OWASPSigurnostPentestEtičko HakovanjeCybersecurity
Penetraciono Testiranje i Etičko Hakovanje — Kompletni Vodič 2026
ProCode28. april 2026.
Cybersecurity 2026
Penetraciono Testiranje i Etičko Hakovanje
Globalno tržište pentestinga vrijedi 2,74 mlrd USD u 2025. i raste 11–15% godišnje — jer napadači ne čekaju na dozvolu.
Zamislite da neko pokušava provaliti u vaš sistem — ali s vašim odobrenjem i isključivo da bi vam pomogao. To je, u suštini, penetraciono testiranje (pentest): kontrolisana simulacija kibernetičkog napada koju provodi certificirani etički haker s ciljem da pronađe ranjivosti prije nego što to učini pravi napadač. Prema IBM-ovom izvještaju o troškovima proboja podataka za 2025. godinu, prosječni globalni trošak jednog proboja iznosi 4,44 miliona USD — a u SAD-u taj iznos dostiže rekordnih 10,22 miliona USD. Redovne sigurnosne provjere i penetraciono testiranje danas nisu luksuz, nego nužnost.
Šta Je Penetraciono Testiranje i Zašto Je Važno?
Penetraciono testiranje je strukturisana metodologija u kojoj etički hakeri simuliraju stvarne napade na vaše sisteme, mreže ili web aplikacije kako bi identificirali sigurnosne slabosti. Za razliku od automatizovanih skenera ranjivosti, pentest kombinuje napredne alate s ljudskom ekspertizom, otkrivajući složene sigurnosne propuste koji bi inače ostali neprimijećeni.
$2,74B
globalno tržište (2025)
Tržišni Rast
Prema Fortune Business Insights, tržište raste s 3,09 mlrd USD (2026) na 7,41 mlrd USD do 2034. godišnjim rastom od 11,6% CAGR.
85%
kompanija povećalo budžet
Investicije Rastu
Prema Pentera izvještaju, 85% organizacija povećalo je budžet za penetraciono testiranje, a više od 50% CISOs planira daljnje povećanje.
70%+
organizacija koristi PTaaS
Novi Modeli
Više od 70% organizacija prešlo je na Penetration Testing as a Service (PTaaS) model, a dodatnih 14% planira prijelaz.
Vrste Penetracionog Testiranja
Svaka organizacija ima različite potrebe, pa postoji nekoliko pristupa pentestingu koji se razlikuju po opsegu znanja koje tester ima o ciljanom sistemu:
| Vrsta Testa | Pristup | Prednosti | Primjena |
|---|---|---|---|
| Black Box | Bez prethodnog znanja o sistemu | Realna simulacija vanjskog napadača | Vanjski perimetar, web aplikacije |
| White Box | Potpuni pristup izvornom kodu i arhitekturi | Najdetaljnija analiza, visok ROI | Interni auditi, DevSecOps |
| Gray Box | Djelimično znanje (poput insajdera) | Balans između realizma i dubine | Najčešće korišten u praksi |
| Mrežni Pentest | Testiranje mreže i infrastrukture | 38,23% tržišnog udjela (2025) | Firewall, VPN, interni sistemi |
| Cloud Pentest | AWS, Azure, GCP okruženja | ↑ Najbrži rast: 16,63% CAGR | Multi-cloud, serverless, API |
| Social Engineering | Phishing, deepfake simulacije | Testira ljudski faktor | Obuka zaposlenih, email sigurnost |
Pet Faza Penetracionog Testiranja
Svaki profesionalni pentest prati standardizovanu metodologiju. Industrijski standardi poput PTES (Penetration Testing Execution Standard) i NIST SP 800-115 definišu strukturirani, ponovljivi i dokumentovani proces koji osigurava da je testiranje temeljito, kontrolisano i u skladu s propisima.
1
Planiranje i Scoping (2–3 dana)
Definisanje opsega, ciljeva i pravila angažmana. Identifikuju se in-scope sistemi: web aplikacije, cloud okruženja, mobilne aplikacije, mreže. Utvrđuju se compliance granice i potpisuje ugovor o ovlaštenom testiranju.
2
Izviđanje (Reconnaissance) (2–4 dana)
Faza prikupljanja informacija o ciljanom sistemu. Pasivno izviđanje koristi javne izvore — OSINT alate, WHOIS, Shodan, Censys i društvene mreže — bez direktnog kontakta s ciljem. Aktivno izviđanje uključuje direktno skeniranje portova alatima poput Nmap, Netcat i Masscan.
3
Skeniranje i Procjena Ranjivosti (2–3 dana)
Automatizovani skeneri poput Nessus i OpenVAS skeniraju mrežu i aplikacije u potrazi za poznatim ranjivostima i pogrešnim konfiguracijama. Tester ručno verifikuje rezultate kako bi isključio lažno pozitivne nalaze i identificirao ranjivosti za eksploataciju.
4
Eksploatacija (1–3 dana)
Tim pokušava iskoristiti identifikovane ranjivosti kako bi simulirao stvarni kibernetički napad. Koriste se exploitation frameworkovi poput Metasploit i Burp Suite. Cilj je demonstrirati stvarni rizik — ne samo potvrditi postojanje ranjivosti, već pokazati koliko daleko napadač može prodrijeti u sistem.
5
Čišćenje i Izvještavanje (2–4 dana)
Tim uklanja sve tragove simuliranog napada, a zatim priprema detaljan izvještaj s opisom svih ranjivosti, načinom eksploatacije, CVSS ocjenama ozbiljnosti i konkretnim preporukama za sanaciju. Cijeli pentest traje tipično od dva do tri tjedna, ovisno o opsegu.
Ključni Alati Etičkih Hakera u 2026.
Prema CoreSecurity istraživanju, 72% kompanija oslanja se na open-source alate za penetraciono testiranje, dok 50% koristi komercijalne alternative. Evo najvažnijih alata koje profesionalni pentest timovi koriste svakodnevno:
▸ Kali Linux 2026.1
Debian-bazirana distribucija specijalizovana za penetraciono testiranje, s predinstaliranim stotinama sigurnosnih alata. Najnovija verzija (2026.1) donosi godišnji refresh teme i 8 novih alata, uključujući LLM-driven komandni interfejs koji zamjenjuje ručni unos.
Open Source • Besplatan▸ Metasploit Framework
Najšire korišćena platforma za exploit razvoj i penetraciono testiranje. Sadrži hiljade exploit modula koji ciljaju različite operativne sisteme, aplikacije i mrežne uređaje. Rapid7, koji razvija Metasploit, direktno doprinosi projektu kroz svoja istraživanja.
Open Source + Pro verzija▸ Burp Suite
Standardni alat za testiranje sigurnosti web aplikacija. Omogućava presretanje i modifikaciju web prometa, automatizovano skeniranje ranjivosti, fuzzing i testiranje SQL injection, XSS i CSRF napada. Većina ranjivosti prijavljenih na HackerOne i Bugcrowd platformama otkrivena je upravo Burp Suiteom.
Community (besplatno) + Pro▸ Nmap (Network Mapper)
Najvjerodostojniji alat za mrežno skeniranje među etičkim hakerima. Nmap otkriva uređaje, otvorene portove i aktivne servise na mreži. U 2026. NSE biblioteka proširena je cloud-fokusiranim skriptama za Kubernetes discovery i container-escape indikatore.
Open Source • Besplatan▸ Nessus / OpenVAS
Automatizovani skeneri ranjivosti koji identifikuju poznate slabosti, pogrešne konfiguracije i sigurnosne propuste u mrežama i aplikacijama. Nessus je vodeće komercijalno rješenje, dok je OpenVAS besplatna open-source alternativa.
Komercijalni + Open Source▸ SQLmap / Wireshark
SQLmap automatizuje detekciju i eksploataciju SQL injection ranjivosti u web aplikacijama, podržavajući MySQL, PostgreSQL, Oracle i druge baze. Wireshark je mrežni analizator protokola koji hvata i analizira mrežni promet na razini paketa.
Open Source • BesplatniOWASP Top 10 2025 — Najčešće Ranjivosti Web Aplikacija
OWASP (Open Web Application Security Project) objavio je novu listu Top 10 za 2025. godinu, baziranu na analizi više od 175.000 CVE zapisa i povratnim informacijama sigurnosnih stručnjaka širom svijeta. Ovo je de facto standard za svaki profesionalni web pentest:
OWASP Top 10:2025 — Kritične Ranjivosti
- A01Broken Access Control — Ostaje na #1 poziciji; 3,73% testiranih aplikacija ima ovu ranjivost. Neovlašteni pristup podacima i eskalacija privilegija.
- A02Security Misconfiguration — Skočila s #5 (2021) na #2 (2025); pogađa 3% testiranih aplikacija. Cloud pogrešne konfiguracije i slabi defaultni parametri.
- A03Software Supply Chain Failures — Nova kategorija koja obuhvata cijeli softverski ekosistem: zavisnosti, build sisteme i CI/CD pipeline. Najviši prosječni exploit score.
- A04Cryptographic Failures — Pala s #2 na #4. Slaba enkripcija, MD5/SHA1 hash funkcije, neadekvatno upravljanje ključevima.
- A05Injection — Pala s #3 na #5. Uključuje SQL Injection (nizak učestalost/visoki uticaj) i XSS (visoka učestalost/nizak uticaj).
- A07Authentication Failures — Ostaje na #7. Slabe lozinke, nedostatak MFA, neispravno upravljanje sesijama.
- A10Mishandling of Exceptional Conditions — Nova kategorija za 2025. Fokus na neispravno rukovanje greškama, logičke propuste i nesigurna stanja pri kvarovima.
Šta Sadrži Profesionalni Pentest Izvještaj?
Izvještaj je najvažniji proizvod svakog penetracionog testa — bez jasnog, akcijabilnog dokumenta, cijeli angažman gubi vrijednost. Profesionalni pentest izvještaj mora biti razumljiv i rukovodstvu i tehničkom timu, jer svaka skupina koristi nalaze na drugačiji način.
▸ Izvršni Sažetak (Executive Summary)
Jednaka do dvije stranice namijenjene rukovodstvu. Opisuje ciljeve testa, ukupni sigurnosni rizik i poslovni uticaj pronađenih ranjivosti — bez tehničkog žargona. Rukovodioci na osnovu ovog dijela donose odluke o budžetu i prioritetima sanacije.
▸ Tehnički Nalazi
Detaljan opis svake ranjivosti: opis problema, CVSS ocjena ozbiljnosti, dokazi eksploatacije (screenshot, log, video PoC), koraci za reprodukciju i procjena poslovnog uticaja. Svrstano po kritičnosti — Critical, High, Medium, Low.
▸ Preporuke za Sanaciju
Najvažniji dio izvještaja — konkretne, prioritizovane upute za otklanjanje svake ranjivosti. Uključuje kratkoročne hitne popravke i dugoročne strateške preporuke za unapređenje sigurnosnog programa organizacije.
▸ Metodologija i Dodaci
Opseg testa, korišćeni alati i frameworkovi (PTES, NIST SP 800-115, OWASP WSTG), vremenski okvir angažmana, lista testiranih sistema i mapa napada. Compliance reference za PCI DSS, ISO 27001, HIPAA ili GDPR.
Ključne Prednosti Redovnog Pentestiranja
- ✓ Proaktivna identifikacija rizika — Otkrivanje ranjivosti prije nego ih napadači iskoriste
- ✓ Regulatorna usklađenost — PCI DSS 4.0, GDPR, DORA, ISO 27001, HIPAA zahtijevaju redovne provjere
- ✓ Poboljšana sigurnosna pozicija — Otkrivanje slijepih tačaka u strategiji odbrane
- ✓ Poslovni kontinuitet — Smanjenje rizika od zastoja i gubitka podataka
- ✓ Povjerenje klijenata — Demonstracija vidljive posvećenosti zaštiti podataka
- ✓ Optimizacija budžeta — Usmjeravanje sigurnosnih investicija tamo gdje su najpotrebnije
Koliko Često Treba Provoditi Pentest?
Prema industrijskim standardima, organizacije bi trebale provoditi penetraciono testiranje najmanje jednom godišnje — a za sisteme koji obrađuju osjetljive podatke ili su izloženi internetu, preporučuje se i češće. PCI DSS standard eksplicitno zahtijeva pentest najmanje jednom godišnje i nakon svake značajne promjene sistema.
Međutim, realna situacija nije idealna: prema istraživanju, 32% kompanija provodi penteste samo jednom ili dva puta godišnje, ostavljajući duge sigurnosne praznine. Još alarmantnije, 48% ranjivosti pronađenih pentestom nikada se ne sanira — a 60% proboja podataka potiče upravo od poznatih, nezakrpljenih ranjivosti.
| Industrija / Sektor | Preporučena Frekvencija | Regulatorni Zahtjev | Prosječni Trošak Proboja |
|---|---|---|---|
| Zdravstvo | 2× godišnje | HIPAA | $7,42M (najviši) |
| Finansije / BFSI | 2–4× godišnje | PCI DSS 4.0, DORA | $5,08M (ransomware) |
| E-commerce / Retail | 1–2× godišnje | PCI DSS, GDPR | $4,44M (prosjek) |
| Vlada / Odbrana | Kontinuirano | NIST, FedRAMP, CMMC | Visoki reputacijski rizik |
| MSP / SMB | 1× godišnje | GDPR (EU) | Egzistencijalni rizik |
AI i Automatizacija u Modernom Pentestingu
Artificial intelligence transformiše industriju pentestinga s oba smjera. Etički hakeri sve više koriste AI alate za ubrzanje izviđanja, korelaciju nalaza i automatizaciju repetitivnih zadataka — 70% sigurnosnih istraživača danas koristi AI u svom radu. S druge strane, napadači koriste AI u 16% proboja, najčešće za phishing kampanje (37%) i deepfake impersonacije (35%).
Prema Astra Security izvještaju za 2025., automatizovano testiranje povećalo se 2,5 puta — ali ručne procjene i dalje otkrivaju gotovo 2000% više ranjivosti, posebno u API-jevima, cloud konfiguracijama i složenim exploit lancima. Ovo jasno pokazuje da automatizacija dopunjuje, ali ne zamjenjuje, stručnost iskusnog pentestera.
!
Jeste li znali?
Prema IBM-ovom Cost of a Data Breach izvještaju za 2025., organizacije koje ekstenzivno koriste AI i automatizaciju u sigurnosti uštede prosječno 1,9 miliona USD po proboju u poređenju s organizacijama koje ne koriste ova rješenja. Istovremeno, prosječno vrijeme za identifikaciju i suzbijanje proboja palo je na 241 dan — najbrže u posljednjih devet godina.
Pentest vs. Red Team — Koja Je Razlika?
Ova dva pojma često se miješaju, ali postoje ključne razlike u pristupu i ciljevima:
Penetraciono Testiranje
- ✓ Jasno definisan opseg i ciljevi
- ✓ Vremenski ograničen (2–6 tjedana)
- ✓ Fokus na širinu — pronalaženje što više ranjivosti
- ✓ Transparentna komunikacija s klijentom
- ✓ Idealno za compliance i redovne provjere
Red Team Operacija
- ▸ Simulacija naprednog, upornijeg napadača (APT)
- ▸ Naglasak na prikrivanju, persistenciji i lateralnom kretanju
- ▸ Kombinuje cyber, fizičke i social engineering tehnike
- ▸ Testira sposobnost detekcije i odgovora (Blue Team)
- ▸ Idealno za zrele sigurnosne programe
Savjeti za Odabir Pravog Pentest Provajdera
S obzirom na to da tržište penetracionog testiranja broji desetke provajdera — od globalnih igrača poput IBM, Rapid7, CrowdStrike, HackerOne i Cobalt, do regionalnih specijalizovanih timova — odabir pravog partnera zahtijeva pažljivo razmatranje nekoliko ključnih faktora:
Na Što Obratiti Pažnju pri Odabiru Pentest Provajdera
- ✓ Certifikati testera — OSCP, CEH, CPENT AI, GPEN su industrijski standard za certificirane etičke hakere
- ✓ Metodologija — Provjerite koriste li PTES, NIST SP 800-115 i OWASP WSTG kao osnovu
- ✓ Kvalitet izvještaja — Zatražite primjer izvještaja; mora imati i executive summary i tehničke detalje
- ✓ Retestiranje — Kvalitetan provajder nudi besplatno retestiranje nakon sanacije kritičnih ranjivosti
- ✓ Iskustvo u vašoj industriji — Pentest za zdravstveni sektor zahtijeva drugačiji pristup od e-commerce testa
- ✗ Izbjegavajte provajdere koji nude samo automatizovano skeniranje bez ručne verifikacije nalaza
"Penetraciono testiranje nije samo provjera compliance kutija — to je strateška investicija koja organizacijama omogućava kvantifikovanje stvarnog rizika i usmjeravanje sigurnosnih budžeta tamo gdje je uticaj najveći.
— MarketsandMarkets, Penetration Testing Market Report 2025–2031
Regulativa koja Zahtijeva Penetraciono Testiranje
Sve više regulatornih okvira formalizuje penetraciono testiranje kao obavezan compliance zahtjev, a ne samo preporučenu praksu. PCI DSS 4.0 u oblasti platnog prometa i EU-ov Digital Operational Resilience Act (DORA) za finansijski sektor definišu pentest kao compliance kapiju. GDPR ne propisuje pentest eksplicitno, ali zahtijeva odgovarajuće tehničke mjere zaštite — što regulatori sve češće tumače kao obavezu redovnog testiranja.
Penetraciono testiranje i etičko hakovanje više nisu rezervisani samo za velike korporacije s ogromnim IT budžetima. Uz rast PTaaS modela, kontinuirano testiranje postaje dostupno organizacijama svih veličina. U okruženju gdje napadači iskorišćavaju ranjivosti u roku od sati od njihovog otkrivanja, a prosječni trošak jednog proboja iznosi 4,44 miliona USD globalno (10,22 miliona USD u SAD-u), redovne sigurnosne provjere predstavljaju jednu od najisplativijih investicija u digitalnu otpornost svake kompanije. Proaktivna sigurnost — otkrivanje ranjivosti prije napadača — jedini je pravi odgovor na moderni kibernetički pejzaž.
