Penetracijski testovi (pentest) i procjena ranjivosti (vulnerability assessment) temeljni su alati za provjeru stvarne sigurnosti informacijskih sustava. NIS2 direktiva eksplicitno zahtijeva od organizacija da redovito procjenjuju učinkovitost svojih sigurnosnih mjera, a najbolji način za to je simulacija napada na vlastitu infrastrukturu. U ovom vodiču objašnjavamo razliku između pentesta i procjene ranjivosti, metodologije, NIS2 zahtjeve i kako organizirati testiranje u praksi.
Sažetak i ključne točke
- Procjena ranjivosti identificira poznate ranjivosti; penetracijski test simulira stvarni napad.
- NIS2 članak 21(2)(f) zahtijeva procjenu učinkovitosti sigurnosnih mjera. Pentest i VA ispunjavaju ovaj zahtjev.
- Preporučena učestalost: procjena ranjivosti mjesečno, penetracijski test godišnje (ili nakon značajnih promjena).
- Prosječni trošak pentesta za srednju tvrtku: 5.000 do 20.000 EUR ovisno o opsegu.
- Samostalno testiranje nije dovoljno. NIS2 sugerira neovisnu procjenu.
- Rezultate koristite za prioritizaciju ulaganja u sigurnost i dokazivanje usklađenosti regulatoru.
Sadržaj
- Procjena ranjivosti vs penetracijski test
- Zašto NIS2 zahtijeva testiranje
- Vrste penetracijskih testova
- Metodologije pentestiranja
- Faze penetracijskog testa
- Procjena ranjivosti: postupak
- Alati za procjenu ranjivosti
- Kako organizirati testiranje u praksi
- Troškovi i učestalost
- Izvješće o nalazima: što treba sadržavati
- FAQ
- Zaključak
Procjena ranjivosti vs penetracijski test
Iako se pojmovi često koriste naizmjenično, radi se o različitim pristupima s različitim ciljevima:
| Aspekt | Procjena ranjivosti (VA) | Penetracijski test (Pentest) |
|---|---|---|
| Cilj | Identificirati poznate ranjivosti | Simulirati stvarni napad i procijeniti utjecaj |
| Pristup | Automatizirani skeneri + manualna validacija | Kombinacija automatiziranih i manualnih tehnika |
| Dubina | Široka pokrivenost, plitka analiza | Uža pokrivenost, duboka analiza |
| Eksploatacija | Ne: samo identifikacija | Da: pokušaj iskorištavanja ranjivosti |
| Trajanje | Sati do dana | Dani do tjedana |
| Učestalost | Mjesečno ili kvartalno | Godišnje ili polugodišnje |
| Trošak | 1.000 do 5.000 EUR | 5.000 do 50.000+ EUR |
| Rezultat | Popis ranjivosti s ocjenom rizika | Dokaz iskoristivosti i procjena stvarnog utjecaja |
| Analogija | Liječnički pregled | Stres-test srca |
Preporuka za NIS2 subjekte: Koristite oba pristupa komplementarno. Procjena ranjivosti za redovitu provjeru (mjesečno), penetracijski test za duboku analizu (godišnje).
Zašto NIS2 zahtijeva testiranje
NIS2 direktiva ne koristi eksplicitno termine „pentest" ili „vulnerability assessment", ali više odredbi izravno ili neizravno zahtijevaju ove aktivnosti:
| NIS2 odredba | Relevantnost za testiranje |
|---|---|
| Čl. 21(2)(a): Politike analize rizika | VA i pentest ključni su za identifikaciju rizika |
| Čl. 21(2)(e): Sigurnost nabave, razvoja i održavanja sustava | Testiranje ranjivosti kao dio životnog ciklusa sustava |
| Čl. 21(2)(f): Procjena učinkovitosti mjera | Izravni zahtjev: VA i pentest dokazuju učinkovitost |
| Čl. 21(3): Pristup temeljen na riziku | Rezultati testiranja informiraju procjenu rizika |
| Recital 79 | Spominje „testiranje i revidiranje" sigurnosnih praksi |
ENISA smjernice
ENISA u tehničkim smjernicama za provedbu NIS2 eksplicitno preporučuje:
- Redovitu procjenu ranjivosti mrežne i aplikacijske infrastrukture
- Periodičke penetracijske testove kao metodu provjere sigurnosnih kontrola
- Neovisno testiranje (treća strana) za objektivnu procjenu
Vrste penetracijskih testova
Prema razini pristupa informacijama
| Vrsta | Opis | Kad koristiti |
|---|---|---|
| Black box | Tester nema nikakve informacije o sustavu | Simulacija vanjskog napadača |
| White box | Tester ima potpuni pristup (dokumentacija, izvorni kod, dijagrami) | Najtemeljivija provjera, optimalno za NIS2 |
| Grey box | Tester ima ograničene informacije (korisničke račune, mrežne dijagrame) | Simulacija kompromitiranog zaposlenika ili dobavljača |
Prema cilju testiranja
| Vrsta | Opis | NIS2 relevantnost |
|---|---|---|
| Mrežni pentest (vanjski) | Testiranje perimetra: vatrozid, VPN, javno dostupni servisi | Čl. 21(2)(e): sigurnost sustava |
| Mrežni pentest (interni) | Testiranje iz interne mreže: lateralno kretanje, eskalacija privilegija | Čl. 21(2)(i): kontrola pristupa |
| Web aplikacijski pentest | Testiranje web aplikacija: OWASP Top 10 ranjivosti | Čl. 21(2)(e): sigurnost razvoja |
| Socijalni inženjering | Testiranje otpornosti zaposlenika: phishing simulacije | Čl. 21(2)(g): kibernetička higijena |
| Fizički pentest | Testiranje fizičke sigurnosti: pristup prostorijama, uređajima | Čl. 21(2)(i): sigurnost resursa |
| Red team | Sveobuhvatna simulacija naprednog napadača (APT) | Cjelovita provjera spremnosti |
Metodologije pentestiranja
Profesionalni penetracijski testovi koriste priznate metodologije:
| Metodologija | Izdavač | Fokus | Prikladnost |
|---|---|---|---|
| OWASP Testing Guide | OWASP | Web aplikacije | Web pentest |
| PTES (Penetration Testing Execution Standard) | Zajednica | Opći pentest | Mrežni i aplikacijski |
| OSSTMM (Open Source Security Testing Methodology Manual) | ISECOM | Sveobuhvatna sigurnost | Cjelokupna infrastruktura |
| NIST SP 800-115 | NIST | Tehničko testiranje | Američki standard, primjenjiv globalno |
| CREST | CREST | Certificirani pentest | Enterprise okruženja |
| TIBER-EU | ECB | Financijski sektor | Banke i financijske institucije |
Za NIS2 subjekte u financijskom sektoru: DORA uredba zahtijeva TLPT testiranje (Threat-Led Penetration Testing) temeljeno na TIBER-EU okviru. Ovo nadilazi standardni pentest. Uključuje obavještajnu analizu prijetnji i simulaciju naprednog napadača.
Faze penetracijskog testa
Faza 1: Planiranje i opseg (1 do 3 dana)
- Definiranje opsega testiranja (sustavi, mreže, aplikacije)
- Potpisivanje ugovora i dozvole za testiranje (Rules of Engagement)
- Usklađivanje vremenskog okvira: izbjegavanje kritičnih poslovnih razdoblja
- Dogovor o komunikacijskim kanalima tijekom testa
Faza 2: Izviđanje (Reconnaissance) (2 do 5 dana)
- Pasivno izviđanje: prikupljanje javno dostupnih informacija (OSINT)
- Aktivno izviđanje: skeniranje portova, identifikacija servisa, mapiranje mreže
- Identifikacija potencijalnih vektora napada
Faza 3: Skeniranje ranjivosti (1 do 3 dana)
- Automatizirano skeniranje poznatih ranjivosti (CVE baza)
- Manualna verifikacija rezultata: uklanjanje lažno pozitivnih nalaza
- Prioritizacija prema CVSS ocjeni i stvarnom riziku
Faza 4: Eksploatacija (3 do 10 dana)
- Pokušaj iskorištavanja identificiranih ranjivosti
- Lateralno kretanje kroz mrežu
- Eskalacija privilegija
- Pristup osjetljivim podacima kao dokaz uspješnosti
Faza 5: Post-eksploatacija i čišćenje (1 do 2 dana)
- Dokumentiranje svih ostvarenih pristupa
- Uklanjanje svih alata i tragova testiranja
- Vraćanje sustava u prvobitno stanje
Faza 6: Izvješćivanje (3 do 5 dana)
- Izrada detaljnog tehničkog izvješća
- Izrada sažetka za upravu (executive summary)
- Prezentacija nalaza i preporuka
- Dogovor o rokovima za otklanjanje nalaza
Procjena ranjivosti: postupak
Koraci procjene ranjivosti
- Definiranje opsega: koje sustave, mreže i aplikacije testirati
- Skeniranje: pokretanje automatiziranih skenera
- Analiza rezultata: validacija nalaza, uklanjanje lažno pozitivnih
- Ocjenjivanje rizika: korištenje CVSS ocjena i poslovnog konteksta
- Izvješćivanje: popis ranjivosti s prioritetima i preporukama
- Praćenje otklanjanja: re-skeniranje nakon primjene popravaka
Klasifikacija ranjivosti (CVSS v4.0)
| CVSS ocjena | Ozbiljnost | Primjer | Rok za otklanjanje |
|---|---|---|---|
| 9.0 do 10.0 | Kritična | Udaljeno izvršavanje koda bez autentifikacije | 48 sati |
| 7.0 do 8.9 | Visoka | SQL injection, eskalacija privilegija | 7 dana |
| 4.0 do 6.9 | Srednja | Cross-site scripting (XSS), curenje informacija | 30 dana |
| 0.1 do 3.9 | Niska | Informativna otkrivanja, nestandardne konfiguracije | 90 dana |
Alati za procjenu ranjivosti
Komercijalni alati
| Alat | Fokus | Prikladnost | Cijena |
|---|---|---|---|
| Tenable Nessus | Mrežna ranjivost | Enterprise: najšire korišten | Od 3.000 EUR/god |
| Qualys VMDR | Cloud + mrežna | Enterprise s cloud infrastrukturom | Prema ponudi |
| Rapid7 InsightVM | Mrežna + aplikacijska | Enterprise | Prema ponudi |
| Burp Suite Professional | Web aplikacije | Pentest timovi | ~500 EUR/god |
| Acunetix | Web aplikacije | SME: jednostavno za korištenje | Od 4.000 EUR/god |
Open source alati
| Alat | Fokus | Primjena |
|---|---|---|
| OpenVAS (Greenbone) | Mrežna ranjivost | Alternativa Nessusu |
| OWASP ZAP | Web aplikacije | Besplatna alternativa Burp Suite |
| Nmap | Skeniranje mreže i portova | Temelj svakog pentesta |
| Nikto | Web server ranjivosti | Brza provjera web servera |
| Trivy | Container i IaC ranjivosti | DevSecOps okruženja |
Kako organizirati testiranje u praksi
Interni tim vs vanjski pružatelj
| Aspekt | Interni tim | Vanjski pružatelj |
|---|---|---|
| Objektivnost | Niska: poznaju sustave, moguća pristranost | Visoka: svježa perspektiva |
| Trošak | Niži tekući, viši inicijalni (alati, obuka) | Viši po angažmanu, nema stalnih troškova |
| Dostupnost | Stalna | Po ugovoru |
| NIS2 relevantnost | VA zadovoljava; pentest poželjno vanjski | Ispunjava zahtjev za neovisnu procjenu |
| Dubina | Mogu previdjeti „slijepe točke" | Nalaze stvari koje interni propuštaju |
Preporuka za NIS2: Kombinirajte pristupe: interni tim za kontinuiranu procjenu ranjivosti (mjesečno), vanjski stručnjaci za godišnji penetracijski test. Ovo dokazuje regulatoru da provodite i kontinuirano praćenje i neovisnu provjeru.
Kako odabrati pružatelja pentesta
Kriteriji za odabir profesionalnog pružatelja:
- Certificirani testeri: OSCP, CEH, CREST, GPEN
- Iskustvo u vašem sektoru: poznavanje specifičnih prijetnji i regulativa
- Metodologija: koriste li priznatu metodologiju (PTES, OSSTMM, OWASP)
- Izvješće: kvaliteta izvješća s tehničkim detaljima i preporukama za upravu
- Reference: prethodni klijenti u sličnim industrijama
- Osiguranje: profesionalno osiguranje od odgovornosti
Troškovi i učestalost
Troškovi
| Vrsta testiranja | Mala tvrtka | Srednja tvrtka | Velika organizacija |
|---|---|---|---|
| Procjena ranjivosti (VA) | 1.000 do 3.000 EUR | 3.000 do 8.000 EUR | 8.000 do 20.000 EUR |
| Vanjski pentest | 3.000 do 8.000 EUR | 8.000 do 20.000 EUR | 20.000 do 50.000+ EUR |
| Web aplikacijski pentest | 2.000 do 5.000 EUR | 5.000 do 15.000 EUR | 15.000 do 40.000 EUR |
| Red team | - | 15.000 do 40.000 EUR | 40.000 do 100.000+ EUR |
| Phishing simulacija | 500 do 2.000 EUR | 2.000 do 5.000 EUR | 5.000 do 15.000 EUR |
Preporučena učestalost za NIS2 subjekte
| Aktivnost | Učestalost | Obrazloženje |
|---|---|---|
| Automatsko skeniranje ranjivosti | Tjedno | Kontinuirani uvid u stanje |
| Procjena ranjivosti (VA) | Mjesečno | Validacija i prioritizacija nalaza |
| Penetracijski test | Godišnje | Duboka provjera sigurnosti |
| Pentest nakon velikih promjena | Po potrebi | Nova aplikacija, migracija, spajanje |
| Red team | Svake 2 do 3 godine | Sveobuhvatna provjera (ako ste ključni subjekt) |
| Phishing simulacija | Kvartalno | Provjera svijesti zaposlenika |
Izvješće o nalazima
Kvalitetno izvješće o penetracijskom testu treba sadržavati:
Za upravu (executive summary)
- Ukupna ocjena sigurnosnog stanja
- Broj kritičnih, visokih, srednjih i niskih nalaza
- Ključni rizici poslovnim jezikom
- Prioritizirane preporuke s procjenom troškova
Za tehnički tim (tehnički nalaz)
- Detaljan opis svake ranjivosti
- Koraci za reprodukciju (proof of concept)
- CVSS ocjena i klasifikacija
- Preporuke za otklanjanje s konkretnim uputama
- Povezane reference (CVE, CWE)
Za NIS2 dokumentaciju
- Datum i opseg testiranja
- Metodologija i standardi
- Certifikacije testera
- Status nalaza i rokovi za otklanjanje
- Plan ponovnog testiranja (re-test)
FAQ
Koliko košta penetracijsko testiranje?
Cijena ovisi o opsegu: broju sustava, aplikacija i dubini testa. Manji opseg je fiksni paket, veći se procjenjuje. Jasno definiran opseg drži trošak pod kontrolom. Zatražite ponudu.
Koliko često treba raditi penetracijski test?
Najmanje jednom godišnje i nakon većih promjena sustava. Regulatorni okviri poput DORA-e traže redovito testiranje. Češći testovi prikladni su za izložene sustave.
Koja je razlika između pentesta i procjene ranjivosti?
Procjena ranjivosti automatski skenira i popisuje slabosti. Penetracijski test ih aktivno iskorištava da pokaže stvarni rizik. Za ozbiljnu sliku potrebno je oboje.
Mora li pentest provesti certificirani stručnjak?
NIS2 ne propisuje specifične certifikacije, ali ENISA preporučuje angažiranje stručnjaka s priznatim certifikacijama (OSCP, CREST, CEH). U slučaju regulatornog nadzora, certifikacija testera pojačava kredibilitet nalaza.
Može li pentest oštetiti naše sustave?
Profesionalni pentest provodi se s mjerama opreza: definirani opseg, isključenja, komunikacijski kanali. Rizik je minimalan, ali postoji. Zato se potpisuje ugovor (Rules of Engagement) koji jasno definira granice testiranja.
Koliko često moramo provoditi pentest prema NIS2?
NIS2 ne propisuje točnu učestalost, ali zahtjeva „redovitu procjenu učinkovitosti mjera". U praksi to znači najmanje jednom godišnje i nakon značajnih promjena u infrastrukturi. ENISA preporučuje godišnji ciklus.
Što ako pentest otkrije kritičnu ranjivost?
Odgovorni pružatelj će vas odmah obavijestiti o kritičnim nalazima (ne čekajući završno izvješće). Kritične ranjivosti treba otkloniti u roku od 48 sati i provesti re-test nakon primjene popravka.
Treba li rezultate pentesta čuvati kao tajne?
Da: izvješće o penetracijskom testu sadržava osjetljive informacije o ranjivostima vaših sustava. Klasificirajte ga kao povjerljivi dokument, ograničite pristup i nikada ga ne šaljite neenkriptiranim kanalima.
Zaključak
Penetracijski testovi i procjena ranjivosti nisu luksuz. Za NIS2 subjekte to je zakonski zahtjev za procjenu učinkovitosti sigurnosnih mjera. Organizacije koje redovito testiraju svoju sigurnost ne samo da ispunjavaju regulatorne obveze, nego značajno smanjuju rizik od stvarnog incidenta.
Ključne preporuke: (1) Kombinirajte kontinuiranu procjenu ranjivosti (mjesečno) s godišnjim pentestom. (2) Angažirajte neovisnog vanjskog testera za pentest. Interni tim nije dovoljan za NIS2. (3) Koristite priznate metodologije (OWASP, PTES, OSSTMM). (4) Tretirajte izvješća kao povjerljive dokumente. (5) Rezultate koristite za prioritizaciju ulaganja, ne samo za izvješćivanje.
Trebate penetracijski test ili procjenu ranjivosti? Vision Compliance surađuje s certificiranim pružateljima pentesta i nudi koordinaciju testiranja za NIS2 subjekte. Zakažite besplatnu konzultaciju i utvrdite stanje sigurnosti vaših sustava.
Izvori: NIS2 direktiva (EU 2022/2555) čl. 21., OWASP Testing Guide v5, NIST SP 800-115, ENISA smjernice za NIS2, PTES v1.1, CVSS v4.0
Povezani članci
- ISO 27001 certifikat: Vodič za hrvatska poduzeća: Pentesting kao dio zahtjeva za certifikaciju
- Zero Trust sigurnosni model: Arhitektura koja nadopunjuje redovito testiranje
- Kibernetički napadi: Vrste i zaštita: Napadi koje pentesting pomaže otkriti i spriječiti
- NIS2 direktiva: Kompletni vodič za Hrvatsku: Regulatorne obveze testiranja sigurnosti
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.