Scanare de vulnerabilități sau pentest: ce îți trebuie de fapt și cât costă

Un cunoscut care conduce o firmă de distribuție mi-a trimis săptămâna trecută două oferte pe care nu reușea să le compare. Voia, pe scurt, „un test de securitate" la site și la aplicația prin care partenerii își văd comenzile. Prima ofertă: 350 de euro, raport în 24 de ore. A doua: peste 6.000 de euro, două săptămâni de lucru, retestare inclusă. Aceeași cerere, două prețuri care diferă de aproape douăzeci de ori. Întrebarea lui era firească: „care dintre ei mă fură?".

Niciunul, de fapt. Ofereau două lucruri complet diferite, doar că le numeau la fel. Prima era o scanare automată de vulnerabilități. A doua, un test de penetrare manual. Dacă înțelegi diferența dintre ele, oprești atât risipa de bani, cât și falsa liniște. Hai să o lămurim pe a ta.

Scanare automată vs test de penetrare: care e diferența reală

O scanare de vulnerabilități este un proces automat. Un program (gen Nessus, OpenVAS, Qualys sau echivalent) trece prin site, server și serviciile expuse și le compară cu o bază uriașă de vulnerabilități cunoscute: versiuni vechi de software, biblioteci cu probleme raportate public, configurări slabe, certificate expirate. Scoate o listă, fiecare problemă primește un scor de gravitate, gata. Durează de la câteva minute la câteva ore și o poți repeta oricât de des vrei, pentru că nu lucrează un om la ea, ci o mașină.

Un test de penetrare (pe scurt, pentest) este altceva. Aici lucrează o persoană, un specialist care se comportă ca un atacator real. Pornește adesea de la rezultatele unei scanări, dar merge mai departe: încearcă efectiv să exploateze problemele, înlănțuie două defecte mici într-unul mare, testează logica aplicației (poți vedea comanda altui client? poți schimba prețul în coș? poți urca un fișier periculos?), încearcă să escaladeze privilegiile. Un scanner îți spune „ușa asta pare descuiată". Un pentester intră pe ea și îți arată ce a luat din casă.

De aici vin și diferențele practice. Scanarea e ieftină, repetabilă și prinde cantitatea: tot ce e deja cunoscut și nepatchat. Dar dă și alarme false și nu înțelege contextul afacerii tale. Pentestul e scump, se face punctual (e o fotografie a securității tale la un moment dat) și prinde exact ce scapă unei mașini: erori de logică, abuzuri de acces, lanțuri de atac. Niciunul nu îl înlocuiește pe celălalt. Se completează.

De ce ai nevoie, în funcție de ce ai expus

Nu orice firmă are nevoie de același lucru. Pune-ți întrebarea simplă: ce ai expus în internet și cât de mult te-ar durea dacă cedează?

Dacă ai doar un site de prezentare pe WordPress, fără conturi de clienți și fără date sensibile, riscul tău principal sunt atacurile automate, aceleași care lovesc orice site la întâmplare. Aici o scanare regulată plus igiena de bază (actualizări, parole, un filtru în față) acoperă cea mai mare parte din expunere. Un pentest complet ar fi, sincer, supradimensionat. Despre de ce ești oricum o țintă, chiar mic fiind, am scris pe larg în articolul despre firma mică și atacurile automate.

Lucrurile se schimbă când ai un magazin online, conturi de utilizatori, un portal pentru parteneri sau ții date cu caracter personal. Aici intri în zona în care logica aplicației contează: un coș care poate fi manipulat, un cont prin care vezi datele altcuiva, un upload prost filtrat. Pe astea o scanare nu le vede. Ai nevoie și de o pereche de ochi umani, măcar o dată, pe componentele care gestionează bani și date.

Mai există un motiv care nu ține de tine, ci de cei din jur: cerințele. Tot mai mulți clienți mari, instituții publice și parteneri din lanțul de aprovizionare cer dovada unei testări de securitate înainte să semneze. Iar directiva NIS2, transpusă în România prin OUG 155/2024 și Legea 124/2025, le cere firmelor din domeniile vizate (și furnizorilor lor) să evalueze periodic eficacitatea măsurilor de securitate. NIS2 nu scrie negru pe alb cuvântul „pentest", dar testarea regulată și evaluarea riscurilor sunt obligatorii, iar un test de penetrare este modul cel mai clar de a demonstra că ai făcut-o. Dacă un partener îți cere „raportul de pentest", de aici vine cererea.

Ce livrabil trebuie să ceri

Aici se vede dacă ai plătit pentru valoare sau pentru un PDF. Un raport bun nu e o listă brută scuipată de un program. Înainte să semnezi, cere să vezi un exemplu de raport (anonimizat) și verifică dacă bifează lucrurile de mai jos.

Retestarea e punctul pe care multe firme îl ratează. Fără ea plătești ca să afli problemele, le rezolvi cum te pricepi și rămâi cu impresia că s-a rezolvat. De multe ori, nu s-a rezolvat. Insistă ca o rundă de retestare să fie inclusă în preț, nu vândută separat după ce ai uitat de subiect.

Cât durează și la ce interval de preț să te aștepți

Hai la bani, pentru că de aici a pornit totul. Câteva repere orientative pentru piața din România, în euro. Tratează-le ca ordin de mărime, nu ca tarif fix: prețul real depinde de scopul exact, de complexitate și de cine face treaba.

O scanare de vulnerabilități e cea mai accesibilă. Ca serviciu punctual, orientativ între aproximativ 200 și 800 de euro pentru o țintă, iar ca abonament cu scanări recurente intră des într-un pachet lunar de monitorizare. Durează ore, nu zile.

Un test de penetrare manual pe o aplicație web sau un magazin online de complexitate medie pornește, orientativ, de la 3.000 spre 8.000 de euro, cu o durată tipică de una până la două săptămâni de lucru efectiv. Pentru sisteme mai mari, cu mai multe aplicații, API-uri și infrastructură, orientativ urci spre 8.000 până la 20.000 de euro și mai mult. Un red team complet (simulare de atac pe termen lung, inclusiv social engineering) e un alt nivel de buget și de regulă nici nu îți trebuie ca firmă mică sau medie.

Ce împinge prețul în sus: numărul de aplicații și de roluri de utilizator, dacă testarea se face „pe nevăzute" sau cu acces și cod la dispoziție, adâncimea cerută, nevoia de raport pentru conformitate. Regula de bun-simț: dacă o ofertă de pentest e dramatic mai ieftină decât restul, aproape sigur e o scanare deghizată. Pentru o vedere de ansamblu asupra bugetelor de securitate, am detaliat costurile și în ghidul despre cât costă securitatea cibernetică pentru un site.

Cât de des: o dată, anual sau monitorizare continuă

Securitatea nu e o ștampilă pe care o iei o dată și gata. Codul se schimbă, apar vulnerabilități noi în lucrurile pe care le folosești deja, configurările se strică în timp. Un raport curat de azi nu spune nimic despre site-ul tău de peste șase luni.

Un ritm sănătos pentru o firmă mică sau medie arată cam așa: scanare automată des și ieftin (lunar sau măcar trimestrial, ideal continuu), plus un pentest manual o dată pe an și obligatoriu după orice schimbare majoră, cum ar fi lansarea unei funcții noi, o migrare sau un redesign al checkout-ului. Schimbările mari sunt exact momentul în care apar găuri noi, tocmai când toată lumea e ocupată să livreze.

Dacă ai resurse și o aplicație critică, varianta modernă e testarea continuă (PTaaS), un abonament în care testarea curge tot timpul, nu o dată pe an. Costă orientativ câteva sute până la câteva mii de euro pe lună, în funcție de câte active acoperi. Nu e pentru oricine, dar pentru un business care trăiește din aplicația lui poate avea sens.

Ce faci după raport: remedierea contează, nu raportul

Iată adevărul incomod pe care nu ți-l spune nimeni înainte să plătești: raportul nu te face cu nimic mai sigur. Un PDF cu 40 de vulnerabilități, pus într-un folder, lasă firma exact la fel de vulnerabilă ca înainte, doar că acum ai și hârtia care dovedește că știai. Valoarea e în ce repari, nu în ce afli.

De aceea, când planifici un test, planifică și timpul și bugetul pentru remediere. Ia problemele în ordinea gravității, rezolvă întâi ce e critic și mare, documentează ce ai făcut și abia apoi retestează. Dacă nu ai cine să le rezolve, întreabă din start cine se ocupă de remediere, pentru că o listă de probleme fără mâna care le repară e doar o sursă de stres. Un raport bun se închide când toate punctele critice sunt verificate ca rezolvate, nu când a fost livrat.

Cum reduci suprafața de atac între teste cu un WAF gestionat

Mai e o piesă pe care testele singure nu o acoperă. Între două teste trece timp, iar atacatorii nu așteaptă programarea ta. Apare azi o vulnerabilitate nouă într-un plugin pe care îl folosești și ai, în cel mai bun caz, un raport vechi de acum trei luni care nici nu o menționa.

Aici intervine un firewall pentru aplicații web (WAF) gestionat. El stă în fața site-ului și filtrează cererile malițioase înainte să ajungă la cod, oprind o bună parte din atacurile descrise în OWASP Top 10 chiar și atunci când aplicația are încă o problemă nereparată. Nu înlocuiește remedierea, dar îți cumpără timp și acoperă fereastra dintre teste, exact perioada în care ești cel mai expus.

Asta facem, de altfel, la UpTrust: scanare și audit ca să știi unde stai, plus reducere continuă a suprafeței de atac între teste, cu un WAF gestionat și monitorizare, ca să nu rămâi descoperit între două rapoarte. Dacă ai primit două oferte care diferă de zece ori și nu știi ce cumperi cu adevărat, scrie-ne. Îți spunem sincer ce îți trebuie și, mai ales, ce nu îți trebuie.