Koliko košta penetration testing? Cijena i faktori

Cijena penetration testinga ne dolazi iz fiksnog cjenovnika, jer pentest nije proizvod s police nego usluga čiji trošak ovisi o tome koliko sustava se testira, koliko duboko i koliko dugo. Zato je svaka unaprijed izrečena brojka, bez poznatog opsega, čisto nagađanje. U nastavku objašnjavamo koji faktori dižu ili spuštaju cijenu penetration testinga, kako razmišljati o opsegu i kako u NeoBitu izgleda proces ponude, da na kraju dobijete personaliziranu procjenu umjesto generičke brojke.

Zašto ne postoji jedinstvena cijena penetration testinga

Pentest se ne naplaćuje po komadu nego po procijenjenom broju dana rada (tzv. man-days) koje iskusan stručnjak treba uložiti da metu testira ozbiljno, ručno i do kraja. Što je meta veća, osjetljivija i složenija, to je više dana, a time i veći trošak. Drugim riječima, ne plaćate alat ni skener nego stručno vrijeme i dubinu analize.

Upravo zato dvije firme koje obje žele pentest mogu dobiti vrlo različite ponude. Jedna testira jednu malu web aplikaciju, druga cijelu internu mrežu s desecima servera. Ista usluga po imenu, potpuno različit posao po opsegu. Cilj ovog teksta nije reći koliko nešto košta, nego objasniti što čini razliku, da znate što očekivati i kako pripremiti zahtjev tako da dobijete točnu ponudu.

Faktori koji određuju cijenu penetration testinga

Glavni elementi koji ulaze u procjenu opsega, a time i u cijenu, su sljedeći:

• Opseg (scope): broj IP adresa, domena, aplikacija, API endpointa ili mrežnih segmenata koji ulaze u test. Jedna aplikacija nije isto što i cijela infrastruktura.
• Broj i tip meta: web aplikacija, mobilna aplikacija, vanjski perimetar, interna mreža, Wi-Fi, cloud okruženje ili social engineering. Svaka kategorija nosi svoju metodologiju i svoje vrijeme.
• Vrsta pristupa (black, grey ili white box): koliko informacija tim dobije unaprijed. Ovo izravno utječe i na trajanje i na trošak, pa o tome detaljnije ispod.
• Složenost mete: aplikacija s nekoliko ekrana i jednom formom nije isto što i platforma s puno korisničkih rola, plaćanjem, integracijama i složenom autorizacijom.
• Dubina testiranja: brzo automatizirano skeniranje je plitko, dok ručni pentest s eksploatacijom ranjivosti i lateralnim kretanjem traži iskusnog stručnjaka i više dana.
• Retest: ponovna provjera nakon što otklonite nalaze. Neki ga uključuju, neki ga tretiraju kao zaseban posao, pa to vrijedi dogovoriti unaprijed.
• Izvještaj i podrška: kvalitetan izvještaj prilagođen i tehničkom timu i upravi, plus konzultacije nakon testa, dio su vrijednosti koju dobivate.

Black, grey i white box: zašto mijenja računicu

Razina informacija koju testni tim dobije prije početka jedan je od najvećih pojedinačnih faktora trajanja, a time i cijene:

• Black box: tim ne zna gotovo ništa, kao pravi vanjski napadač. Realistično, ali traži više vremena za izviđanje i mapiranje.
• Grey box: tim dobije ograničen pristup, primjerice korisnički račun ili osnovnu dokumentaciju. Najčešći izbor jer daje dobar omjer dubine i uloženog vremena.
• White box: potpuni uvid u izvorni kod, arhitekturu i konfiguraciju. Najtemeljitije, pronalazi i ono što bi black box propustio, ali zahtijeva više analize.

Što diže, a što spušta cijenu penetration testinga

Umjesto cjenovnika, evo pregleda faktora i njihovog smjera utjecaja. Pomoću ove tablice možete sami procijeniti hoće li vaš zahtjev biti pri donjem ili gornjem kraju troška, prije nego uopće zatražite ponudu.

Faktor	Smanjuje trošak	Povećava trošak
Opseg	Uska, jasno definirana meta	Širok i neodređen opseg, mnogo sustava
Broj meta	Jedna aplikacija ili segment	Više aplikacija, mreža, Wi-Fi i cloud zajedno
Vrsta pristupa	Grey box s pripremljenim pristupima	Black box koji traži dugo izviđanje
Složenost mete	Jednostavna logika, malo rola	Plaćanje, integracije, mnogo rola i API
Dubina testiranja	Fokus na najkritičnije funkcije	Iscrpna eksploatacija i lateralno kretanje
Retest	Jasno dogovoren unaprijed	Ponavljani ili neplanirani ciklusi provjere
Pripremljenost	Pristupi i okruženje spremni na vrijeme	Čekanje na pristup i dokumentaciju tijekom testa

Važno upozorenje: ako negdje vidite sumnjivo nisku ponudu za kompletan pentest, gotovo sigurno se radi o automatiziranom skeniranju ranjivosti, a ne o pravom ručnom penetration testu. Skener ima svoju ulogu, ali nije isto i ne smije se prodavati pod istim imenom. Pravu vrijednost daje iskusan tester koji ranjivosti povezuje, eksploatira i dokazuje stvarni utjecaj.

Kako sami držati trošak pod kontrolom

Najveći skok cijene obično dolazi od broja meta i tražene dubine. Nekoliko praktičnih savjeta kako ostati racionalan bez gubitka kvalitete:

• Jasno definirajte opseg unaprijed. Široko i neodređeno znači veću rezervu u procjeni, a time i veći trošak.
• Krenite od najkritičnijih sustava umjesto da pokušate sve odjednom. Testiranje u fazama je često pametnije i lakše za planirati.
• Pripremite okruženje i pristupe na vrijeme. Svaki dan čekanja na pristup je izgubljeno vrijeme koje netko plaća.
• Dogovorite retest unaprijed kako biste znali je li uključen ili je zaseban posao.

Kako ide proces ponude u NeoBitu

Kod nas proces počinje razgovorom, a ne brojkom. Prvo razumijemo što imate, što vas brine i koji su vam ciljevi, pa tek onda radimo ponudu prilagođenu baš vama. Tijek izgleda ovako:

• Besplatna procjena opsega: kratak razgovor i nekoliko pitanja o vašim sustavima, ciljevima i rokovima. Ovaj korak je besplatan i ni na što vas ne obavezuje.
• Definicija opsega i pravila: dogovaramo što ulazi u test, koja je vrsta pristupa (black, grey ili white box) i u kojem terminu, da ne ometamo poslovanje.
• Personalizirana ponuda: dobivate konkretnu ponudu s jasno definiranim isporukama, bez skrivenih stavki i bez iznenađenja.
• Izvedba testa: kontrolirano, uz redovitu komunikaciju i hitnu dojavu ako naiđemo na kritičnu ranjivost.
• Izvještaj i preporuke: nalazi rangirani po riziku, s konkretnim koracima za sanaciju, razumljivi i tehničarima i upravi.
• Retest: nakon što otklonite nalaze, provjeravamo jesu li rupe stvarno zatvorene.

NeoBit je iz Mostara i radimo s firmama u BiH i regiji, što znači da razumijemo lokalni kontekst, regulativu i način poslovanja. Budući da cijena penetration testinga ovisi isključivo o vašem konkretnom opsegu, najbrži put do realne brojke je da nam opišete situaciju. Javite se za besplatnu procjenu opsega i dobit ćete personaliziranu ponudu bez obaveze.

Često postavljana pitanja

Zašto mi ne možete odmah reći cijenu penetration testinga?

Jer pentest nije gotov proizvod nego usluga čiji trošak ovisi o opsegu, broju i tipu meta, vrsti pristupa i dubini testiranja. Bez tih podataka svaka brojka bila bi nagađanje. Zato u NeoBitu prvo radimo besplatnu procjenu opsega, a tek onda dajemo personaliziranu ponudu.

Koji faktor najviše utječe na cijenu pentesta?

Najviše utječu opseg i tražena dubina, odnosno koliko meta se testira i koliko duboko ide ručna eksploatacija. Veliki utjecaj ima i vrsta pristupa, jer black box traži više vremena za izviđanje nego grey box. Što jasnije definirate opseg, to je ponuda preciznija.

Je li retest uključen?

Ovisi o ponuđaču. U NeoBitu retest dogovaramo unaprijed kako biste točno znali je li uključen ili je zaseban posao. Retest provjerava jeste li uspješno otklonili pronađene ranjivosti i preporučamo ga jer potvrđuje da je posao stvarno završen.

Kako mogu dobiti konkretnu ponudu?

Javite se NeoBitu za besplatnu procjenu opsega. Nakon kratkog razgovora o vašim sustavima i ciljevima dobivate personaliziranu ponudu s jasno definiranim isporukama, bez skrivenih stavki i bez obaveze.

Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnosna procjena (security audit) - što je i kako teče · Red team, blue team i purple team - razlike

Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnosna procjena (security audit) - što je i kako teče · Red team, blue team i purple team - razlike