Frameworky pro penetrační testy: srovnání a výběr 2026
Volba správného frameworku je jedním z těch rozhodnutí, která odlišují průměrný audit od testu, který skutečně odhalí riziko. Trh nástrojů pro penetrační testy dnes nabízí více než deset seriózních možností, od metodik jako PTES a OWASP Testing Guide, přes rozsáhlé exploitační platformy jako Metasploit, až po autonomní systémy jako Pentera. Problém není v nedostatku výběru. Je v tom, že většina specialistů volí nástroje ze zvyku, a ne metodicky. Tento průvodce tento vzorec mění.
Obsah
Klíčové závěry
| Bod | Podrobnosti |
|---|---|
| Mapování na MITRE ATT&CK | Vybírejte frameworky s nativní integrací ATT&CK, aby reporting měl obchodní smysl, nejen technický. |
| OWASP Top 10 není metodika | Pro testování webových aplikací používejte OWASP WSTG, nikoli Top 10, který je dokumentem o povědomí o hrozbách. |
| Automatizace nenahradí člověka | Autonomní nástroje jako Pentera testování zrychlují, ale logické chyby a pokročilé cesty útoku stále vyžadují experta. |
| Kombinujte frameworky | Profesionální penetrační testeři kombinují PTES, OWASP a OSSTMM pro plné pokrytí, místo aby se spoléhali na jediný standard. |
| Cena nerozhoduje o kvalitě | Kali Linux s Metasploitem poskytuje široké technické pokrytí při nízkých nákladech, ale nenahrazuje metodiku, reporting, dokumentaci rozsahu ani zkušenost testera. |
1. Kritéria hodnocení frameworků pro penetrační testy
Než přejdeme ke konkrétním nástrojům a metodikám, vyplatí se stanovit, co vlastně odlišuje dobrý framework od špatného z provozního hlediska. Nejde o počet funkcí v dokumentaci, ale o to, jak se framework chová v reálném prostředí klienta.
Zde jsou kritéria, která mají skutečný význam:
-
Soulad s uznávanými metodikami. Framework by měl být v souladu s PTES, OWASP Testing Guide nebo NIST SP 800-115. To zaručuje opakovatelnost a auditovatelnost výsledků.
-
Integrace s MITRE ATT&CK. Mapování testů na ATT&CK umožňuje vizualizovat pokrytí technik útoku a sdělovat výsledky auditu srozumitelně i pro management.
-
Rozsah pokrytí testů. Pokrývá framework síť, webové aplikace, cloudová prostředí a fyzické prvky? Úzce specializovaný nástroj je třeba doplnit.
-
Míra automatizace. Automatizace zrychluje, ale omezuje hloubku analýzy ve složitých scénářích. Důležitá je rovnováha mezi coverage a depth.
-
Reporting a compliance. Reporty musí splňovat regulatorní požadavky (ISO 27001, PCI DSS, NIS2). Framework, který negeneruje auditovatelnou dokumentaci, komplikuje práci v závěrečné fázi.
-
Licenční model a náklady. Open-source, komerční SaaS nebo PTaaS jsou tři různé nákladové modely s různými dopady pro malé firmy i velké korporace.
-
Podpora pokročilé exploatace. Red týmy potřebují frameworky s rozvinutým C2 (command and control), OPSEC a možností simulace APT.
Tip profesionála: Před výběrem frameworku definujte typ testu: black box, grey box nebo red team. Různé scénáře vyžadují různé sady nástrojů a metodik. Volba nástroje bez této odpovědi je zdrojem většiny chyb.
2. Metasploit Framework
Metasploit je naprostý základ výbavy každého penetračního testera. Metasploit Framework obsahuje tisíce ofenzivních modulů a Rapid7 jej dnes popisuje jako framework s více než 4 000 exploitními moduly. Je to jedna z největších a nejpoužívanějších veřejně dostupných databází modulů pro penetrační testy. Framework je k dispozici jak v open-source edici (Metasploit Framework), tak v komerční (Metasploit Pro).
Klíčovou výhodou Metasploitu je integrace s metadaty MITRE ATT&CK, která testerům umožňuje identifikovat TTP (Tactics, Techniques and Procedures) a mapovat provedené útoky na matici ATT&CK. Podrobný rozbor této integrace najdete v průvodci Metasploitem.
Metasploit se nejlépe osvědčuje při testování infrastruktury, skenování zranitelností a exploataci systémů. Pro red týmy je jeho omezením viditelnost v moderních EDR prostředích. Zde nastupuje Cobalt Strike.
3. Cobalt Strike
Cobalt Strike je standardem pro pokročilé operace red teamu a simulaci APT. Poskytuje nejflexibilnější C2 infrastrukturu s pokročilými funkcemi pro únik před detekcí, malleable C2 profiles a možností simulovat pokročilé skupiny hrozeb.
Framework je komerční a nákladný, ale jeho schopnosti v oblasti post-exploitation, lateral movement, persistence a práce s C2 patří k nejrozvinutějším v segmentu komerčních nástrojů pro red team. Cobalt Strike není nástroj pro začátečníky. Vyžaduje solidní pochopení OPSEC a infrastruktury red teamu, aby se operace nespálila v rané fázi testu.
Je také třeba pamatovat, že Cobalt Strike je intenzivně zneužíván skupinami APT, což znamená, že blue týmy jsou na jeho detekci stále lépe připraveny. Efektivní použití vyžaduje další customizaci.
4. Burp Suite
Burp Suite Professional je referenčním bodem pro testování bezpečnosti webových aplikací. Dobře se hodí pro testy vedené podle OWASP Web Security Testing Guide, protože poskytuje proxy, scanner, Repeater, Intruder a workflow potřebný pro manuální i částečně automatizovanou verifikaci webových zranitelností.
Nástroj nabízí proxy, skener zranitelností, intruder a repeater v jednom prostředí. Edice Enterprise umožňuje automatizaci skenování v CI/CD pipeline. Pro penetrační testery webových aplikací je Burp Suite nástrojem první volby, bez ohledu na to, zda je test zadán externě, nebo veden uvnitř organizace.
Důležité rozlišení: OWASP Top 10 je dokument o povědomí o riziku, zatímco OWASP WSTG je skutečný testovací framework. Burp Suite podporuje to druhé, nikoli první. Záměna těchto dvou konceptů je jednou z nejčastějších chyb při plánování rozsahu webových testů.
5. Pentera a Horizon3.ai NodeZero
Autonomní platformy nabízejí každodenní nebo týdenní testy namísto ročních bodových hodnocení. Jde o zásadní změnu bezpečnostního modelu: z reaktivního auditu na průběžnou verifikaci.
Pentera automatizuje celou cestu útoku: od průzkumu přes exploataci až po reporting. NodeZero od Horizon3.ai funguje podobně a nabízí testy z perspektivy skutečného útočníka, bez agentů na cílových systémech. Oba nástroje míří na organizace, které potřebují časté testy při omezeném počtu penetračních testerů.
Hranice mezi těmito platformami a klasickým BAS (Breach and Attack Simulation) se stírá. Lidské testy však zůstávají nenahraditelné při identifikaci pokročilých logických chyb a architektonických nedostatků, které algoritmy nezachytí.
6. AttackIQ a SafeBreach - platformy BAS
AttackIQ a SafeBreach reprezentují kategorii Breach and Attack Simulation (BAS). Staví na knihovně technik MITRE ATT&CK a umožňují průběžné testování bezpečnostních kontrol proti konkrétním technikám útoku.
Jejich silou je možnost měřit účinnost existujících obran (EDR, SIEM, firewall) bez nutnosti zapojit penetračního testera do každé testovací relace. Pro CISO je to nástroj pro průběžné řízení rizik, nikoli klasický audit. Pro penetrační testery je to užitečná součást ekosystému, která ukazuje, co prostředí klienta skutečně detekuje a co propouští.
7. Metodiky: PTES, OWASP WSTG a OSSTMM
Nejde o nástroje, ale o rámce, které definují, jak vést test. Rozdíl je zásadní.
PTES je 7fázový model definující celý cyklus penetračního testu: od smlouvy, přes průzkum a exploataci, až po reporting. PTES standardizuje rozsah a dokumentaci, což přímo podporuje soulad s auditními požadavky.
OSSTMM se zaměřuje na měření a kvantifikaci bezpečnosti pomocí metriky RAV (Risk Assessment Value). Jde o jedinečný přístup, který OSSTMM odlišuje od ostatních metodik a soustředí se na provozní ochranu komunikačních kanálů.
Je třeba pamatovat, že OSSTMM 3 je starší metodika z roku 2010. Stále může být užitečná jako měřicí rámec, zejména u kanálového přístupu a metriky RAV, ale v mnoha současných projektech častěji narazíte na kombinaci PTES, OWASP WSTG, NIST SP 800-115 a MITRE ATT&CK.
OWASP WSTG je testovací framework pro webové aplikace s více než 90 testovacími scénáři rozdělenými do kategorií. Jeho použití v sektoru e-commerce a financí je standardem. Více o praktickém uplatnění metodik si přečtete v materiálu o metodikách etického hackingu.
Profesionální penetrační testeři kombinují PTES, OWASP a OSSTMM pro plné pokrytí, místo aby se omezovali na jedinou metodiku. To je praxe, ne teorie.
8. Kali Linux jako pracovní platforma
Kali Linux není framework v metodologickém smyslu, ale platforma integrovaná se stovkami nástrojů pro penetrační testy. Nmap, Wireshark, John the Ripper, SQLmap, Metasploit, Burp Suite - všechny fungují out-of-the-box.
Kali Linux s Metasploitem poskytuje široké technické pokrytí mnoha scénářů při nízkých nákladech, ale nenahrazuje metodiku, reporting, dokumentaci rozsahu ani zkušenost testera. Pro organizace, které vyžadují auditovatelné reporty a řízení testovacích kampaní, je Kali prostředím, nikoli kompletním řešením. Je třeba jej doplnit o metodiku (PTES) a reportovací nástroje.
9. Srovnávací tabulka frameworků pro penetrační testy
Následující přehled zahrnuje hlavní vlastnosti frameworků a nástrojů pro penetrační testy podle klíčových provozních parametrů.
| Framework / nástroj | Rozsah testů | Automatizace | Metodika | Reporting a compliance | Licenční model |
|---|---|---|---|---|---|
| Metasploit Framework | Síť, systémy, služby | Částečná | MITRE ATT&CK | Omezené (Pro: lepší) | Open-source / komerční |
| Cobalt Strike | Red team, APT, C2 | Nízká (manuální operace) | MITRE ATT&CK | Provozní reporty | Komerční |
| Burp Suite | Webové aplikace | Vysoká (Enterprise) | OWASP WSTG | Podrobné reporty | Komerční |
| Pentera | Síť, systémy | Plná (autonomní) | Vlastní, ATT&CK | Auditovatelné, compliance | SaaS / PTaaS |
| NodeZero | Síť, aplikace | Plná (autonomní) | ATT&CK, PTES | Auditovatelné | SaaS |
| AttackIQ / SafeBreach | Bezpečnostní kontroly | Plná (BAS) | MITRE ATT&CK | Report účinnosti kontrol | Komerční SaaS |
| PTES | Plný rozsah | Žádná (metodika) | Vlastní | Šablona reportingu | Open (zdarma) |
| OWASP WSTG | Webové aplikace | Žádná (metodika) | OWASP | Kontrolní seznamy | Open (zdarma) |
| OSSTMM | Plný rozsah (kanály) | Žádná (metodika) | Vlastní (RAV) | Metriky RAV | Dokument zdarma / CC BY-NC-ND |
| Kali Linux | Plný rozsah (platforma) | Závisí na nástrojích | Závisí na nástrojích | Závisí na nástrojích | Open-source |
10. Scénáře a doporučení pro výběr frameworku
Správná volba závisí na kontextu testu. Níže jsou konkrétní doporučení pro typické scénáře:
-
Testování webových aplikací (compliance, e-commerce, fintech). Použijte OWASP WSTG jako metodiku a Burp Suite Professional jako hlavní nástroj. Doplňte PTES pro dokumentaci rozsahu.
-
Pokročilé operace red teamu a simulace APT. Cobalt Strike s malleable C2 profiles, doplněný Metasploitem pro exploataci zranitelností. Metodika: PTES nebo interní playbooky red teamu založené na ATT&CK.
-
Průběžné a autonomní bezpečnostní testy. Pentera nebo NodeZero pro týdenní verifikaci útočné plochy. Zvláště účinné pro prostředí s vysokou proměnlivostí infrastruktury.
-
Compliance a regulatorní testy (PCI DSS, ISO 27001, NIS2). PTES jako dokumentační rámec, NIST SP 800-115 pro technickou strukturu, reporty z Burp Suite nebo Pentera k přiložení k auditu.
-
Projekty s omezeným rozpočtem. Kali Linux s Metasploit Framework pokrývá většinu scénářů. Metodika PTES je zdarma. Náklady jsou hlavně čas testera.
-
Testování interní infrastruktury a lateral movement. Metasploit pro exploataci, NetExec (nástupce opuštěného CrackMapExec) pro testování Active Directory, Cobalt Strike pro pokročilé scénáře persistence.
Moderní platformy PTaaS kombinují automatizaci s testery na vyžádání, což je účinný model pro organizace bez stálého bezpečnostního týmu.
Tip profesionála: Nevybírejte jediný framework jako jediné řešení. Budujte stack: metodika (PTES/OWASP), nástroj pro exploataci (Metasploit/Cobalt Strike), nástroj pro webové testy (Burp Suite) a nástroj pro reporting. Výsledkem je audit pokrývající plný rozsah, který obstojí před otázkami klienta i auditora.
Názor experta: jak vybírám frameworky v praxi
Za roky práce s různými klienty a prostředími jsem se naučil jednu věc: největší chybou při výběru nástroje je začínat od nástroje místo od otázky, co chceme ověřit.
Viděl jsem projekty, kde firma utratila desítky tisíc eur za Cobalt Strike, a tester jej používal jako bohatší Metasploit, bez jakékoli strategie C2 a OPSEC. Výsledky byly slabší než u dobře naplánovaného testu s open-source nástroji. Nástroj nedělá test. Test dělá metodika.
Můj přístup: začínám od PTES kvůli struktuře, přizpůsobuji nástroje rozsahu testu a ATT&CK Navigator mi slouží k vizualizaci pokrytí technik. Výsledek je auditovatelný, obhajitelný a srozumitelný pro vedení klienta, nejen pro techniky.
Jsem také skeptický vůči trendu plné automatizace. Autonomní nástroje jako Pentera odvádějí skvělou práci při odhalování známých vzorců útoku, ale složité cesty útoku vyžadující obchodní kontext stále potřebují lidský vklad. Hodnota penetračního testu spočívá v metodice, nejen v nástrojích.
Sledujte trh, ale nehoňte se za každou novinkou. Framework, který dobře znáte a používáte metodicky, má větší hodnotu než deset nástrojů používaných napůl.
Hardware a nástroje pro penetrační testy v Sapsan-sklep
Softwarové frameworky jsou jen částí skládačky. Účinné testování sítí, RFID, fyzické bezpečnostní audity a hardwarové testy vyžadují dedikované vybavení.
Sapsan-sklep jako evropský distributor specializovaného hackingového vybavení nabízí nástroje kompatibilní s výše uvedenými frameworky: zařízení Hak5 jako Packet Squirrel Mark II pro testování sítí, hardware BadUSB, nástroje RFID/NFC a Flipper Zero s příslušenstvím. Celý sortiment je dostupný s doručením v rámci EU a USA. Nabídka je určena jak profesionálním penetračním testerům, tak IT bezpečnostním týmům, které hledají vybavení pro fyzické a síťové audity.
FAQ
Který framework je nejlepší pro začínající penetrační testery?
Kali Linux s Metasploit Framework je optimálním výchozím bodem. Kombinace open-source, bohaté dokumentace a kompatibility s metodikou PTES poskytuje solidní základ bez licenčních nákladů.
Jaký je rozdíl mezi OWASP Top 10 a OWASP WSTG?
OWASP Top 10 je seznam povědomí o hrozbách, nikoli testovací metodika. Pro skutečné testování bezpečnosti webových aplikací se používá OWASP Web Security Testing Guide (WSTG), který obsahuje více než 90 podrobných testovacích scénářů.
Nahrazují autonomní platformy jako Pentera manuální testy?
Nenahrazují je zcela. Autonomní platformy zrychlují verifikaci známých vzorců útoku a vynikají v průběžném monitoringu, ale pokročilé logické chyby, architektonické nedostatky a složité cesty útoku vyžadují zkušeného penetračního testera.
Jak mapování MITRE ATT&CK zlepšuje kvalitu reportů z penetračních testů?
ATT&CK Navigator umožňuje vizualizaci pokrytých technik útoku, což dovoluje sdělovat rozsah testu a mezery v pokrytí technikům i vedení bez nutnosti překládat ofenzivní terminologii.
Lze PTES a OWASP WSTG používat současně?
Ano, a je to doporučená praxe. Profesionální penetrační testeři kombinují metodiky pro plné pokrytí: PTES definuje strukturu projektu a dokumentaci, zatímco OWASP WSTG upřesňuje testovací scénáře pro webové komponenty.