Rozsah pentestove zakazky: pruvodce pro profesionaly
Rozsah zakázky je jedním z nejčastěji podceňovaných prvků celého procesu penetračního testování. Většina pentesterů ví, co jsou penetrační testy v obecném smyslu, ale zachází se scope jako s prostým seznamem IP adres ke skenování. To je chyba, která stojí projekty čas, peníze a důvěryhodnost. Rozsah zakázky je formální záznam hranic testu, který definuje aktiva, techniky a dobu trvání testu. Bez přesného rozsahu ani ten nejlepší pentester pracuje ve vzduchoprázdnu a klient dostane zprávu, která neodpovídá jeho skutečným potřebám.
Obsah
Jak model black/grey/white box ovlivňuje rozsah a průběh penetračních testů
Role přesného vymezení rozsahu v právní bezpečnosti a kvalitě výsledků testu
Praktické pokyny a příklady stanovení rozsahu v pentestech webových aplikací a API
Proč je přesné definování rozsahu největší výzvou a klíčem k úspěchu pentestu
Nástroje a vybavení pro pentestery podporující realizaci rozsahu zakázky
Klíčové závěry
| Bod | Podrobnosti |
|---|---|
| Rozsah zakázky | Formální dokument určující, které systémy a metody testování jsou povoleny. |
| Modely testů | Black, grey a white box se liší přístupem k informacím, což ovlivňuje rozsah a výsledky testů. |
| Důležitost přesnosti | Přesné určení rozsahu minimalizuje právní riziko a zajišťuje přesnost výsledků. |
| Rozsah webových aplikací | Je důležité zahrnout endpointy, uživatelské role a typy autentizace. |
| Náklady a čas | Větší rozsah testů generuje vyšší náklady a vyžaduje více času a zdrojů. |
Součásti rozsahu pentestové zakázky
Po obecném úvodu si podrobně rozeberme klíčové součásti rozsahu zakázky. Rozsah pentestové zakázky není jednotný. Skládá se ze tří odlišných dimenzí, z nichž každá definuje jiné hranice testu a vyžaduje samostatnou dohodu s klientem.
Rozsah zakázky se dělí na scope cílů, scope technik a časový scope. Toto trojité dělení je vhodné používat jako šablonu při každém úvodním setkání s klientem. Z naší zkušenosti jako dodavatele pentesterského vybavení víme, že klienti se nejčastěji vracejí pro další nástroje právě tehdy, když se rozsah zakázky mění v průběhu projektu - přesné vymezení scope na začátku šetří čas i rozpočet.
Scope cílů určuje, které systémy, sítě a aplikace podléhají testům. Zahrnuje:
Konkrétní IP adresy, CIDR rozsahy nebo doménová jména
Webové aplikace identifikované URL nebo prostředím (produkce, staging)
Vyloučení, tedy systémy, kterých se tester nesmí dotknout, např. produkční systémy třetích stran
Síťová zařízení: routery, firewally, přepínače
Cloudovou infrastrukturu s určením účtů a regionů
Scope technik definuje, jaké metody útoku jsou povoleny. To je jedna z oblastí, kde nejčastěji dochází k nedorozuměním. Klient může očekávat plný test, ale zakázat exploitaci zranitelností, protože se obává výpadku systému. Scope technik zahrnuje rozhodnutí ohledně:
Exploitace zranitelností (s payloadem nebo bez)
Útoků typu odmítnutí služby (DoS), které jsou obvykle zakázány v produkčních prostředích
Sociálního inženýrství, phishingu a pretextingu
Fyzických útoků na infrastrukturu
Metod eskalace oprávnění a lateral movement
Časový scope je okno, ve kterém se mohou testy provádět. Definuje hodiny a dny povolených testovacích aktivit. Obsahuje také blackouty - období zákazu testů, např. při účetní závěrce nebo aktualizacích systémů. Vynechání tohoto prvku vede k situacím, kdy tester spustí skener v pátek ve 23:00 a monitoring klienta vyvolá alarm, který nikdo nečeká řešit.
Stojí za to seznámit se s metodologiemi penetračního testování, které upřesňují, jak jsou tyto tři dimenze formalizovány v různých oborových frameworcích.
Jak model black/grey/white box ovlivňuje rozsah a průběh penetračních testů
Se znalostí prvků rozsahu analyzujme, jak různé modely testování ovlivňují definování a realizaci rozsahu. Volba modelu není pouze metodologickou otázkou. Přímo určuje, co lze zkontrolovat, jak hluboko a za jakou cenu.
Model black/grey/white box určuje úroveň znalostí a přístupu testera, což zase ovlivňuje, jak podrobně je třeba formulovat rozsah zakázky v dokumentaci.
| Model | Znalosti testera | Typický rozsah | Doba realizace | Výhody |
|---|---|---|---|---|
| Black box | Žádné (pouze veřejné info) | Externí systémy a IP adresy | Nejdelší | Realistický obraz útoku zvenčí |
| Grey box | Částečné (credentials, architektura) | Webové aplikace s testovacími účty | Střední | Rovnováha mezi realismem a hloubkou |
| White box | Plné (kód, architektura, infrastruktura) | Celý technologický stack | Nejkratší na jednotku systému | Maximální hloubka a pokrytí |
Několik praktických postřehů ke každému modelu:
Black box vyžaduje rozsáhlý scope cílů, protože tester musí sám mapovat infrastrukturu. Scope technik je zde obvykle širší, ale omezený na externí akce.
Grey box je nejčastěji volený model v komerčních službách bezpečnostního testování. Rozsah zahrnuje klientem poskytnuté přihlašovací údaje a případné diagramy sítě.
White box přesouvá těžiště scopingu na technickou dokumentaci. Tester potřebuje přístup k repozitářům kódu, diagramům architektury a konfiguracím systémů. Scope musí specifikovat, které repozitáře a prostředí jsou předmětem testu.
Podrobný přehled vybavení podporujícího realizaci různých modelů black/grey/white box najdete ve specializovaném článku.
Role přesného vymezení rozsahu v právní bezpečnosti a kvalitě výsledků testu
Po probrání modelů testování se zaměřme na právní a kvalitativní důsledky vyplývající z rozsahu. To je oblast, kterou mnoho pentesterů považuje za formalitu. Není jí.
Absence písemného souhlasu a přesnosti vystavuje právní odpovědnosti jak testovací firmu, tak samotného testera. V Polsku mohou být testy bez autorizace kvalifikovány jako porušení zákona o kybernetické bezpečnosti nebo trestního zákoníku v oblasti neoprávněného přístupu k informačním systémům.
Dva klíčové dokumenty formalizující rozsah jsou SOW (Statement of Work) a ROE (Rules of Engagement). Rozdíl mezi nimi je zásadní a často přehlížený:
SOW definuje, co se testuje. Obsahuje seznam systémů, aplikací, prostředí a vyloučení.
ROE určuje, jak má test probíhat. Reguluje povolené techniky, hodiny testování, pravidla eskalace a podmínky zastavení.
Oddělení těchto dokumentů má praktický význam. SOW podepisuje právník nebo projektový manažer na straně klienta. ROE podepisuje technicky odpovědná osoba, např. CTO nebo security manažer. Podpis pod nesprávným dokumentem nesprávnou osobou neposkytuje požadovanou autorizaci.
Tip od profesionála: Vždy ověřte, zda osoba podepisující ROE má skutečné oprávnění k udělení souhlasu s testováním. Podpis IT pracovníka bez příslušného zmocnění vás právně nechrání v případě incidentu.
Kroky ke správnému stanovení rozsahu:
Definujte systémy zahrnuté do testu a připravte seznam vyloučení
Stanovte povolené metody a techniky, zaznamenejte zákazy
Určete časové okno a naplánujte blackouty
Definujte podmínky zastavení testu a postupy eskalace
Schvalte dokumentaci podpisy oprávněných osob na obou stranách
Kompletní analýzu formálních požadavků najdete v článku o metodologii a pravidlech provádění penetračních testů.
Praktické pokyny a příklady stanovení rozsahu v pentestech webových aplikací a API
S ohledem na obecná pravidla a rizika přejděme k praktickým aspektům definování rozsahu v testech webových aplikací. Tento typ testů má svá specifika, která vyžadují velmi přesný přístup ke scopingu.
Rozsah testu webové aplikace/API se určuje na úrovni URL adres, endpointů a přístupových rolí. Nezbytné je přesné určení rozsahu testů autentizace.
V praxi by rozsah testu webové aplikace měl obsahovat:
Seznam URL a API endpointů: nestačí uvést doménu. Je třeba specifikovat, zda se testují všechny subdomény, konkrétní cesty, verzovaná API (v1, v2) a prostředí (produkce vs staging).
Přístupové role k zahrnutí: anonymní uživatel, registrovaný uživatel, moderátor, administrátor. Každá role otevírá jinou sadu funkcionalit a potenciálních zranitelností.
Rozsah testovacích dat: jaké testovací účty klient poskytuje, jaká data lze během testu vytvářet a měnit.
Environmentální omezení: zda testy mohou zasahovat produkční databáze, nebo zda tester pracuje výhradně na stagingu.
Specifické hrozby k prozkoumání: klient může prioritizovat OWASP Top 10, byznysovou logiku nebo autorizaci mezi účty.
Nepřesné vymezení přístupových rolí je jednou z nejčastějších chyb. Tester testuje výhradně jako anonymní uživatel, zatímco nejzávažnější zranitelnosti leží v administrátorském panelu. Závěrečná zpráva nepokrývá oblasti, na kterých klientovi záleží nejvíce, a zakázka je považována za neúspěšnou. V rozhovorech s pentestery, kteří u nás nakupují vybavení, se tento scénář pravidelně opakuje - klient očekával test admin panelu, ale nikdo to nezapsal do scope.
Tip od profesionála: Zahrňte do scope všechny klíčové cesty autentizace a autorizace, včetně procesů resetování hesla, OAuth, SSO a API keys. Právě tyto cesty jsou nejčastěji přehlíženým vektorem útoku.
Více technických aspektů scopingu webových testů najdete v průvodci rozsahem pentestu webových aplikací a API.
Náklady a zdroje v závislosti na rozsahu pentestové zakázky
Na závěr se podívejme na pragmatické aspekty realizace testů. Rozsah se přímo promítá do rozpočtu a harmonogramu projektu a pochopení tohoto vztahu pomáhá vyhnout se nedorozuměním při tvorbě cenové nabídky.
Čím větší a složitější rozsah, tím vyšší náklady a delší doba realizace testu. To se zdá samozřejmé, ale detaily jsou méně intuitivní, než si myslíte.
| Typ zakázky | Typická doba realizace | Požadovaný počet testerů | Faktory ovlivňující náklady |
| Externí test (síť) | 3 až 7 dní | 1 až 2 | Počet IP rozsahů, složitost infrastruktury |
| Test webové aplikace | 5 až 10 dní | 1 až 2 | Počet endpointů, rolí a funkcionalit |
| Interní test (síť) | 5 až 14 dní | 2 až 3 | Segmentace sítě, počet hostů |
| Red team | 3 až 8 týdnů | 3 až 5 | Operační cíl, vektory útoku, integrace sociálního inženýrství |
| Plný pentest (web + síť + red team) | 4 až 12 týdnů | 4 až 6 | Vše výše uvedené kumulativně |
Několik faktorů, které méně zřejmě ovlivňují zdroje a náklady:
Vyloučení z rozsahu: paradoxně, mnoho vyloučení může test prodloužit, protože tester musí neustále ověřovat, které systémy může napadnout a které ne.
Dostupnost prostředí: testování na stagingu místo produkce vyžaduje další konfiguraci a často samostatná testovací data.
Reporting: podrobná zpráva s re-testy a debrief sezeními může přidat 20 až 30 procent k celkové době realizace zakázky.
Přístup ke specializovaným nástrojům: některé testovací vektory vyžadují dedikované vybavení, což ovlivňuje náklady na straně testovací firmy.
Více o plánování času a zdrojů pentestu najdete v našich materiálech pro specialisty.
Proč je přesné definování rozsahu největší výzvou a klíčem k úspěchu pentestu
Po probrání všech praktických aspektů je čas na expertní pohled. Rozsah zakázky je tématem, ve kterém trh dělá stejné chyby už roky a nikdo o tom veřejně nemluví.
Nejčastější příčinou nesouladu testu s očekáváním klienta je chybný scoping a špatně definovaný ROE. Ale problém obvykle nespočívá v technické nedbalosti - spočívá v komunikačním procesu.
Klienti popisují rozsah v byznysovém jazyce. Říkají "otestujte naše systémy" nebo "zkontrolujte, jestli jsme v bezpečí". Pentesteríi to musí přeložit do seznamu hostů, endpointů a povolených technik. Tento překlad je místem, kde se nejčastěji ztrácejí informace. V odvětví to pozorujeme už roky - pentesteríi objednávající u nás vybavení pro fyzické testy se často teprve po zahájení zakázky dozvědí, že klient nezahrnul do scope fyzický přístup do serverovny, přestože očekával "plný bezpečnostní test".
Druhým často opomíjeným tématem jsou podmínky zastavení testu (stop conditions). ROE by mělo specifikovat, co tester dělá, když objeví kritickou zranitelnost, např. vzdálenou exploitaci bez autentizace na produkčním systému. Pokračuje, nebo okamžitě informuje klienta a čeká na rozhodnutí? Absence těchto pravidel vede k situacím, kdy se tester buď zastaví příliš brzy, nebo exploituje zranitelnost způsobem, který klient považuje za překročení hranic.
Další chybou je absence byznysových stakeholderů v procesu definování rozsahu. Technici se obvykle zaměřují na infrastrukturu. Přitom je to manažer rizik nebo provozní ředitel, kdo ví, které byznysové procesy jsou kritické a vyžadují prioritizaci. Rozsah definovaný výhradně IT oddělením může opomenout aplikaci obsluhující 80 procent tržeb firmy, protože "je to starý systém a všichni ho znají".
Tip od profesionála: Zapojte byznysové stakeholdery do scoping setkání. Jedno setkání s osobou odpovědnou za byznysové procesy může odhalit aktiva, o kterých IT oddělení nezmínilo, protože je nepovažovalo za "IT".
Efektivní standardizace scope a ROE vyžaduje šablony, procesy a organizační disciplínu. Firmy, které zacházejí se scopingem jako s jednorázovým telefonátem, pravidelně dodávají testy, které klient hodnotí jako nepoužitelné.
Nástroje a vybavení pro pentestery podporující realizaci rozsahu zakázky
Se znalostí výzev a osvědčených postupů stojí za to poznat nástroje, které pentesterům pomáhají při realizaci přesného rozsahu zakázky. Správné vybavení umožňuje pracovat rychleji, přesněji a v plném souladu se stanoveným scope.
V nabídce Sapsan najdete vybavení dedikované konkrétním testovacím vektorům pokrytým rozsahem zakázky. Bash Bunny Hak5 je všestranné zařízení pro automatizaci HID útoků a síťových testů, zvláště užitečné při zakázkách zahrnujících fyzický přístup nebo koncové body. Packet Squirrel Mark II se osvědčuje při interním testování a pivotingu v síti klienta, kde rozsah zahrnuje LAN infrastrukturu. Pro zakázky zaměřené na webové aplikace a API jsou k dispozici nástroje pro pentest webových aplikací, které pokrývají plný rozsah testů v souladu s OWASP. Sapsan realizuje zásilky po celé EU a do USA a zajišťuje rychlý přístup k vybavení bez ohledu na lokaci projektu.
Nejčastější dotazy
Co je rozsah pentestové zakázky?
Rozsah zakázky je formální záznam hranic testu, povolených technik a doby realizace. Definuje, které systémy podléhají testování, jaké metody útoku jsou povoleny a v jakém časovém okně se mohou testy provádět.
Proč je přesné stanovení rozsahu tak důležité?
Nepřesný rozsah vede k nesouladu očekávání a právnímu riziku. Přesné určení hranic testu předchází právním incidentům a zaručuje, že závěrečná zpráva odpovídá skutečným potřebám klienta.
Jaké modely testování ovlivňují rozsah pentestu?
Modely black/grey/white box definují úroveň přístupu testera a ovlivňují rozsah testů. Black box simuluje útočníka bez znalosti infrastruktury, grey box předpokládá částečný přístup a white box poskytuje plný vhled do architektury a kódu.
Co by mělo obsahovat vymezení rozsahu testů webových aplikací?
Rozsah testu web/API se určuje na úrovni endpointů a přístupových rolí. Přesný scope zahrnuje konkrétní URL adresy, verze API, testovací prostředí a všechny uživatelské role od anonymního uživatele po administrátora.
Jak velikost rozsahu ovlivňuje náklady a čas penetračních testů?
Rozsah se přímo promítá do času a nákladů: externí testy obvykle trvají 3 až 7 dní, zatímco rozsáhlé red team zakázky mohou zabrat několik týdnů. Čím více systémů, rolí a technik scope pokrývá, tím větší je poptávka po zdrojích a rozpočtu.