Pentest czy skan podatności? Różnica, której nie widać w fakturze

“Zrobiliśmy pentest” to zdanie, które w 60% przypadków oznacza “uruchomiliśmy skaner i wysłaliśmy PDF”. To nie jest pentest.

Skan podatności

• Automatyczny, powtarzalny, tani.
• Znajduje znane CVE i błędy konfiguracji.
• Nie łączy luk w łańcuchy ataków.
• Nie rozumie logiki biznesowej.

Pentest

• Manualny, prowadzony przez człowieka.
• Łączy luki w realne ścieżki: od niezalogowanego użytkownika do danych.
• Testuje logikę biznesową: obejście autoryzacji, IDOR, race conditions.
• Daje dowód: screenshoty, kroki reprodukcji, wpływ biznesowy.

Kiedy potrzebujesz którego

Skan: miesięcznie, w ramach higieny. Pentest: przed produkcją, po większych zmianach, raz do roku dla systemów krytycznych, zawsze przed audytem NIS2 / DORA / ISO 27001.