Cautarile de servicii de testare a penetrarii in Marea Britanie au crescut cu peste 35% intre 2023 si 2025, impulsionate de o combinatie de incidente ransomware, obligatii de reglementare din ce in ce mai stricte si un val de asiguratori care cer dovezi de testare activa a securitatii inainte de emiterea politelor cyber. In ciuda acestei cereri, exista inca o confuzie generalizata despre ce este de fapt un test de penetrare, cum difera de o scanare a vulnerabilitatilor si cat costa unul bun.

Acest ghid acopera imaginea completa: ce este si ce nu este testarea de penetrare, tipurile principale, cum functioneaza procesul, ce trebuie sa contina rezultatele, ce acreditari conteaza in Marea Britanie si intervale de cost realiste pentru 2026.

Pe scurt

  • Un test de penetrare este un atac simulat de catre un tester autorizat care foloseste aceleasi tehnici ca si atacatorii reali. Nu este acelasi lucru cu o scanare a vulnerabilitatilor, care este automatizata si nu poate inlantui vulnerabilitati sau evalua impactul real.
  • Testerii inlantuie mai multe vulnerabilitati pentru a demonstra impactul real, nu doar listeaza probleme individuale. Aceasta este ceea ce face metodologia distincta si valoroasa.
  • In Marea Britanie, PCI DSS impune testarea de penetrare anuala, iar Articolul 32 din UK GDPR, ISO 27001 si indrumarea NCSC indica toate testarea regulata de penetrare ca dovada a controalelor tehnice adecvate.
  • Pentru furnizorii acreditati CREST, cautati calificarile CRT (aplicatie web), CCT App (aplicatie web) sau CCT Inf (infrastructura). Pentru lucrul in sectorul public se aplica schema CHECK.

Ce este testarea de penetrare (si ce nu este)

Un test de penetrare este o simulare structurata si autorizata a unui atac impotriva unei tinte definite. Testerul foloseste aceleasi instrumente, tehnici si procese de gandire ca un atacator malitios, dar opereaza in cadrul unui perimetru convenit si al unor reguli de angajament. Scopul este de a identifica vulnerabilitatile si de a demonstra exploatabilitatea lor in lumea reala inainte ca un atacator real sa o faca.

O scanare a vulnerabilitatilor nu este un test de penetrare. Un scanner automat interogheaza sistemele impotriva unei baze de date cu vulnerabilitati cunoscute si produce o lista de constatari. Este rapid si repetabil, dar nu poate rationaliza contextul, inlantui constatarile, evalua logica de afaceri sau demonstra impactul real al ceea ce gaseste. Multe organizatii confunda cele doua, iar unii furnizori estompeaza deliberat granita. Daca un furnizor va ofera un oferta pentru “testare de penetrare” si angajamentul ruleaza complet dintr-un instrument fara analiza manuala, ati achizitionat o scanare a vulnerabilitatilor la un pret premium.

Distinctia conteaza practic. O scanare a vulnerabilitatilor ar putea semnala ca aplicatia dvs. are un formular de conectare fara blocare a contului. Un test de penetrare merge mai departe: testerul incearca sa exploateze aceasta alaturi de o slabiciune de enumerare a numelor de utilizator si un token de sesiune predictibil pentru a demonstra un lant complet de preluare a contului. Aceasta este diferenta dintre enumerarea unui risc si dovedirea lui.

Tipuri de teste de penetrare

Dupa nivelul de cunostinte. Testele sunt de obicei descrise ca cutie neagra, cutie gri sau cutie alba, referindu-se la cat de multe informatii i se ofera testerului la inceput:

  • Cutie neagra: testerul incepe fara cunostinte prealabile despre tinta, simuland un atacator extern care si-a facut propria recunoastere. Cel mai aproape de un scenariu real de atac, dar poate fi ineficient din punct de vedere al timpului deoarece testerul petrece timpul de angajament pe sarcini (cum ar fi cartografierea aplicatiei) pe care le-ati putea furniza.
  • Cutie gri: testerului i se ofera unele informatii, de obicei acreditative de utilizator si documentatie, dar nu cod sursa sau diagrame complete de arhitectura. Cea mai frecventa alegere pentru testele de aplicatii web deoarece echilibreaza realismul cu eficienta.
  • Cutie alba: testerul are acces complet inclusiv cod sursa, documentatie de arhitectura si diagrame de infrastructura. Folosit pentru evaluari complete si revizuiri de cod conduse de conformitate. Gaseste cea mai mare proportie de vulnerabilitati, dar necesita cea mai multa pregatire din partea echipei dvs.

Dupa tipul tintei. Categoriile comune includ:

  • Testare de penetrare a retelei: infrastructura externa sau interna, reguli de firewall, configuratie VPN, oportunitati de miscare laterala
  • Testare de penetrare a aplicatiilor web: OWASP Top 10 si dincolo, inclusiv autentificare, gestionarea sesiunilor, validarea intrarilor si logica de afaceri
  • Testare de penetrare API: endpoint-uri REST si GraphQL, ocolire autentificare, atribuire in masa, limitarea ratei si expunerea datelor
  • Testare de penetrare a aplicatiilor mobile: aplicatii Android si iOS, stocare nesecurizata a datelor, ocolire certificate pinning si probleme ale API-ului backend expuse prin stratul mobil
  • Inginerie sociala: simulare de phishing, pretexting si vishing (phishing vocal) pentru testarea stratului uman
  • Testare de penetrare fizica: tailgating, clonare RFID, ocolire control acces, vizarea sediilor fizice

Majoritatea afacerilor britanice incep cu un test de aplicatie web sau retea si isi extind perimetrul pe masura ce programul lor de securitate se matureaza.

Procesul de testare a penetrarii

Un test de penetrare riguros urmeaza o metodologie definita. Framework-urile CREST si PTES (Penetration Testing Execution Standard) descriu ambele o secventa similara:

Perimetru si reguli de angajament

Inainte de inceperea testarii, dvs. si furnizorul conveniti asupra tintei, tipului de test, ferestrelor de testare (unele organizatii necesita testare in afara orelor pentru a evita impactul asupra productiei), procedurilor de escaladare daca o constatare critica este descoperita in mijlocul testului si ceea ce este explicit in afara perimetrului. Obtineti acest lucru in scris. O scrisoare de autorizare protejeaza ambele parti.

Recunoastere

Testerul culege informatii despre tinta prin mijloace pasive (informatii din surse deschise, jurnale de transparenta a certificatelor, oferte de munca care dezvaluie stiva de tehnologie, acreditative scurse in bazele de date de brepe) si mijloace active (enumerare DNS, scanare porturi, identificare servicii). Intr-un test cu cutie neagra, aceasta faza poate ocupa o parte semnificativa din timpul de angajament.

Exploatare

Testerul incearca sa exploateze vulnerabilitatile identificate pentru a obtine acces initial sau a demonstra impactul. Aici metodologia diverge de la scanare: un tester priceput incearca mai multe rute, se adapteaza cand o cale este blocata si cauta combinatii de probleme cu severitate mai mica care impreuna produc un rezultat cu impact ridicat.

Post-exploatare si inlantuirea vulnerabilitatilor

Aceasta este faza pe care majoritatea marketingului furnizorilor o ignora. Dupa obtinerea accesului initial, ce poate face de fapt un atacator? Un tester care evalueaza o aplicatie web ar putea inlantui o vulnerabilitate XSS cu o slabiciune CSRF si un identificator de sesiune predictibil pentru a demonstra o preluare completa a contului. Impotriva infrastructurii, post-exploatarea implica escaladarea privilegiilor, miscarea laterala si determinarea datelor sau sistemelor accesibile din punctul initial de sprijin.

Inlantuirea este critica deoarece recadreaza riscul. O constatare individuala evaluata CVSS 5.5 (Mediu) devine o conversatie diferita atunci cand puteti arata ca este exploatabila in combinatie cu alte doua pentru a exfiltra baza dvs. de date cu clienti.

Raportare

Testerul documenteaza toate constatarile, redacteaza raportul si il livreaza in intervalul de timp convenit (de obicei de la cinci la zece zile lucratoare dupa finalizarea testarii). Ce contine raportul este acoperit in sectiunea urmatoare.

Ce contine un raport de testare a penetrarii de calitate

Un raport profesional de testare a penetrarii este un document de lucru pentru echipa dvs., nu un instrument de vanzari pentru furnizor. Ar trebui sa contina:

Rezumat executiv. O prezentare generala non-tehnica a angajamentului, postura generala de risc, numarul si severitatea constatarilor si cele mai critice probleme. Redactat pentru un cititor la nivel de consiliu care trebuie sa ia decizii, nu pentru un dezvoltator care trebuie sa corecteze cod.

Perimetru si metodologie. Ce a fost testat, cum a fost testat si orice limitari (de exemplu, daca anumite URL-uri au fost excluse sau testarea a fost restrictionata la orele de lucru).

Constatari evaluate dupa risc. Fiecare vulnerabilitate listata cu o evaluare a severitatii. Majoritatea furnizorilor britanici profesionisti folosesc scoruri CVSS 3.1 alaturi de o evaluare contextuala a riscului care tine cont de mediul dvs. specific. Un scor CVSS izolat poate induce in eroare; o constatare de 7.5 fara vector de acces extern reprezinta un risc diferit fata de acelasi scor pe un endpoint public.

Detalii tehnice si pasi de reproducere. Informatii suficiente pentru ca dezvoltatorii dvs. sa reproduca constatarea, sa inteleaga de ce este exploatabila si sa confirme ca remedierea lor functioneaza. Aceasta inseamna: cereri si raspunsuri exacte, payload-uri utilizate, capturi de ecran unde este util.

Ghid de remediere. Sfaturi specifice si actionabile pentru fiecare constatare. Nu “actualizati-va dependentele”, ci “actualizati biblioteca X de la versiunea 2.3.1 la 2.4.0 si eliminati apelul de serializare deprecat de pe linia 247 din UserController.php.”

Declaratie de retest. Confirmarea daca este inclus un retest si, daca da, cum vor fi inchise constatarile. O constatare nu este rezolvata pana cand un tester nu confirma acest lucru.

Cerinte de conformitate britanice pentru testarea de penetrare

PCI DSS. Orice afacere care proceseaza, stocheaza sau transmite date ale detinatorilor de carduri trebuie sa efectueze testarea de penetrare cel putin anual si dupa orice modificari semnificative ale infrastructurii sau aplicatiei. PCI DSS v4.0, care a devenit singura versiune activa in martie 2024, include cerinte actualizate pentru perimetrul si metodologia testarii de penetrare. Aceasta este o cerinta obligatorie, nu o recomandare.

UK GDPR Articolul 32. Solicita organizatiilor sa implementeze masuri tehnice adecvate pentru a asigura securitate adecvata riscului. Testarea de penetrare este cel mai direct mod de a demonstra ca ati evaluat activ daca controalele dvs. tehnice functioneaza. ICO a facut referire la testarea securitatii in decizii de executare.

ISO 27001. Controlul 8.8 din Anexa A acopera gestionarea vulnerabilitatilor tehnice, iar testarea de penetrare este o metoda standard pentru satisfacerea acestui control. Daca lucrati spre certificarea ISO 27001, auditorul dvs. va astepta sa vada dovezi de testare.

Cyber Essentials Plus. Nivelul superior al schemei Cyber Essentials a guvernului britanic include o evaluare la fata locului si scanare a vulnerabilitatilor. Desi Cyber Essentials Plus nu este un test de penetrare, obtinerea acestuia si mentinerea bazei pe care o stabileste este o preconditionare sensata.

Indrumarea NCSC. Centrul National de Securitate Cibernetica recomanda testarea de penetrare ca parte a cadrului sau “10 pasi catre securitatea cibernetica”, in mod specific sub pasii “Gestionarea vulnerabilitatilor” si “Securitatea retelei”.

Acreditarile CREST si de ce conteaza

CREST este principalul organism de acreditare britanic pentru firmele de testare a penetrarii si testerii individuali. Furnizorii inregistrati CREST sunt evaluati in ceea ce priveste procesele, metodologia si capacitatea lor de a gestiona datele sensibile in mod adecvat. Testerii individuali pot detine urmatoarele calificari:

  • CREST Registered Tester (CRT): acreditare de nivel de intrare care demonstreaza competenta tehnica in testarea aplicatiilor web sau a infrastructurii.
  • CREST Certified Tester - Application (CCT App): acreditare avansata pentru testarea de penetrare a aplicatiilor web. Necesita promovarea unui examen practic.
  • CREST Certified Tester - Infrastructure (CCT Inf): acreditare echivalenta pentru testarea retelei si infrastructurii.

Pentru organismele din sectorul public britanic se aplica schema CHECK. CHECK este o schema gestionata de NCSC care necesita ca testerii de penetrare sa detina statutul de CHECK Team Member sau CHECK Team Leader. Daca sunteti un departament guvernamental, un organism NHS sau o autoritate locala, furnizorul dvs. trebuie sa detina statutul CHECK.

Cand evaluati furnizorii, solicitati sa vedeti acreditarile specifice detinute de testerii care vor lucra la angajamentul dvs., nu acreditarile detinute de cel mai senior personal al companiei. Persoana care redacteaza raportul dvs. si efectueaza testul dvs. este acreditarea care conteaza.

Cat de des ar trebui sa testati?

Raspunsul corect depinde de profilul dvs. de risc, dar minimele practice sunt:

  • Anual cel putin pentru orice aplicatie cu acces la internet care gestioneaza date personale sau de plata
  • Dupa versiunile majore care introduc functionalitati noi, fluxuri noi de autentificare sau integrari noi
  • Inainte de lansare cu un nou produs, aplicatie sau serviciu care va procesa date personale sau de plata pentru prima oara
  • Dupa un incident de securitate, pentru a intelege daca atacatorul a lasat mecanisme de persistenta sau a exploatat vulnerabilitati care nu au fost inca inchise
  • Cand profilul dvs. de risc se schimba, de exemplu dupa o fuziune, achizitie sau extindere semnificativa a bazei dvs. de utilizatori

Costurile testarii de penetrare in Marea Britanie

Tipul angajamentuluiIntervalul tipic de costNote
Test cutie neagra aplicatie web£2.000 - £8.000Extern, fara acreditative furnizate
Test cutie gri/alba aplicatie web£5.000 - £15.000Testare autentificata, poate include revizuirea codului sursa
Test de penetrare API£3.000 - £8.000REST/GraphQL, depinde de numarul de endpoint-uri
Test de penetrare infrastructura (extern)£3.000 - £10.000Perimetru, servicii expuse
Test de penetrare infrastructura (intern)£4.000 - £12.000Simuleaza scenariul insider sau post-compromitere
Exercitiu Red Team£15.000 - £50.000+Simulare completa a adversarului, multi-vector
Angajament de inginerie sociala£2.000 - £6.000Phishing, vishing sau campanie combinata

Tarifele reflecta preturile pietei britanice in 2026. Ofertele semnificativ sub aceste intervale indica de obicei scanare automatizata cu analiza manuala minima.

Serviciul de testare a penetrarii Mecanik acopera testarea aplicatiilor web, API si infrastructurii pentru afacerile britanice, folosind metodologia PTES si OWASP, cu exploatari proof-of-concept si un raport de remediere prioritizat.

Concluzii cheie

  • Un test de penetrare este o simulare manuala si autorizata a unui atac. Este categoric diferit de o scanare automatizata a vulnerabilitatilor.
  • Testerii inlantuie mai multe vulnerabilitati pentru a demonstra impactul real, nu enumera doar probleme individuale in izolare.
  • Obligatiile de conformitate britanice (PCI DSS, UK GDPR Articolul 32, ISO 27001, indrumarea NCSC) indica toate testarea regulata de penetrare ca practica de securitate de baza.
  • Un raport de calitate contine constatari evaluate dupa risc, pasi tehnici de reproducere, scoruri CVSS cu evaluari contextuale si ghid specific de remediere pentru fiecare problema.
  • Pentru acreditari, cautati CREST CRT, CCT App sau CCT Inf pentru testerii individuali ai angajamentului dvs. Pentru lucrul in sectorul public este necesar statutul schemei CHECK.
  • Testati anual cel putin, dupa versiunile majore si inainte de lansarea oricarui nou serviciu care gestioneaza date personale sau de plata.

Intrebari frecvente (FAQ)

Care este diferenta dintre un test de penetrare si o scanare a vulnerabilitatilor? O scanare a vulnerabilitatilor foloseste instrumente automatizate pentru a verifica sistemele impotriva unei baze de date cu probleme cunoscute. Un test de penetrare implica un tester uman care rationeaza despre tinta, inlantuie vulnerabilitatile si demonstreaza exploatabilitatea reala. Scanarile sunt rapide si utile pentru stabilirea bazei de referinta; nu sunt un substitut pentru testarea manuala.

Cat dureaza un test de penetrare? Un test al aplicatiei web pentru un site de complexitate medie dureaza de obicei intre trei si cinci zile de timp de testare. Aplicatiile mari, angajamentele cu cutie alba cu revizuire a codului sursa sau testele de infrastructura pe multi gazde dureaza mai mult. Conversatia de stabilire a perimetrului si redactarea raportului adauga timp suplimentar, deci planificati doua pana la patru saptamani de la inceperea angajamentului pana la livrarea raportului final.

Trebuie sa informez furnizorul de gazduire inainte de un test de penetrare? Verificati termenii de serviciu ai furnizorului dvs. de gazduire sau cloud. AWS, Azure si GCP permit toate testarea de penetrare a propriilor dvs. resurse fara notificare prealabila pentru majoritatea serviciilor, desi se aplica unele restrictii. Furnizorii de gazduire partajata cer adesea notificare prealabila. Furnizorul dvs. de testare a penetrarii ar trebui sa confirme acest lucru in timpul stabilirii perimetrului.

Ce se intampla daca testerul gaseste o vulnerabilitate critica in timpul testului? Regulile dvs. de angajament ar trebui sa defineasca o procedura de escaladare pentru constatarile critice. Un tester de incredere va lua legatura cu dvs. imediat in loc sa astepte raportul. Decideti apoi daca sa intrerupeti testarea in timp ce remediati, sa continuati cu acea constatare documentata sau sa ajustati perimetrul.

Poate un test de penetrare cauza timp de nefunctionare? Majoritatea tehnicilor de testare sunt non-distructive si nu cauzeaza timp de nefunctionare. Testarea de negare a serviciului necesita un acord explicit si este de obicei efectuata in afara orelor. Testerul dvs. ar trebui sa discute riscul oricarei tehnici potential distructive inainte de a o incerca.

Cum verific acreditarile unui tester de penetrare CREST? CREST mentine un registru public al companiilor inregistrate si persoanelor certificate la crest-approved.org. Cautati dupa numele companiei sau al testerului pentru a verifica statutul. Pentru CHECK, NCSC publica o lista a furnizorilor de servicii aprobati CHECK.