Įsilaužimų testavimas
Įsilaužimų testavimas (angl. penetration testing, dažnai vadinamas „pentest") padeda organizacijoms identifikuoti, įvertinti ir pašalinti saugumo spragas prieš tai, kai jomis pasinaudos piktavaliai. Tai dalis platesnės puolamojo saugumo (angl. offensive security) srities, kuri apima dvi viena kitą papildančias kryptis: pažeidžiamumų vertinimą (kokios spragos egzistuoja) ir įsibrovimo testavimą (ar tos spragos realiai išnaudojamos). Žemiau paaiškiname, kuo jos skiriasi ir kurią pasirinkti.
Kuo skiriasi pažeidžiamumų vertinimas ir įsilaužimų testavimas
Šie du terminai dažnai painiojami, nors duoda skirtingą rezultatą ir kainuoja skirtingai. Trumpai:
| Pažeidžiamumų vertinimas | Įsilaužimų testavimas | |
|---|---|---|
| Klausimas | Kokios spragos egzistuoja? | Ar spragos realiai išnaudojamos ir koks poveikis? |
| Metodas | Automatinis / pusiau automatinis skenavimas + eksperto peržiūra | Rankinis spragų išnaudojimas pagal OWASP WSTG, PTES, NIST SP 800-115 |
| Rezultatas | Prioritetizuotas potencialių spragų sąrašas | Patvirtintos atakos grandinės su PoC ir CVSS |
| Kam tinka | Greitam, ekonomiškam pirmajam saugumo žvilgsniui | Brandiems produktams ir atitikties reikalavimams |
Pažeidžiamumų įvertinimas (Vulnerability Assessment)
Pažeidžiamumų įvertinimas – tai procesas, skirtas IT infrastruktūros, tinklų, aplikacijų ir sistemų pažeidžiamumams aptikti ir įvertinti. Šis vertinimas atliekamas automatiniu arba pusiau automatiniu būdu, pasitelkiant specializuotus komercinius įrankius. Gauti rezultatai nėra tik programos sugeneruota ataskaita – juos rankiniu būdu peržiūri mūsų ekspertai, pašalindami klaidingus radinius (angl. false positives) ir sugrupuodami problemas pagal kritiškumą, kad žinotumėte, nuo ko pradėti tvarkytis.
Šis metodas leidžia greitai ir efektyviai nustatyti didelę dalį pažeidžiamumų santykinai mažomis sąnaudomis. Jis parodo, kokios spragos egzistuoja jūsų sistemose, ir leidžia užkirsti kelią potencialioms atakoms.
Mūsų atliekami pažeidžiamumų vertinimai apima:
- Interneto aplikacijų vertinimas (OWASP TOP 10, automatinis DAST): Dinaminis aplikacijų saugumo testavimas, naudojant automatinius komercinius DAST įrankius. Pagrindinis vertinimas atliekamas be išankstinių žinių apie išeities kodą, tačiau į skenavimą taip pat įeina patikrinimas su vieno autentifikuoto naudotojo paskyra. Tai leidžia nustatyti, kokie pažeidžiamumai yra pasiekiami prisijungusiems vartotojams. Toks nuskaitymas efektyviai identifikuoja žinomas programinės įrangos klaidas, nesaugias serverio konfigūracijas bei neatnaujintus komponentus.
- Infrastruktūros perimetro ir vidinio tinklo vertinimas: Išorinio tinklo, internete pasiekiamų bei viduje esančių įrenginių ir serverių saugumo analizė. Naudojant komercinį „Nessus“ pažeidžiamumų skenerį, tinkle ieškoma atvirų prievadų bei vertinamos veikiančios paslaugos. Pagal programinės įrangos versijas nustatoma, ar sistemos yra pažeidžiamos. Svarbu pabrėžti, kad šiame etape nebandoma išnaudoti spragų ar įsilaužti – visi rasti trūkumai tik detalizuojami ataskaitoje kaip potencialios grėsmės ir pažeidžiamumai.
Įsibrovimo testavimas (Penetration Testing)
Nors pažeidžiamumų vertinimas parodo galimas spragas, įsibrovimo testavimas atskleidžia, ar jos yra realiai išnaudojamos praktikoje ir kaip tokiu atveju suveikia jūsų esamos apsaugos priemonės.
Tai išsamus saugumo testavimo procesas, kurio metu mūsų kibernetinio saugumo specialistai (etiški įsilaužėliai) praktiškai bando išnaudoti pažeidžiamumus ir atakos vektorius. Šio proceso tikslas – įvertinti, kaip realūs grėsmių veikėjai galėtų pažeisti sistemos saugumą, gauti neteisėtą prieigą prie infrastruktūros ar nutekinti jautrią informaciją (klientų asmens duomenis, finansinius įrašus, intelektinę nuosavybę). Mes ne tik identifikuojame spragas, bet ir patvirtiname jų realų išnaudojamumą, įvertiname galimą finansinį ar reputacinį verslo poveikį bei pademonstruojame atakos grandines (angl. attack chains), kur kelios nedidelės spragos veda prie visiško sistemos kompromitavimo.
Testavimas atliekamas vadovaujantis pripažintomis tarptautinėmis metodikomis ir gerosiomis praktikomis (OWASP WSTG). Šį vertinimą rekomenduojama atlikti periodiškai (pvz., kartą per metus) arba po reikšmingų sistemų architektūros ar kodo pakeitimų.
Mūsų įsibrovimo testavimo paslaugos apima:
- Interneto aplikacijų įsibrovimo testavimas: Rankinis ir išsamus testavimas pagal OWASP WSTG (angl. Web Security Testing Guide) metodiką. Šis standartas apibrėžia gerokai platesnį ir detalesnį pažeidžiamumų sąrašą nei populiarusis „OWASP Top 10“. Skirtingai nei atliekant automatinį skenavimą, mūsų inžinieriai ieško specifiškų spragų, kurių skeneriai nemato: sudėtingų verslo logikos apėjimų, „lenktynių sąlygų“ (angl. race conditions), gilių autentifikacijos protokolo (pvz., OAuth 2.0, JWT, SAML) silpnybių bei teisių eskalavimo (kai paprastas vartotojas gauna administratoriaus teises arba prieigą prie kitų klientų duomenų).
- Patekimas į DMZ sistemas: Simuliuojamos atakos, orientuotos į viešai pasiekiamas aplikacijas. Išnaudodami jų pažeidžiamumus (pvz., RCE ar SQLi), siekiame gauti prieigą ne tik prie jautrios informacijos ar duomenų bazių, esančių tame pačiame serveryje. Pagrindinis šio testavimo tikslas – įrodyti, ar kompromituotą serverį galima panaudoti kaip atsparos tašką ir „peršokti“ (angl. pivot) į kitus serverius ar potinklius, esančius jūsų DMZ (demilitarizuotoje zonoje).
- Patekimas į vidinį tinklą: Šis testavimas apima visus prieš tai minėto DMZ scenarijaus elementus, bet prisideda papildomi tikslai. Pirmiausia bandoma iš kompromituotos DMZ zonos „peršokti“ tiesiai į vidinį organizacijos tinklą. Jeigu tai nepavyksta arba aplikacijos talpinamos už įmonės perimetro ribų, simuliuojamas patekimas į vidinį tinklą naudojant kitus atakos vektorius: tikslines el. pašto atakas (angl. phishing), belaidžių (Wi-Fi) tinklų nulaužimą ar fizinį saugumą. Galutinis tikslas – pademonstruoti, ar įmanoma kompromituoti pačius svarbiausius verslo duomenis ir įmonės vartotojų valdymo centrą (angl. Active Directory). Šis išsamus scenarijus skirtas organizacijoms, kurios nori iki galo įsitikinti, kurios jų apsaugos vietos yra silpniausios. Svarbu pabrėžti, kad nors tai yra giliausias mūsų siūlomas testavimas, jis atliekamas visiškai saugiai: vykdomos tik tokios komandos, kurios akivaizdžiai įrodo spragos egzistavimą, tačiau nepadaro jokios žalos infrastruktūrai, duomenims ir nesutrikdo sistemų veiklos.
Paslaugų kainos
„Atakos vektoriaus" 2026 m. (be PVM):
Paslaugos laikas skaičuojamas nuo to laiko kai gaunami leidimai testuoti ir reikalingi prisijungtimai ar VPN prieiga.
Kaip mūsų kainos atrodo platesnės rinkos kontekste — viešojo sektoriaus pirkimai, privati rinka ir palyginimas su Vokietija, Lenkija bei JAV — skaitykite tyrime „Kiek kainuoja pentest Lietuvoje 2026".
Pažeidžiamumų vertinimas
| Paslaugos aprašymas | Kaina | Kita |
|---|---|---|
| Interneto aplikacija — pagal OWASP Top 10 metodologija. | 2000 | Trukmė: 4 dienos. Automatinis DAST su keliomis rolėmis; specialisto vertinimas, ataskaita lietuvių k. su radiniais ir rekomendacijomis. |
| Infrastruktūros perimetras: iki 60 tinkle esančių įrenginių ir serverių | 2500 | Trukmė: 1 savaitė. Komercinis pažeidžiamumų skeneris; specialisto įvertinimo ataskaita lietuvių k. su radiniais ir rekomendacijomis. |
Įsibrovimo testavimas
| Paslaugos aprašymas | Kaina | Kita |
|---|---|---|
| Viena interneto aplikacija pagal OWASP WSTG | 3000 | Trukmė: 2 savaitės. Mišrus DAST; Sertifikuotas specialistas; komerciniai įrankiai, Iki tryjų naudotojų rolių testavimas; lietuvių k. ataskaita su PoC, CVSS; retest per 2 savaites; NDA. |
| Patekimas į DMZ esančias sistemas per interneto aplikacijų pažeidžiamumus, ir gilesnis sverbimasis per sistemų, paslaugų konfigūracijos, prieigos kontrolės, tinklo lygmens silpnybes | 7500 | Trukmė: 1 mėnuo. Aukštos kvalifikacijos sertifikuotas specialistas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA. |
| Patekimas į vidinį tinklą — platesnis atakos vektorių spektras ne tik interneto aplikaciją iš DMZ, bet ir per soc. inžineriją, Wi-Fi, ar trečiųjų šalių sistemas (iki 60 įrenginių) | 15000 | Trukmė: iki 2 mėnesių. Aukštos kvalifikacijos sertifikuotas specialistas ir testuotojas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA. |
| Patekimas į vidinį tinklą per interneto aplikaciją, soc. inžineriją, Wi-Fi, DMZ ar trečiųjų šalių sistemas (iki 250 įrenginių) | 20000 | Trukmė: iki 4 mėnesių. Aukštos kvalifikacijos sertifikuotas specialistas, projektų vadovas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA. |
Dažniausiai užduodami klausimai
Kuo skiriasi įsilaužimų testavimas ir pažeidžiamumų vertinimas?
Pažeidžiamumų vertinimas automatiniais įrankiais nustato, kokios spragos egzistuoja, ir jas prioritetizuoja. Įsilaužimų testavimas (pentest) rankiniu būdu bando tas spragas išnaudoti ir patvirtina jų realų poveikį — parodo atakos grandines su įrodymais (PoC) ir CVSS įvertinimu.
Kiek trunka įsilaužimų testavimas?
Priklauso nuo apimties: vienos interneto aplikacijos pentest — apie 2 savaites, infrastruktūros ar vidinio tinklo scenarijai — nuo 1 mėnesio iki kelių mėnesių. Laikas skaičiuojamas nuo to, kai gauname leidimus testuoti ir reikalingas prieigas.
Ar gausiu pakartotinį patikrinimą (retest)?
Taip. Į įsibrovimo testavimo paslaugas įtraukiamas retest, kurio metu patikriname, ar rastos spragos buvo tinkamai ištaisytos. Retest įtraukimas nurodytas kainų lentelėje prie kiekvienos paslaugos.
Pagal kokią metodiką atliekate testavimą?
Vadovaujamės pripažintomis tarptautinėmis metodikomis: interneto aplikacijos testuojamos pagal OWASP WSTG (Web Security Testing Guide), naudojamos PTES ir NIST SP 800-115 gerosios praktikos. Ataskaita pateikiama lietuvių kalba su radiniais, PoC, CVSS įvertinimu ir konkrečiomis rekomendacijomis.
Ar testavimas saugus mano sistemoms?
Taip. Net giliausiuose scenarijuose vykdomos tik tokios komandos, kurios įrodo spragos egzistavimą, bet nepadaro žalos infrastruktūrai ar duomenims ir nesutrikdo sistemų veiklos. Prieš darbus pasirašome NDA.
Kaip užsisakyti
Jei svarstote apie įsilaužimų testavimą ar pažeidžiamumų vertinimą, kurie padėtų atpažinti ir įvertinti jūsų organizacijos spragas ir norite padidinti savo sistemų atsparumą prieš realias grėsmes, susisiekite su mumis, ir aptarsime geriausią testavimo strategiją pagal jūsų poreikius.