Przejdź do treści
Breachroad
Wróć do bloga
Pentest

Test penetracyjny, audyt bezpieczeństwa czy skan podatności — co wybrać?

Pentest, audyt i skan podatności to trzy różne rzeczy, często mylone. Wyjaśniamy, czym się różnią, ile kosztują i którą usługę wybrać do swojej sytuacji.

KR
Karol Rapacz
4 lipca 2026 · 11 min czytania
Test penetracyjny, audyt bezpieczeństwa czy skan podatności — co wybrać?

„Potrzebujemy pentestu” — to zdanie słyszymy najczęściej, a w połowie przypadków klient tak naprawdę potrzebuje czegoś innego: audytu, skanu albo jednego i drugiego w określonej kolejności. Trzy pojęcia — skan podatności, audyt bezpieczeństwa i test penetracyjny — bywają używane zamiennie, choć różnią się głębokością, celem, ceną i tym, na jakie pytanie odpowiadają. Ten artykuł pomoże dobrać właściwe narzędzie do sytuacji.

Trzy różne pytania

Najprościej odróżnić te usługi po pytaniu, na które odpowiadają:

  • Skan podatności — „Czy widać znane, oczywiste luki?”
  • Audyt bezpieczeństwa — „Czy nasze zabezpieczenia, konfiguracje i procesy są zgodne z dobrymi praktykami i wymogami?”
  • Test penetracyjny — „Jak daleko zajdzie realny napastnik i którą ścieżkę zamknąć w pierwszej kolejności?”

To nie są konkurencyjne usługi, lecz różne poziomy przyjrzenia się bezpieczeństwu. Zobaczmy każdą z osobna.

Skan podatności: szybki, automatyczny, powierzchowny

Skan to zautomatyzowane sprawdzenie systemu pod kątem znanych podatności i błędów konfiguracji. Narzędzie porównuje wykryte wersje oprogramowania i ustawienia z bazą sygnatur i zwraca listę potencjalnych problemów.

Zalety: szybki (minuty do godzin), tani lub darmowy, można powtarzać często — idealny do ciągłego monitorowania higieny.

Ograniczenia: skaner widzi tylko to, co ma w bazie. Nie zrozumie logiki biznesowej Twojej aplikacji, nie połączy dwóch drobnych błędów w jeden groźny łańcuch i generuje fałszywe alarmy, które ktoś musi ręcznie zweryfikować. Skan odpowiada na pytanie „czy jest znana dziura”, a nie „czy da się nas włamać”.

Darmowym przykładem pasywnego skanu jest nasz skaner bezpieczeństwa strony: w kilka sekund sprawdza HTTPS, nagłówki bezpieczeństwa, konfigurację poczty (SPF/DMARC/DKIM), certyfikat i ekspozycję plików. To świetny pierwszy krok i element rutynowej kontroli — ale, co sami podkreślamy w wynikach, nie zastępuje głębszej analizy.

Audyt bezpieczeństwa: przegląd zgodności i konfiguracji

Audyt to systematyczny, w dużej mierze ręczny przegląd zabezpieczeń organizacji względem przyjętego punktu odniesienia — może nim być norma (ISO 27001), regulacja (NIS2, DORA, RODO) albo zestaw dobrych praktyk (CIS Benchmarks).

Audyt patrzy szerzej niż na jeden system: obejmuje architekturę, konfiguracje, zarządzanie dostępem, procesy (kopie zapasowe, reagowanie na incydenty, zarządzanie podatnościami) i dokumentację. Odpowiada na pytanie, czy organizacja robi właściwe rzeczy we właściwy sposób — niekoniecznie przez próbę włamania, lecz przez weryfikację, że mechanizmy są na miejscu i działają.

Audyt jest niezastąpiony, gdy celem jest certyfikacja, spełnienie wymogu regulacyjnego albo uporządkowanie bezpieczeństwa całej organizacji. Nie da jednak odpowiedzi, czy konkretną aplikację da się faktycznie skompromitować — do tego potrzebny jest test.

Test penetracyjny: kontrolowany atak

Pentest to symulacja realnego ataku prowadzona przez człowieka. Tester, w uzgodnionym zakresie i na podstawie umowy, aktywnie próbuje przełamać zabezpieczenia: obejść autoryzację, wykorzystać podatność, połączyć kilka drobnych błędów w scenariusz prowadzący do przejęcia danych lub systemu.

To, czego nie zrobi skaner, jest istotą pentestu:

  • Logika biznesowa — czy da się kupić produkt za złotówkę, podejrzeć cudze zamówienie, ominąć limit transakcji.
  • Łańcuchy podatności — pojedynczy błąd bywa nieszkodliwy; trzy połączone dają przejęcie konta administratora.
  • Kontrola dostępu — czy zwykły użytkownik dosięgnie funkcji lub danych zarezerwowanych dla innych ról.
  • Potwierdzenie realnego wpływu — zamiast „potencjalnej podatności” dostajesz dowód (PoC), że atak działa.

Efektem jest raport z oceną ryzyka, dowodami i konkretnymi krokami naprawczymi — a u nas także retest w cenie, czyli sprawdzenie, że poprawki faktycznie zamknęły luki. Jak przygotować firmę do takiego testu, opisujemy w osobnym poradniku: Jak przygotować się do testu penetracyjnego.

Black-box, grey-box, white-box

Przy pentestach spotkasz jeszcze podział według wiedzy testera o celu:

  • Black-box — tester nie wie o systemie nic ponad to, co wie napastnik z zewnątrz. Realistyczne, ale czasochłonne i część obszarów może pozostać niesprawdzona.
  • Grey-box — tester dostaje ograniczone informacje i konta użytkowników. Najczęściej wybierany kompromis: dobrze pokrywa aplikację przy rozsądnym czasie.
  • White-box — pełen dostęp do dokumentacji i kodu. Najgłębsze pokrycie, najlepsze do krytycznych systemów.

Dla większości aplikacji webowych rekomendujemy grey-box — daje najlepszy stosunek pokrycia do kosztu.

Którą usługę wybrać?

Kilka typowych sytuacji:

  • „Chcemy szybko sprawdzić podstawową higienę strony.” Zacznij od skanu. Jeśli wypadnie słabo, masz od razu listę tanich poprawek.
  • „Wdrażamy nową aplikację / funkcję płatności / logowanie.” Test penetracyjny przed startem produkcyjnym. Skaner nie sprawdzi logiki biznesowej.
  • „Musimy spełnić wymóg regulacyjny lub przygotować się do ISO 27001.” Audyt bezpieczeństwa; często regulacje (np. DORA) wymagają też testów, więc jedno i drugie.
  • „Był u nas incydent / podejrzewamy włamanie.” To nie jest zadanie dla skanu — potrzebne jest reagowanie na incydent i analiza powłamaniowa.
  • „Chcemy dojrzale zarządzać bezpieczeństwem na stałe.” Połączenie: cykliczny skan i zarządzanie podatnościami na co dzień, audyt raz na jakiś czas, pentest przy istotnych zmianach.

Częsty błąd: skan „przebrany” za pentest

Uważaj na oferty „testu penetracyjnego”, które w rzeczywistości są wyeksportowanym raportem ze skanera z doklejonym logo. Poznasz je po tym, że raport to długa lista automatycznych znalezisk bez potwierdzenia wpływu, bez oceny logiki biznesowej i bez łańcuchów ataków. Prawdziwy pentest zawiera dowody, ręczną weryfikację i wnioski, których żadne narzędzie samo nie wyciągnie. Różnicę widać też po tym, że raport rozdziela warstwę dla zarządu od szczegółów technicznych dla zespołu.

Podsumowanie

Skan, audyt i pentest to trzy różne poziomy tego samego celu — zrozumienia i redukcji ryzyka. Skan mówi, czy widać oczywiste luki; audyt — czy robisz właściwe rzeczy; pentest — czy da się Cię włamać i którędy. Najdojrzalsze organizacje używają wszystkich trzech w odpowiednich momentach, nie zamiast siebie.

Jeśli nie masz pewności, co jest właściwym pierwszym krokiem w Twojej sytuacji, napisz do nas — pomożemy dobrać zakres do realnego ryzyka, a nie do modnego hasła. Pełną ofertę znajdziesz na stronie usług.

Najczęstsze pytania (FAQ)

Jak często robić test penetracyjny? Standard to raz w roku oraz po każdej istotnej zmianie: nowej aplikacji, dużej funkcji, migracji infrastruktury czy zmianie architektury. Regulacje w niektórych sektorach (finanse, infrastruktura krytyczna) narzucają własną częstotliwość. Między testami warto prowadzić cykliczne skany i zarządzanie podatnościami.

Czy pentest może uszkodzić naszą produkcję? Ryzyko istnieje, dlatego zakres, okno czasowe i zasady (np. wyłączenie testów DoS) ustala się przed startem, a testy na wrażliwych systemach często prowadzi się na środowisku zbliżonym do produkcyjnego. Profesjonalny tester pracuje ostrożnie i uzgadnia z Tobą granice — to element umowy, nie improwizacja.

Ile trwa i ile kosztuje test penetracyjny? To zależy od zakresu — liczby aplikacji, ról, integracji i wybranego wariantu (black/grey/white-box). Prosty test aplikacji to kilka dni pracy, złożone środowisko — kilka tygodni. Dlatego wycena zawsze poprzedza pracę i wynika z ustalonego zakresu, bez ukrytych kosztów.

Czy darmowy skaner online wystarczy małej firmie? Jako jedyne zabezpieczenie — nie, ale jako regularny element higieny — jak najbardziej. Skaner wychwyci brakujące nagłówki, słaby HTTPS czy błędy konfiguracji poczty, które odpowiadają za dużą część realnych incydentów. Przy aplikacji przetwarzającej dane klientów lub płatności warto jednak zaplanować przynajmniej jednorazowy pentest.

Udostępnij artykuł

Usługi Umów konsultację