Testování
Penetrační testy
Praktická simulace útoku z pohledu reálného útočníka. Pentest ukáže, jak daleko se útočník dostane, kde má organizace nejslabší místa a co je potřeba opravit jako první. Výstup obstojí před vedením, pojišťovnou, auditorem i regulátorem.
Komu pentest doporučujeme
Audit informačních a komunikačních technologií je inventura, popíše jaký je stav. Pentest je pokus o průnik, ukáže, jestli stav obstojí proti reálnému útoku.
-
Subjekty v režimu vyšších povinností podle zákona o kybernetické bezpečnosti: vyhláška číslo 409/2025 Sbírky počítá s pravidelným skenováním zranitelností a penetračním testováním minimálně jednou za dva roky.
-
Finanční sektor v režimu nařízení DORA a obchodníci přijímající karetní platby v režimu PCI DSS.
-
Organizace s veřejně dostupnou aplikací, tedy e-shop, klientský portál nebo aplikační rozhraní API.
-
Firmy uzavírající kyberpojistku, kterým pentest snižuje sazbu a urychluje plnění.
-
Firmy připravující se na audit nebo certifikaci podle normy ISO 27001.
-
Klienti dodavatelů, kteří pentest vyžadují smluvně.
-
Organizace po incidentu, které chtějí ověřit zavedená opatření.
-
Banky, fintech, zdravotnictví a energetika, kde má průnik dramatický dopad.
Co dostanete
Výstup je srozumitelný pro vedení i pro IT a obstojí před auditorem, regulátorem i pojišťovnou.
-
Manažerský souhrn na tři až pět stran pro vedení: co bylo testováno, co je nejhorší riziko a co dělat hned, bez žargonu.
-
Technický report s každou zranitelností: popis, dopad, ukázku zneužití s důkazy a snímky obrazovky, skóre závažnosti CVSS, mapování na MITRE ATT&CK a konkrétní doporučení k nápravě.
-
Závěrečnou prezentaci pro vedení a samostatný briefing pro IT.
-
Retest po opravách, jeden zdarma do 90 dní, a aktualizovaný report.
-
Doklad o provedeném pentestu pro auditora, regulátora nebo pojišťovnu.
-
Volitelně vrstvu do nástroje ATT&CK Navigator a srovnání stavu před nápravou a po ní.
Typy penetračních testů
Pentest nabízíme jako jednu službu se čtyřmi základními variantami a Wi-Fi rozšířením. Vyberete si, co odpovídá vašemu rizikovému profilu, nebo objednáte balíček. Pokud chcete komplexní simulaci útoku s fyzickým vniknutím a sociálním inženýrstvím, je to samostatná služba Red Teaming.
Externí pentest infrastruktury
Pohled útočníka z internetu. Cílem je zjistit, co je viditelné zvenčí a co lze zneužít bez přístupu zevnitř.
-
Inventarizace veřejných systémů: web, VPN, brány RDP, e-mailové brány, DNS, FTP a zařízení internetu věcí.
-
Sběr z otevřených zdrojů včetně GitHubu a úniků hesel.
-
Skenování portů, identifikace verzí a známých zranitelností.
-
Pokus o průnik přes veřejné rozhraní: přihlašování, neaktualizovaný software, výchozí hesla.
-
Analýza e-mailové brány: spoofing a kontroly SPF, DKIM a DMARC.
Interní pentest infrastruktury
Pohled útočníka, který už je uvnitř sítě, typicky po phishingu nebo kompromitaci notebooku. Klíčový test, protože reálné incidenty takhle začínají.
-
Active Directory: slabá hesla, Kerberoasting, AS-REP roasting, nesprávné delegace.
-
Eskalace oprávnění od běžného uživatele k administrátorovi domény.
-
Pohyb mezi servery a stanicemi, takzvaný lateral movement.
-
Segmentace sítě: kam se útočník dostane z provozní sítě, z IT podsítě nebo z hostovské Wi-Fi.
-
Útoky na zálohy: může útočník zničit zálohy a vynutit výkupné?
-
Detekce: všimne si bezpečnostní dohled nebo ochrana koncových stanic útoku?
Pentest webové aplikace a aplikačního rozhraní
Útok na konkrétní aplikaci, tedy e-shop, klientský portál, B2B nástroj nebo mobilní backend.
-
Test bez přihlášení i s různými rolemi: běžný uživatel, redaktor, administrátor.
-
OWASP Top 10: injection, cross-site scripting, server-side request forgery, narušená autentizace a řízení přístupu.
-
Business logika: manipulace s objednávkou, slevami, cenou nebo kreditem.
-
Aplikační rozhraní REST, GraphQL a SOAP: autorizace, omezení četnosti, tokeny.
-
Šifrování přenosu, ochrana relace a ochrana proti zneužití přihlášení.
-
Soulad s OWASP ASVS na úrovni L1, L2 a L3 podle citlivosti dat.
Pentest mobilní aplikace
Útok na nativní aplikaci pro iOS nebo Android.
-
Statická analýza: reverzní inženýrství, natvrdo uložená tajemství, použité knihovny.
-
Dynamická analýza: běh aplikace, šifrování úložiště, ochrana před úpravou.
-
Komunikace s backendem: připnutí certifikátu TLS, manipulace požadavků.
-
Soulad s OWASP MASVS na úrovni L1, L2 a R.
Rozšíření: Wi-Fi pentest
Test bezdrátových sítí. Útok z parkoviště, z hostovské sítě nebo z napojené sítě.
-
Slabá hesla a špatná segmentace.
-
Podvržené přístupové body a útok evil twin.
-
Útoky na 802.1X a WPA3-Enterprise.
Jak pentest probíhá: šest fází
-
Úvodní konzultace
Pochopení prostředí, rizik a cíle testu. Stanovíme rozsah, rozpočet a časový rámec.
-
Plánování a pravidla zapojení
Mlčenlivost, smlouva, autorizace statutárního orgánu, eskalační kontakty, časová okna a zakázané techniky. Bez podepsané autorizace nezačínáme, chráníme tím vás i sebe.
-
Provedení testu
Sběr informací, identifikace zranitelností, zneužití a následný průzkum. Kritické nálezy hlásíme průběžně mimo report.
-
Analýza a klasifikace
Třídění a ověření nálezů, skórování CVSS, mapování na MITRE ATT&CK a příprava důkazů.
-
Prezentace výsledků
Manažerský souhrn pro vedení a technický briefing pro IT. Společně určíme priority oprav.
-
Retest
Po implementaci oprav se vrátíme a ověříme, že jsou nálezy skutečně vyřešené. Jeden retest do 90 dní od prvního reportu je v ceně.
Pravidla zapojení a etika
-
Bez podepsané autorizace statutárního orgánu nezačínáme.
-
Pentesty provádíme primárně na kopii prostředí nebo v dohodnutém časovém okně, abychom nenarušili provoz.
-
Kritické nálezy hlásíme okamžitě mimo report, takzvanou out-of-band notifikací.
-
Pracujeme výhradně na základě podepsané autorizace statutárního orgánu. Citlivá data si nekopírujeme, po skončení práce prokazatelně skartujeme veškeré nálezy a po roce smažeme i interní pracovní materiály.
Metodiky a standardy
- PTES standard pro průběh penetračního testu
- OWASP Testing Guide, ASVS a Top 10 pro web a API
- OWASP MASVS a MASTG pro mobilní aplikace
- NIST SP 800-115 obecný rámec testování
- OSSTMM 3 technický, lidský i fyzický faktor
- MITRE ATT&CK mapování nálezů na techniky útočníků
- CVSS 3.1 a 4.0 skórování závažnosti nálezů
- Metodika NÚKIB pokrytí vyhlášky číslo 409/2025 Sbírky
Více v přehledu Metodiky a certifikace.
Naše kvalifikace pro pentesty
Pentest provádějí seniorní testeři s certifikacemi OSCP, OSEP, CRTP pro Active Directory a Burp Suite Certified Practitioner pro webové aplikace, s praxí v regulovaných sektorech. Pentest dělá vždy tým, ne jeden člověk. Práci si vzájemně kontrolujeme a u klíčových nálezů vyžadujeme druhý nezávislý pohled, aby se v reportu neobjevily falešně pozitivní výsledky.
- OSCP Offensive Security Certified Professional
- OSEP Offensive Security Experienced Penetration Tester
- CRTP Certified Red Team Professional
- Burp Suite Certified Practitioner
Cena a délka realizace
Celkový kalendářní rámec od podpisu po finální report je obvykle tři až osm týdnů.
| Varianta | Cena | Délka realizace |
|---|---|---|
| Wi-Fi pentest 2 až 5 pracovních dní | od 39 000 Kč | 2 až 5 pracovních dní |
| Externí pentest infrastruktury 5 až 10 pracovních dní | od 79 000 Kč | 5 až 10 pracovních dní |
| Pentest mobilní aplikace 5 až 12 pracovních dní | od 89 000 Kč | 5 až 12 pracovních dní |
| Interní pentest infrastruktury 8 až 15 pracovních dní | od 99 000 Kč | 8 až 15 pracovních dní |
| Pentest webové aplikace a aplikačního rozhraní 7 až 15 pracovních dní | od 119 000 Kč | 7 až 15 pracovních dní |
| Roční pentest program kombinace více testů s množstevní slevou | cena na míru | — |
Ceny jsou bez DPH a vychází z předpokládaného rozsahu. Po úvodní konzultaci vždy dáváme přesnou fixní cenu.
Časté dotazy
Stručné odpovědi na to, na co se nás u této služby ptáte nejčastěji.
- Jaký je rozdíl mezi pentestem a auditem informačních a komunikačních technologií?
-
Audit informačních a komunikačních technologií je inventura, popíše jaký je stav. Pentest je pokus o průnik, ukáže, jestli stav obstojí proti reálnému útoku. Obojí má jiný cíl a oba mají smysl.
- Naruší pentest provoz našich systémů?
-
Pentesty provádíme primárně na kopii prostředí nebo v dohodnutém časovém okně, abychom nenarušili provoz. Rozsah, hranice a zakázané techniky stanovíme předem v pravidlech zapojení.
- Je v ceně retest po opravě nálezů?
-
Ano. Po implementaci oprav se vrátíme a ověříme, že jsou nálezy skutečně vyřešené. Jeden retest do 90 dní od prvního reportu je v ceně.
- Nabízíte sken zdarma, pokud si nejsme jistí rozsahem?
-
Ano. Pokud zvažujete pentest, ale nejste si jistí rozsahem, provedeme zdarma jednorázový externí sken jedné veřejné IP adresy nebo domény se stručnou zprávou do týdne. Získáte první obrázek, my reálný podklad pro nabídku.
- Kolik penetrační test stojí?
-
Wi-Fi pentest začíná na 39 000 Kč, externí pentest infrastruktury na 79 000 Kč, interní na 99 000 Kč a pentest webové aplikace a aplikačního rozhraní na 119 000 Kč. Ceny jsou bez DPH a po úvodní konzultaci vždy dáváme přesnou fixní cenu.
Testování
Pojďme upřesnit rozsah a cenu pro vás
Úvodní konzultace je nezávazná. Po ní dostanete přesnou fixní cenu a doporučený další krok.
Související služby
Tyto služby na sebe často navazují. Vyberte, co řešíte dál.
Red Teaming
Když chcete změřit, jak rychle útok zaznamenáte, ne jen kolik máte zranitelností.
Zobrazit službu AudityAudit kybernetické bezpečnosti
Pravidelný pentest je jedním z požadavků zákona 264/2025 ve vyšším režimu.
Zobrazit službu AudityAudit ICT
Inventura skutečného stavu infrastruktury jako doplněk k aktivnímu testování.
Zobrazit službuOzveme se do 1 pracovního dne
Napište nám, co řešíte. Doporučíme další krok a navrhneme nezávaznou konzultaci.