Penetrační test je řízený, autorizovaný simulovaný útok na informační systém, jehož cílem je najít a prakticky ověřit zranitelnosti dřív, než je zneužije skutečný útočník. Na rozdíl od pouhého skenu nebo kontroly podle seznamu se penetrační tester aktivně pokouší zranitelnosti zneužít a ukázat reálný dopad, vždy v rozsahu předem domluveném s klientem.
Fáze penetračního testu
Dobrý test má jasnou strukturu. Postupujeme zhruba v pěti krocích.
Dohoda o rozsahu: Než cokoli spustíme, písemně si domluvíme cíle, hranice a pravidla zapojení. Co se smí testovat, kdy a co je výslovně mimo hru.
Sběr informací: Mapujeme cílové prostředí. Hledáme systémy, služby, technologie a možné vstupní body, podobně jako by to dělal skutečný útočník při průzkumu.
Hledání zranitelností: Kombinujeme automatizované nástroje s ruční analýzou. Nástroje najdou hodně, ale teprve člověk pozná, co je skutečně zneužitelné a co je falešný poplach.
Zneužití: Pokoušíme se zranitelnosti reálně využít, získat přístup a ukázat, jak daleko by se útočník dostal. Tohle je hlavní rozdíl proti běžnému skenu.
Zpráva: Výstupem je srozumitelná zpráva s nálezy seřazenými podle závažnosti, popisem dopadu a konkrétními doporučeními, jak problém odstranit.
Typy penetračních testů
Podle toho, kolik informací tester předem dostane, rozlišujeme tři přístupy.
Black box znamená test bez vnitřních znalostí. Tester začíná zvenčí jako útočník, který o cíli nic neví. Je realistický, ale časově náročnější.
White box znamená test s plným přístupem k dokumentaci, případně i ke zdrojovému kódu. Je nejdůkladnější a odhalí i hlubší chyby.
Grey box je kompromis: tester má částečné informace, třeba běžný uživatelský účet. Dobře simuluje útočníka, který už získal nějaký počáteční přístup.
Testy se dále dělí podle cíle: testování webových aplikací, externí a interní síťové infrastruktury, mobilních aplikací, bezdrátových sítí nebo prvků sociálního inženýrství.
Jak se liší od auditu
Penetrační test a audit se často zaměňují, ale ptají se na jinou otázku.
Audit zjišťuje, zda organizace splňuje daný požadavek nebo normu. Je to systematická kontrola: máte zavedená opatření, dokumentaci, procesy a odpovídá to tomu, co předepisuje zákon nebo standard? Audit je široký a zaměřený na shodu.
Penetrační test zjišťuje, zda je systém skutečně odolný proti útoku. Je hluboký a zaměřený na praxi. Můžete projít auditem a mít vzornou dokumentaci, a přesto být zranitelní, protože opatření na papíře neznamená opatření, které v boji obstojí.
Nejlepší výsledek dává kombinace. Audit ukáže, jestli máte správně nastavený rámec. Penetrační test ukáže, jestli ten rámec opravdu drží, když do něj někdo udeří.
Kdy penetrační test potřebujete
Typicky před spuštěním nové aplikace, po větší změně infrastruktury, jako pravidelné ověření jednou ročně nebo jako důkaz odolnosti pro regulátora či partnera. Pro subjekty v působnosti zákona č. 264/2025 Sb. je praktické ověření bezpečnosti přirozenou součástí prokazování, že zavedená opatření fungují.
V GBH Cyber kombinujeme penetrační testy s red teamingem a fyzickým průnikem, takže vidíte celý možný řetězec útoku, ne jen jeho výsek. Chcete vědět, kde je vaše obrana nejslabší? Domluvte si nezávaznou konzultaci.