:
| Aspect | Scanare de vulnerabilități | Test de penetrare |
|---|---|---|
| Cum se face | Automat, periodic | Manual + automat, punctual |
| Ce găsește | Vulnerabilități cunoscute | Vulnerabilități cunoscute + lanțuri de exploatare |
| Confirmă exploatarea | Nu | Da (cu PoC) |
| Cost | Mic | Mediu-mare |
| Când | Lunar/trimestrial | Anual sau după modificări majore |
Ideal: scanare automată continuă + pentest manual anual. Le facem pe ambele, sub un singur contract.
De ce să faci pentest cu Secure IT Solutions
- Echipa locală — comunicăm direct, în română, fără intermediari
- Metodologii standard — OWASP, PTES, NIST SP 800-115
- Aliniere NIS2 / ISO 27001 / GDPR — raportul mapează direct la cerințe
- Re-testare gratuită a critical-urilor după remediere
- Continuitate — după pentest îți putem prelua și partea de SOC + EDR 24/7 și de conformitate NIS2/GDPR
Cere o ofertă de pentest pentru compania ta — răspundem cu un scope dimensionat și un interval de preț în maximum 24 de ore.
Întrebări frecvente despre pentest
Cât durează un pentest?
Depinde de scope. Un pentest pentru o aplicație web mică durează 5-7 zile lucrătoare; un pentest pentru o infrastructură de rețea medie durează 10-15 zile lucrătoare. Adăugăm 3-5 zile pentru raportare.
Pentest-ul poate strica sistemele de producție?
Riscul există, dar este controlat. Definim împreună scope-ul, ferestrele de timp și operațiunile interzise (ex: DoS, fuzzing intens pe servere de producție). Pentru sisteme critice testăm într-o copie sau în afara orelor de business.
Cât costă un pentest?
Variază orientativ între 5.000 lei (aplicație web mică) și 70.000+ lei (audit complet pentru companie medie cu pentest multi-site). Vezi ghidul detaliat de prețuri.
Cât de des trebuie să fac pentest?
Minim o dată pe an, plus după modificări majore: migrare cloud, aplicație nouă, fuziune. Pentru organizații sub NIS2 sau cu certificare ISO 27001, frecvența și scope-ul sunt parte din planul de conformitate.
Pentestul include și remedierea vulnerabilităților?
Standard, livrăm raportul cu recomandări. Putem face și remedierea ca proiect separat sau în cadrul unui contract de securitate cibernetică & continuitate.
Aveți pentesteri certificați?
Da. Folosim metodologii recunoscute (OWASP, PTES, NIST SP 800-115) și ne aliniem la cerințele ISO 27001 / NIS2. La cerere, semnăm NDA înainte de orice discuție de scope.