Ocena podatności

Vulnerability Assessment (zewnętrzna ocena podatności IT)

Także zwany: VA, vulnerability assessment, audyt podatności, skan podatności

Ocena podatności to systematyczne badanie powierzchni ataku organizacji - porty, usługi, certyfikaty, poczta, aplikacje webowe - identyfikujące znane słabości z priorytetami CVSS. W odróżnieniu od pentestu nie próbuje eksploatować podatności, tylko je mapuje. Punkt wyjścia dla MŚP przed pełnym testem penetracyjnym.

Ocena podatności łączy automatyczny skan (Nessus, Nmap, OpenVAS, Qualys) z ręczną weryfikacją priorytetowych ustaleń. CyberAudyt CyberCerber zawiera weryfikację ręczną zgodnie z OWASP Top 10 plus automatyczny skan z raportem po polsku.

Różnica od pentestu

Ocena podatności mapuje słabości (co podatne, jak naprawić). Pentest sprawdza eksploatację (czy słabość rzeczywiście da się wykorzystać). 80% MŚP zaczyna od VA, pentest dodaje po wdrożeniu poprawek lub gdy regulacja wymaga (NIS2 art. 21(2)(d), wymóg klienta korporacyjnego).