PentestPlannerVšechny články
Publikováno·7 min čtení

Jak se ve skutečnosti počítají man-days u pentestu

Většina pentest nabídek je černá skříňka. Takhle vypadá obhajitelný výpočet MDs — surface units, multiplikátory rolí, gating a overhead.

Každý offensive security tým dostává stejnou otázku: „Kolik to bude man-days?" Odpověď ale příliš často vychází z pocitu, předchozí nabídky, nebo (ještě hůř) je zpětně vyrobena podle cílového rozpočtu. Žádný z těchto způsobů nedá číslo, které ustojíte v nákupním jednání.

Co man-day vlastně je

Man-day (MD) je 8 hodin soustředěné testovací kapacity jednoho kvalifikovaného pentestera. Není to projektové řízení, není to reportovací overhead, není to retest. To jsou samostatné položky rozpočtu. Slévání těchto věcí dohromady je první místo, kde se odhady rozjíždějí.

Čtyři vstupy, které určují výsledek

  • Surface units — stránky, moduly, endpointy, hosty, BSSIDs. Jednotka musí odpovídat typu aktiva. „Počet stránek" pro API nedává smysl.
  • Role a segregace dat — každá autentizovaná role přidává multiplikátor, protože autorizační matici je nutné projít znovu.
  • Knowledge mode — black-box, grey-box nebo white-box. Je to gate, ne posuvník. Black-box bez kredencí limituje dosažitelnou hloubku na perimetr.
  • Compliance a reporting overhead — PCI, DORA, NIS2, exec read-out. Fixní per-engagement adders, ne per-scope.

Proč rozsahy, ne jedno číslo

Vážně myšlený odhad vždy vrací rozsah (P50 / P90). Jedno číslo skrývá rozptyl, který přichází z hustoty nálezů, stability prostředí a retest smyček. Pokud vám dodavatel řekne „přesně 9 MDs" na složitou web app, buď zaokrouhluje, nebo tipuje.

Kde se nabídky nejčastěji rozpadají

  1. Overhead je zabalený do scope MDs, takže reálný testovací rozpočet je menší, než vypadá.
  2. Role jsou ignorovány — 5-rolová B2B SaaS dostane stejnou cenu jako jednorolový marketingový web.
  3. Black-box je brán jako „levný grey-box" — bez kredencí se ale nedostanete do 70 % aplikace.
  4. Překryv mezi scopy se neodečítá — dva scopy sdílející stejný IdP nemají platit recon dvakrát.

Jak vypadá obhajitelný výpočet

Deterministický. Reprodukovatelný. Vysvětlitelný řádek po řádku. Stejné vstupy musí vždy dát stejné MDs. Engine PentestPlanner stojí přesně na tomto principu — každý MD se dá dohledat k baseline, multiplikátoru nebo dokumentovanému overhead pravidlu. Otevřete metodiku a uvidíte celou matematiku.

Pokud vám dodavatel matematiku neukáže, nekupujete pentest — kupujete divadlo jistoty.

Všechny články