Raptoric Journal/Ofenzivna sigurnost
Ofenzivna sigurnost30. svibnja 2026. · 12 min čitanja

Procjena ranjivosti ili penetracijski test: u čemu je razlika

Dvije se usluge često miješaju, a rade različite stvari. Procjena mjeri koliko slabosti imate. Test dokazuje koje bi napadač zaista iskoristio. Trebate oboje, i evo zašto.
Autor
R
Raptoric, ofenzivna sigurnost
Podijelite
LinkedInX / TwitterCopy link

Procjena ranjivosti i penetracijski test rješavaju dva različita problema. Procjena ranjivosti odgovara na pitanje koje su poznate slabosti prisutne u vašim sustavima i koliko ih ima. Penetracijski test odgovara na pitanje što napadač zaista može učiniti s tim slabostima. Prva metoda daje širinu i pokrivenost. Druga metoda daje dubinu i dokaz. Mnogi naručitelji ova dva pojma koriste kao sinonime, a zatim plate jedno, a očekuju drugo. Iz toga proizlaze pogrešne odluke o riziku i šupljine u izvješćima za regulatora.

Razlika nije akademska. Ona izravno utječe na proračun, na vrijeme angažmana, na kvalitetu nalaza i na to hoće li revizor ili nadzorno tijelo prihvatiti vaš dokaz o testiranju. U ovom tekstu objašnjavamo što svaka metoda stvarno radi, kako teče proces, što dobivate na kraju, kada birate koju, koliko košta i kako se sve to veže uz okvire poput NIS2, DORA i ISO/IEC 27001. Pišemo iz perspektive ljudi koji rade ovaj posao. Otkrivamo sigurnosne propuste prije napadača, a ovaj tekst pokazuje kako biramo pravi alat za pravi posao.

Što je procjena ranjivosti

Procjena ranjivosti je sustavno otkrivanje i razvrstavanje poznatih slabosti u sustavima, mrežama i aplikacijama. Oslanja se na automatizirano skeniranje uz stručnu provjeru rezultata. Cilj je dobiti što potpuniju sliku površine napada u kratkom roku. Skener uspoređuje konfiguraciju, verzije softvera i otvorene servise s bazama poznatih ranjivosti i izdaje popis nalaza s ocjenom ozbiljnosti. Iskusni inženjer zatim uklanja lažne pozitive i postavlja prioritete prema stvarnom kontekstu vašeg okruženja.

Procjena ranjivosti je široka, ali plitka. Pokriva stotine ili tisuće sustava i servisa, no ne pokušava iskoristiti pronađene slabosti niti spojiti više njih u stvarni napad. Daje vam inventar problema i mjeru higijene. To je temelj svakog ozbiljnog programa upravljanja ranjivostima i prvi korak za organizacije koje tek slažu svoj sigurnosni program. Ako se pitate odakle krenuti s kibernetičkom sigurnošću, redovita procjena ranjivosti je razuman početak jer daje brzu i jeftinu vidljivost.

  • Otkriva poznate ranjivosti u operativnim sustavima, mrežnoj opremi i aplikacijama na temelju javnih baza i signatura.
  • Pruža široku pokrivenost velikog broja sustava u kratkom vremenu, što je teško postići ručnim radom.
  • Razvrstava nalaze po ozbiljnosti i omogućuje praćenje trenda kroz ponovljena skeniranja.
  • Otkriva propuste u zakrpama, zastarjele verzije softvera i očite pogreške u konfiguraciji.
  • Daje mjerljiv ulaz za program upravljanja ranjivostima i za izvješćivanje upravi o stanju higijene.

Što je penetracijski test

Penetracijsko testiranje je kontroliran simulirani napad na vaše sustave s ciljem da se utvrdi što stvarni napadač može postići. Iskusni inženjer ne staje na popisu ranjivosti. On pokušava iskoristiti slabosti, povezati ih u lanac i doseći vrijednu metu poput baze podataka, domenske administracije ili poslovne logike aplikacije. Rezultat nije popis teoretskih problema, nego dokaz konkretnog utjecaja na poslovanje. Penetracijski test je uzak, ali dubok. Usredotočuje se na definirani opseg i ide do kraja unutar tog opsega.

Penetracijski test odgovara na pitanja koja skener ne može. Može li se niska ranjivost spojiti s pogrešnom konfiguracijom u potpuno preuzimanje sustava. Štiti li vaša segmentacija mreže kad napadač jednom uđe. Otkriva li vaš tim napad dok traje. Tu ulazi i ljudska kreativnost koju automatizacija nema. Detaljnije o samoj metodi pišemo u tekstu o tome što je penetracijsko testiranje, a cjelovitu uslugu nudimo kroz ofenzivnu sigurnost.

  • Aktivno iskorištava ranjivosti kako bi pokazao stvarni utjecaj, a ne samo teoretsku izloženost.
  • Povezuje više manjih slabosti u realističan lanac napada koji vodi do vrijedne mete.
  • Testira poslovnu logiku, ovlaštenja i tijek podataka koje automatizirani alati ne razumiju.
  • Provjerava djelotvornost obrane, segmentacije i sposobnosti otkrivanja u stvarnim uvjetima.
  • Daje dokaz koncepta i jasan opis koraka napada koji omogućuje preciznu sanaciju.

Glavne razlike sažeto

Najlakše ih je razlikovati kroz cilj, dubinu i ishod. Procjena ranjivosti pita koliko slabosti imamo i gdje su. Penetracijski test pita što napadač s njima može učiniti. Jedno je inventar, drugo je dokaz. Obje metode imaju svoje mjesto i u zrelom programu se nadopunjuju, a ne isključuju.

  • Cilj: procjena ranjivosti otkriva i nabraja slabosti, dok penetracijski test dokazuje iskoristivost i utjecaj.
  • Dubina: procjena je široka i plitka preko mnogo sustava, dok je test uzak i dubok unutar definiranog opsega.
  • Metoda: procjena se oslanja na automatizirano skeniranje s provjerom, dok test kombinira alate s ručnim radom i kreativnošću inženjera.
  • Ishod: procjena daje popis nalaza po ozbiljnosti, dok test daje narativ napada s dokazom koncepta i poslovnim utjecajem.
  • Učestalost: procjena se izvodi često i ponavljano, dok se test izvodi periodično i nakon većih promjena.
  • Trošak: procjena je niža po jedinici i lako skalira, dok je test viši jer traži vrijeme stručnjaka.
Procjena ranjivosti utvrđuje koje slabosti postoje. Penetracijski test dokazuje koje se od njih stvarno mogu iskoristiti i s kojim posljedicama.

Kako teče procjena ranjivosti korak po korak

Proces je discipliniran i ponovljiv. Vrijednost ne dolazi samo iz pokretanja skenera, nego iz pripreme, provjere i prioritizacije. Loša procjena izbaci tisuće nalaza bez konteksta i zatrpa tim. Dobra procjena daje kratak popis stvari koje stvarno treba popraviti i jasan redoslijed.

  • Definiranje opsega: utvrđuju se rasponi adresa, sustavi i aplikacije, te se dogovaraju termini i dozvole za skeniranje.
  • Otkrivanje imovine: mapiraju se aktivni gosti, otvoreni portovi i servisi kako se nijedan sustav ne bi izgubio iz vida.
  • Skeniranje: pokreće se autentificirano i neautentificirano skeniranje kako bi se vidjelo i izvana i iznutra.
  • Provjera nalaza: iskusni inženjer uklanja lažne pozitive i potvrđuje da su ranjivosti stvarno prisutne.
  • Prioritizacija: nalazi se rangiraju prema ozbiljnosti i prema kontekstu vašeg okruženja, a ne samo prema generičkoj ocjeni.
  • Izvješćivanje: isporučuje se popis s preporukama za sanaciju i prijedlogom redoslijeda popravaka.

Kako teče penetracijski test korak po korak

Penetracijski test slijedi prepoznatljive faze koje odražavaju ponašanje stvarnog napadača. Razlika prema procjeni je u tome što inženjer ne staje na otkriću, nego nastavlja sve dok ne dosegne dogovoreni cilj ili dok ne iscrpi razumne putove unutar opsega. Cijeli proces je dokumentiran tako da svaki korak možete pratiti i ponoviti.

  • Dogovor opsega i pravila angažmana: definiraju se mete, dopuštene tehnike, termini i kontakti za hitne situacije.
  • Prikupljanje informacija: mapira se površina napada, prikupljaju se javno dostupni podaci i identificiraju ulazne točke.
  • Otkrivanje i analiza ranjivosti: kombiniraju se alati i ručni rad kako bi se pronašle slabosti vrijedne iskorištavanja.
  • Iskorištavanje: inženjer pokušava preuzeti pristup, eskalirati ovlasti i kretati se kroz okruženje prema vrijednoj meti.
  • Post-eksploatacija: procjenjuje se do čega se sve može doći i koliki bi stvarni utjecaj bio na poslovanje.
  • Izvješćivanje i ponovna provjera: isporučuje se izvješće s dokazima i koracima sanacije, a po dogovoru se radi i ponovni test nakon popravaka.

Što naručitelj dobiva na kraju

Isporuke se bitno razlikuju i baš tu naručitelji najčešće budu razočarani ako su naručili krivu uslugu. Procjena ranjivosti daje popis. Penetracijski test daje priču o napadu s dokazima. Oba izvješća trebaju biti čitljiva i tehničkom timu i upravi, jer odluke o sanaciji donosi tehnika, a o proračunu uprava.

  • Iz procjene ranjivosti dobivate inventar nalaza s ocjenom ozbiljnosti i preporukama za zakrpe i konfiguraciju.
  • Iz procjene dobivate i osnovicu za praćenje trenda kroz vrijeme, što pokazuje napreduje li higijena.
  • Iz penetracijskog testa dobivate narativ napada koji opisuje kako je inženjer došao do cilja i kojim koracima.
  • Iz testa dobivate dokaze koncepta koji nedvosmisleno pokazuju utjecaj, što uklanja raspravu o tome je li nalaz stvaran.
  • Iz oba dobivate sažetak za upravu koji rizik prevodi u poslovni jezik i jasan plan sanacije s prioritetima.
  • Iz oba dobivate dokument koji možete pokazati revizoru ili nadzornom tijelu kao dokaz provedenog testiranja.

Kada birate koju metodu

Izbor ovisi o tome što pokušavate saznati i u kojoj ste fazi zrelosti. Ako tek slažete program i nemate jasnu sliku imovine, počnite procjenom ranjivosti jer brzo daje vidljivost uz nizak trošak. Ako imate kontrolu nad higijenom i želite znati izdrži li obrana stvarni napad, naručite penetracijski test. Ako vodite kritičnu uslugu ili obrađujete osjetljive podatke, trebate oboje u redovitom ritmu.

  • Birajte procjenu ranjivosti kad trebate brzu i široku sliku stanja prije velike promjene ili revizije.
  • Birajte procjenu kad gradite program upravljanja ranjivostima i želite mjeriti higijenu kroz vrijeme.
  • Birajte penetracijski test prije objave nove aplikacije ili usluge koja obrađuje osjetljive podatke.
  • Birajte penetracijski test kad želite provjeriti djelotvornost obrane i sposobnost otkrivanja, ne samo postojanje slabosti.
  • Birajte oboje kad regulator ili ugovor traže dokaz testiranja, a vaše okruženje je veliko i složeno.

Učestalost i okidači za testiranje

Sigurnost nije jednokratan događaj. Okruženje se mijenja svakim novim sustavom, svakom novom verzijom aplikacije i svakom promjenom konfiguracije. Zbog toga procjena ranjivosti mora biti česta, a penetracijski test periodičan i vezan uz značajne promjene. Statičan raspored nije dovoljan ako se okolina mijenja brzo.

  • Procjenu ranjivosti izvodite redovito, primjerice mjesečno ili tromjesečno, ovisno o veličini i dinamici okruženja.
  • Penetracijski test izvodite najmanje jednom godišnje za kritične sustave, a često i češće za sustave izložene internetu.
  • Testirajte nakon svake veće arhitekturne promjene, migracije u cloud ili uvođenja nove vanjske usluge.
  • Testirajte nakon značajnih izmjena u aplikaciji koja obrađuje plaćanja, zdravstvene ili osobne podatke.
  • Pokrenite izvanredni test nakon sigurnosnog incidenta kako biste potvrdili da je uzrok stvarno otklonjen.

Veza s regulativom i okvirima

Za regulirane tvrtke testiranje nije samo dobra praksa, nego često i obveza. Direktiva NIS2, odnosno Direktiva (EU) 2022/2555, traži upravljanje rizicima kibernetičke sigurnosti i mjere koje uključuju redovito testiranje djelotvornosti. U hrvatski pravni okvir to je preneseno kroz Zakon o kibernetičkoj sigurnosti, a usklađivanje pokrivamo kroz NIS2 uslugu. Financijski sektor ima dodatne obveze prema Uredbi DORA, odnosno Uredbi (EU) 2022/2554, koja je na snazi od siječnja 2025. i izričito traži testiranje digitalne operativne otpornosti.

DORA uvodi i napredno testiranje temeljeno na prijetnjama za značajne subjekte, što se oslanja na rad u stilu Red Team operacija. O specifičnostima za banke i druge financijske institucije pišemo u tekstu o DORA i financijskim institucijama, a uslugu nudimo kroz DORA usklađivanje. Za norme, ISO/IEC 27001:2022 traži procjenu rizika i kontrole, a njezin Prilog A sadrži 93 kontrole u 4 teme. Penetracijski test i procjena ranjivosti daju dokaz da kontrole stvarno rade, što je ono što akreditirano certifikacijsko tijelo želi vidjeti tijekom audita za ISO 27001.

  • NIS2 i Zakon o kibernetičkoj sigurnosti traže upravljanje rizicima i provjeru djelotvornosti mjera, gdje testiranje daje dokaz.
  • DORA traži program testiranja digitalne operativne otpornosti, uz napredno testiranje za značajne financijske subjekte pod nadzorom HNB-a i Hanfe.
  • ISO/IEC 27001:2022 očekuje da kontrole iz sustava upravljanja informacijskom sigurnošću budu provjerene, a test i procjena to dokumentiraju.
  • Za SOC 2 izvješće, Trust Services kriteriji traže dokaz da su sigurnosne kontrole djelotvorne kroz promatrano razdoblje.
  • Za web i mobilne aplikacije, OWASP daje priznat okvir prema kojem se usmjerava dubinski dio penetracijskog testa.

Česte pogreške i znakovi upozorenja

Najskuplje pogreške nastaju prije nego što test uopće počne. Krivo postavljen opseg, kriva usluga za cilj i dobavljač koji prodaje skeniranje pod imenom penetracijskog testa vode do lažnog osjećaja sigurnosti. Dokument s tisuću nalaza iz skenera nije penetracijski test, bez obzira na to kako je naslovljen. Prepoznavanje ovih znakova štedi novac i živce.

  • Dobavljač isporučuje sirovi izvještaj skenera bez ručne provjere i naziva ga penetracijskim testom.
  • Opseg je postavljen tako usko da isključuje upravo najvrjednije sustave, pa izvješće izgleda čisto bez razloga.
  • Izvješće nema dokaze koncepta ni opis koraka napada, pa ne možete provjeriti je li nalaz stvaran.
  • Nema ponovne provjere nakon sanacije, pa nikad ne potvrdite da su propusti zaista zatvoreni.
  • Nalazi se ne prioritiziraju prema vašem kontekstu, nego se predaje generička ocjena ozbiljnosti bez objašnjenja.
  • Test se naručuje jednom godišnje kao formalnost, bez ikakve veze sa stvarnim promjenama u okruženju.

Izbor partnera presudno utječe na ishod. Tražite jasna pravila angažmana, čitljiva izvješća i spremnost na ponovnu provjeru. O kriterijima detaljnije pišemo u tekstu o tome kako odabrati partnera za pentest.

Koliko stoji i koliko traje

Trošak prati uloženo vrijeme stručnjaka i opseg. Procjena ranjivosti je jeftinija po jedinici jer se velikim dijelom oslanja na automatizaciju i lako skalira na mnogo sustava. Penetracijski test je skuplji jer traži dane ručnog rada iskusnog inženjera. Cijena nije mjesto za štednju ako je cilj stvarni dokaz, jer pojeftinjeni test koji preskače ručni rad daje malo vrijednosti.

  • Procjena ranjivosti obično traje od jednog do nekoliko dana, ovisno o broju sustava i opsegu skeniranja.
  • Penetracijski test za jednu aplikaciju ili manju mrežu obično traje od jednog do dva tjedna, uključujući izvješćivanje.
  • Veći i složeniji opseg, posebno s ciljem nalik Red Team operaciji, zahtijeva više tjedana i veći proračun.
  • Trošak procjene raste s brojem sustava, dok trošak testa raste s dubinom i složenošću meta.
  • Ponovni test nakon sanacije je dodatan, ali manji trošak koji potvrđuje da su propusti zatvoreni.
  • Najveći skriveni trošak nije sam test, nego propušteni rizik koji se otkrije prekasno i u produkciji.

Kako se nadopunjuju u zrelom programu

U praksi ne biramo jedno ili drugo zauvijek. Gradimo program u kojem se metode izmjenjuju i hrane jedna drugu. Česta procjena ranjivosti drži higijenu pod kontrolom i smanjuje broj očitih propusta. Periodični penetracijski test zatim provjerava ono što skener ne vidi, poput poslovne logike i lanaca napada. Tako se proračun troši na onome što stvarno smanjuje rizik.

Za aplikacije dubinski rad pokrivamo kroz sigurnost aplikacija, a za otkrivanje i odgovor na prijetnje kroz TDR uslugu. Upravljanje rizikom i usklađenost povezujemo kroz GRC. Posebnu pažnju traže novi sustavi temeljeni na umjetnoj inteligenciji, gdje napadi poput umetanja uputa otvaraju novu površinu napada. O tome pišemo u tekstu o sigurnosti AI sustava i umetanju uputa, a uslugu nudimo kroz sigurnost AI sustava u skladu s nadolazećim zahtjevima EU akta o umjetnoj inteligenciji.

Česta pitanja

Je li procjena ranjivosti dovoljna umjesto penetracijskog testa

Ne za regulirano okruženje ili kritične sustave. Procjena ranjivosti daje širinu i higijenu, ali ne dokazuje što napadač stvarno može učiniti. Penetracijski test otkriva lance napada i probleme u poslovnoj logici koje skener ne vidi. Većini ozbiljnih organizacija treba oboje, u različitim ritmovima.

Koliko često trebamo penetracijski test

Najmanje jednom godišnje za kritične sustave, a uz to nakon svake veće promjene arhitekture, migracije ili objave nove usluge izložene internetu. Ako obrađujete plaćanja ili osjetljive podatke, razmislite o češćem ritmu. Statičan godišnji termin nije dovoljan ako se okruženje brzo mijenja.

Hoće li nam regulator priznati skeniranje kao penetracijski test

Najčešće neće. Okviri poput DORA i NIS2 očekuju provjeru djelotvornosti mjera, a sirovo skeniranje to ne dokazuje. Revizor i nadzorno tijelo traže izvješće s opsegom, metodologijom, dokazima i preporukama. Penetracijski test daje upravo takav dokaz, dok skeniranje pokriva samo dio slike.

Može li penetracijski test srušiti naše produkcijske sustave

Rizik postoji, ali se njime upravlja kroz pravila angažmana. Dogovaramo opseg, dopuštene tehnike, termine i kontakte za hitne situacije. Destruktivne tehnike izvodimo samo uz izričitu dozvolu ili u testnom okruženju. Cilj je dokazati rizik, a ne uzrokovati ispad.

Trebamo li unutarnji ili vanjski test

Ovisi o pitanju. Vanjski test gleda na vašu izloženost s interneta, kao što bi je vidio nepoznat napadač. Unutarnji test pretpostavlja da je napadač već unutra, primjerice preko kompromitirane radne stanice, i provjerava segmentaciju i eskalaciju ovlasti. Za potpunu sliku obično radimo oboje.

Tko bi trebao primiti izvješće

Izvješće ima dva dijela za dvije publike. Tehnički dio s dokazima i koracima ide timu koji provodi sanaciju. Sažetak za upravu prevodi rizik u poslovni jezik i podržava odluke o proračunu. Kontrolirajte tko ima pristup punom izvješću jer ono sadrži osjetljive detalje o slabostima.

Razlika između procjene ranjivosti i penetracijskog testa nije sitnica. To je razlika između popisa i dokaza, između higijene i otpornosti. Ako znate koje pitanje postavljate, lako birate pravu metodu, a često vam treba oboje u promišljenom ritmu. Pomažemo vam postaviti opseg, odabrati pravu uslugu i isporučiti dokaz koji izdrži i napadača i revizora kroz ofenzivnu sigurnost. Ako niste sigurni odakle krenuti, pogledajte naš vodič o tome gdje krenuti s kibernetičkom sigurnošću ili dogovorite razgovor o opsegu pa zajedno odredimo što vam stvarno treba.

Želite li ovakvu provjeru na vlastitim sustavima?
Iskusni inženjer definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →