Penetračné testovanie. Od atraktívnej zábavky k zákonnej povinnosti
Ofenzívna bezpečnosť zažíva globálne prudký rast.
Zodpovedné sektory
Na Slovensku a v európskom priestore majú o penetračné testovanie a bezpečnostné audity podľa našich skúsenosti najvyšší záujem subjekty z finančného sektora. Vidíme však mierne posuny v záujme o bezpečnostné testy.
V minulom roku nám takmer desať percent testovaných projektov zadali systémoví integrátori. Nasledovali softvéroví vývojári, telekomunikácie, priemysel a energetika, podnikanie s kryptomenou, online hry, elektronický obchod, zdravotníctvo a ďalšie. Tento záber logicky reflektuje strategické pozície sektorov a ochranu citlivých údajov.
V porovnaní so svetom však zaostávame vo využívaní praktík ofenzívnej bezpečnosti v zdravotníctve a verejnom sektore. A iba minoritne evidujeme ďalší globálny trend – záujem o pentesty v stredných a malých firmách.
Nové hrozby, nové testy
V medziročnom porovnaní testujeme stále viac projektov, pričom komplexnosť testovania zostáva zachovaná. Zaznamenávame aj rastúci dopyt po rozšírení kategórií testovania.
Viac ako polovicu bezpečnostných testov u nás v minulom roku podstúpili webové projekty. A v porovnaní s inými projektami ukázali webové aplikácie aj najvyšší počet zraniteľností.
Okrem testov API rozhrania, infraštruktúry, mobilných aplikácií a cloudu sme z hľadiska bezpečnosti hodnotili aj systémy postavené na veľkých jazykových modeloch. Najčastejšia implementácia, ktorú sme minulý rok testovali, boli chatboty. Často poznajú dáta spoločnosti, prípadne majú prístup do interných systémov a tým vytvárajú priestor pre nové vektory útoku.
Kontrolka bliká
Evidujeme mierny pokles záujmu o testy sociálneho inžinierstva, najmä phishingu, OSINT a Red Teaming. Pritom sociálne inžinierstvo stále zostáva najčastejšou vstupnou bránou, cez ktorú hackeri vstúpia do vašej firmy. Zanedbanie tohto aspektu testovania považujeme za kardinálnu chybu.
Naše interné štatistiky naznačujú, že v organizáciách, kde sa robia testy prvýkrát, to má katastrofický výsledok. K narušeniu bezpečnosti v dôsledku sociálneho inžinierstva dochádza až v 40 percentách prípadov.
Sme zraniteľní
Zneužívanie ukradnutých prístupových údajov totiž stále zostáva preferovaným vstupným bodom pre útočníkov. Podľa správy IBM X‑Force Threat Intelligence Index 2025 predstavovalo tretinu všetkých incidentov. Tento trend potvrdzuje aj správa Mandiant, podľa ktorej boli ukradnuté prihlasovacie údaje druhou najčastejšou príčinou prienikov.
Útočníci získavajú platné prihlasovacie údaje cez phishing, infostealer a nákup už uniknutých údajov a prihlásia sa cez oficiálnu webovú aplikáciu ako bežný používateľ.
Takže ak chránite vaše servery tam vzadu v serverovni, je to hodné pochvaly, ale žiaľ nestačí to. Vaša slabá stránka sú aj vaši ľudia.
Silný regulačný rámec
Nové regulácie vrátane NIS2 reflektujú pravidelné penetračné testy, čo vedie k prudkému rastu dopytu. Aj návrh vykonávacej vyhlášky ku kyberzákonu už priamo pracuje s pojmom testovanie bezpečnosti informačných systémov a operačných technológií ako povinným bezpečnostným opatrením.
Testovanie kybernetickej bezpečnosti má byť začlenené do životného cyklu vývoja a údržby sietí, informačných systémov a operačných technológií, čo ukazuje akceptáciu nevyhnutného trendu kontinuálneho testovania.
Potrebujeme inšpiráciu
Príkladom v budovaní odolnosti ide aj na Slovensku finančný sektor. Bezpečnostný štandard PCI DSS 4.0, ktorý upravuje ochranu údajov platobných kariet, je nádherným príkladom toho, ako sa to dá robiť dobre. Držím palce organizáciám v iných segmentoch, aby sa ním inšpirovali a vyťažili z neho čo najviac.
Svet sa mení
Naše rozmýšľanie o bezpečnosti sa musí vyvíjať spolu s tým, ako sa vyvíja svet. Umelá inteligencia celý proces nielen zrýchľuje, ale zásadne mení aj každodennú prax – automatizované testy, skripty, hodnotenia a analýzy sa dajú spustiť v reálnom čase, priamo v prostredí vývoja. Útočníci to taktiež veľmi dobre vedia.
Penetračné testovanie už nie je výsadou korporácií. Je strategickým nástrojom, ktorý organizáciám pomáha odhaliť ich slabiny skôr, než to urobí útočník.