Penetracijsko testiranje za hrvatske tvrtke.
Kontroliran, autoriziran simulirani napad na Vaše web aplikacije, mrežu i vanjski perimetar po OWASP, PTES i NIST metodologiji — s dokazom eksploatacije, CVSS ocjenama i planom sanacije, ne samo popisom mogućih rizika.
Pentest pokazuje što napadač stvarno može, ne samo što bi teoretski mogao.
Penetracijsko testiranje je kontroliran, unaprijed autoriziran simulirani napad na Vaš sustav. Za razliku od automatskog skeniranja ranjivosti, koje samo prijavljuje moguće slabosti, pentest ih pokušava stvarno iskoristiti kako bi pokazao dokaziv poslovni utjecaj: do kojih se podataka dolazi, koji se računi mogu preuzeti i dokle napadač može doći.
Vi-Di.me radi po priznatim metodologijama — OWASP WSTG za web aplikacije te PTES i NIST SP 800-115 za cjelokupan proces. Svaki angažman počinje pisanim dogovorom o opsegu i pravilima izvođenja (Rules of Engagement), jer testiranje bez autorizacije nije usluga, nego kazneno djelo.
Ne obećavamo apsolutnu sigurnost. Pentest je snimka stanja u određenom trenutku i za dogovoreni opseg. Vrijednost je u tome što nalaze rangiramo po stvarnom riziku (CVSS), dokazujemo ih i dajemo konkretan plan sanacije koji Vaš tim može provesti i potom ponovno provjeriti.
Što pentest mora jasno pokazati
Ranjivost na papiru nije isto što i probojiv sustav
Automatski skeneri prijavljuju stotine 'mogućih' ranjivosti bez konteksta. Pentest pokazuje koje se stvarno mogu iskoristiti, kako se lančano povezuju i koji je pravi poslovni utjecaj.
Web aplikacija je najizloženiji dio poslovanja
Prijavni obrasci, API-ji, korisnički računi i plaćanja dostupni su svima na internetu. OWASP kategorije poput injection, slomljene kontrole pristupa i slabe autentikacije najčešći su ulaz napadača.
Preuzeti račun ili napadač već unutar mreže
Nakon jednog phishinga ili ukradene lozinke, dokle napadač dođe? Interni test pokazuje eskalaciju privilegija i bočno kretanje kroz mrežu koje eksterni test ne vidi.
Usklađenost traži dokaz testiranja
ZKS/NIS2, ISO 27001 (A.8.8), PCI-DSS (zahtjev 11.4) i DORA očekuju provjeru sigurnosti. Bez izvještaja o testiranju teško je dokazati da kontrole stvarno rade.
Što dobivate nakon testa
Izvještaj s nalazima i CVSS ocjenama
Svaki nalaz s opisom, ozbiljnošću po CVSS v4.0, pogođenim sustavom i poslovnim utjecajem, razdvojen na sažetak za upravu i tehnički dio za IT tim.
Dokaz eksploatacije (PoC)
Koraci reprodukcije i dokaz da je ranjivost stvarna, a ne teoretska, izvedeni kontrolirano i bez nepotrebnog rizika za produkciju.
Plan sanacije po prioritetu
Konkretne preporuke što popraviti odmah, a što planski, s tehničkim uputama koje razvojni i IT tim mogu odmah primijeniti.
Retest
Ponovna provjera da su kritični i visoki nalazi stvarno zatvoreni nakon Vaših popravaka, kako sanacija ne bi ostala samo na papiru.
Potvrda o provedenom testiranju
Dokument koji možete priložiti kao dokaz sigurnosnog testiranja u ZKS/NIS2, ISO 27001, PCI-DSS ili DORA kontekstu. Nije certifikat usklađenosti, nego dokaz provedene aktivnosti.
Kako teče penetracijski test
Opseg i autorizacija (scoping i Rules of Engagement): dogovorimo mete, tip testa (black/grey/white box), termine, granice i pisano odobrenje vlasnika sustava.
Prikupljanje informacija (recon): pasivno i aktivno mapiramo dostupne servise, domene, aplikacije i tehnologije u opsegu.
Skeniranje i analiza ranjivosti: kombiniramo automatske alate i ručnu provjeru da odvojimo stvarne slabosti od lažnih uzbuna.
Eksploatacija: kontrolirano pokušavamo iskoristiti potvrđene ranjivosti kako bismo dokazali njihov utjecaj, bez nepotrebnog rizika za podatke i dostupnost.
Post-eksploatacija i analiza dosega: ondje gdje uspijemo, provjeravamo dokle napadač može doći — eskalacija privilegija, kretanje kroz mrežu i pristup podacima.
Izvještaj i retest: predajemo nalaze, CVSS ocjene i plan sanacije, a nakon Vaših popravaka radimo ponovnu provjeru kritičnih i visokih nalaza.
Metodologije, standardi i alati koje koristimo
OWASP WSTG i Top 10
Web Security Testing Guide i OWASP Top 10 kao okvir za sustavno testiranje web aplikacija, API-ja i logike aplikacije.
PTES i NIST SP 800-115
Struktura procesa od pripreme i prikupljanja informacija, preko analize ranjivosti i eksploatacije, do post-eksploatacije i izvještavanja.
CVSS v4.0 (FIRST)
Otvoreni standard za ocjenu ozbiljnosti ranjivosti kako bi prioriteti sanacije bili objektivni i usporedivi.
Industrijski alati uz ručni rad
Burp Suite, Nmap, Metasploit i drugi provjereni alati, uvijek uz obavezan ručni rad jer alat sam ne pronalazi logičke i lančane propuste.
Nastavite prema povezanim vodičima.
Glavni hub kibernetičke sigurnosti
Širi pregled rizika, kontrola, partnera i provjerenih izvora za hrvatske tvrtke.
OtvoriEmail sigurnost i DMARC
SPF, DKIM, DMARC, spoofing, MTA-STS, TLS-RPT i sigurnost poslovne domene.
OtvoriDMARC vodič za Hrvatsku
Praktično objašnjenje DMARC-a i postupnog prelaska prema strožoj politici.
OtvoriKibernetička sigurnost Hrvatska 2026
Aktualni incidenti, granice javnih informacija i praktične kontrole koje tvrtka treba provjeriti.
OtvoriSigurnosni audit tvrtke
Širi pregled emaila, Microsoft 365, backupa i pristupa. Pentest je dublja, ciljana tehnička provjera konkretnog sustava.
OtvoriZKS/NIS2 priprema
Regulatorni okvir i tehničke kontrole u koje se sigurnosno testiranje prirodno uklapa kao dokaz.
OtvoriDORA priprema
Financijski okvir u kojem threat-led penetration testing (TLPT) ima poseban, propisani status.
OtvoriProvjerljive informacije.
OWASP Web Security Testing Guide (WSTG)
The Penetration Testing Execution Standard (PTES)
SP 800-115: Technical Guide to Information Security Testing and Assessment
Common Vulnerability Scoring System v4.0
Zakon o kibernetičkoj sigurnosti, NN 14/2024
Directive (EU) 2022/2555 (NIS2)
Česta pitanja.
Što je penetracijsko testiranje?
Penetracijsko testiranje (pentest) je kontroliran i autoriziran simulirani napad na sustav — web aplikaciju, mrežu ili vanjski perimetar. Etički stručnjak traži i stvarno iskorištava ranjivosti kako bi pokazao dokaziv utjecaj, a zatim daje plan sanacije. Cilj je otkriti probleme prije nego ih otkrije pravi napadač.
Koja je razlika između pentesta i skeniranja ranjivosti (vulnerability scan)?
Skeniranje ranjivosti je automatski proces koji brzo prijavljuje poznate moguće slabosti, ali ne dokazuje mogu li se iskoristiti. Pentest ih ručno provjerava i pokušava iskoristiti, otkriva logičke i lančane propuste te pokazuje stvarni poslovni utjecaj. Najbolji rezultat daju kad se koriste zajedno: skeniranje za širinu i redovitost, pentest za dubinu i dokaz.
Koliko košta penetracijski test?
Cijena ovisi o opsegu — broju i tipu meta (web aplikacija, mreža, vanjski ili interni perimetar), veličini sustava, tipu testa i traženoj dubini. Zato cijenu dajemo na upit tek nakon zajedničkog scopinga; paušalna brojka bez definiranog opsega ne bi bila poštena ni prema Vama ni prema kvaliteti testa.
Traži li ZKS/NIS2 penetracijsko testiranje?
Zakon o kibernetičkoj sigurnosti (NN 14/2024) i NIS2 ne propisuju izrijekom pentest za svaku tvrtku, ali traže upravljanje ranjivostima i provjeru učinkovitosti sigurnosnih mjera (NIS2, čl. 21). Pentest je uobičajen i dokaziv način da se te obveze ispune. Za ISO 27001 (A.8.8) i PCI-DSS (zahtjev 11.4) testiranje je jasnije očekivano, a DORA za dio financijskih subjekata traži napredni threat-led pentest (TLPT) najmanje svake tri godine.
Koliko traje penetracijski test?
Trajanje ovisi o opsegu. Manji test jedne web aplikacije obično traje nekoliko dana, dok širi eksterni ili interni angažman traje dulje. Točan okvir, zajedno s izradom izvještaja i retestom, dogovaramo pri scopingu prije početka.
Koja je razlika između black box, grey box i white box testa?
Black box znači testiranje bez unaprijed danih informacija, kao simulacija vanjskog napadača. Grey box uključuje ograničen pristup ili korisnički račun, što je bliže scenariju kompromitiranog zaposlenika. White box znači puni uvid u kod, arhitekturu i pristupe. Grey i white box obično u istom vremenu pronađu više jer se ne troši vrijeme na osnovno mapiranje.
Hoće li test srušiti naše sustave ili ugroziti podatke?
Radimo kontrolirano i po unaprijed dogovorenim pravilima izvođenja (Rules of Engagement). Izbjegavamo destruktivne tehnike na produkciji i, gdje je potrebno, testiramo u dogovorenom terminu ili na testnom okruženju. Cilj je dokazati rizik, a ne prouzročiti štetu.
Trebamo li pisanu autorizaciju za testiranje?
Da, obavezno. Testiranje sustava bez izričitog pisanog odobrenja vlasnika je nezakonito. Zato svaki angažman počinje potpisanim dogovorom o opsegu i pravilima izvođenja — to štiti i Vas i nas.
Saznajte što napadač stvarno može — prije njega.
Pošaljite što želite testirati (web aplikacija, mreža, vanjski perimetar) i okvirni opseg. Predlažemo tip testa, pravila izvođenja i ponudu nakon zajedničkog scopinga.