PTES, czyli Penetration Testing Execution Standard, to uporządkowana metodyka prowadzenia testów penetracyjnych. Określa, jak powinien wyglądać profesjonalny pentest od strony organizacyjnej, technicznej i komunikacyjnej. Dzięki temu tester bezpieczeństwa pracuje według spójnego procesu, a nie wyłącznie na podstawie własnych przyzwyczajeń lub zestawu narzędzi.

 

Standard PTES pomaga odróżnić pełnowartościowy test penetracyjny od prostego skanowania podatności. W takim podejściu liczy się bowiem zrozumienie kontekstu podatności, wpływu luk na środowisko i możliwych skutków, a nie tylko ich znalezienie. Jak wskazuje State of Pentesting Report 2026, dla zespołów o najlepszych wynikach średni czas potrzebny na wykrycie połowy podatności wysokiego ryzyka to 10 dni, podczas gdy dla najsłabszych to aż 249 dni.

 

Standard dzieli test penetracyjny na siedem faz:

 

1. Ustalenia wstępne – określenie zakresu, zasad współpracy, ograniczeń, celów i odpowiedzialności stron.

 

2. Rozpoznanie – pozyskanie danych o badanym środowisku, jego elementach, ekspozycji i potencjalnych punktach wejścia.

 

3. Modelowanie zagrożeń – wskazanie prawdopodobnych scenariuszy ataku oraz zasobów, które mogą być szczególnie atrakcyjne dla hakera.

 

4. Analiza podatności – identyfikacja błędów w testowanym obszarze.

 

5. Eksploitacja – kontrolowana próba potwierdzenia, czy wykryta luka może zostać realnie użyta do naruszenia bezpieczeństwa.

 

6. Działania po uzyskaniu dostępu – ocena konsekwencji udanego ataku i możliwości uzyskania dostępu do kolejnych zasobów.

 

7. Raportowanie – przedstawienie ustaleń w formie zrozumiałej dla odbiorców.

 

Metodologia PTES wyznacza ramy pracy, którą tester dopasowuje do architektury IT, modelu biznesowego i poziomu ryzyka.

   

Ustalenia wstępne

 

Ustalenia wstępne to faza, w której strony definiują warunki testu przed rozpoczęciem prac technicznych. W PTES ustala się:

 

• zakres,
• cele,
• harmonogram,
• odpowiedzialność stron,
• kanały komunikacji,
• osoby kontaktowe.

 

Ogranicza to ryzyko nieporozumień oraz działań wykraczających poza autoryzowany obszar.

 

Na tym etapie określa się również, które systemy i scenariusze są objęte badaniem. Ustala się wyłączenia, dopuszczalne techniki, godziny prac oraz procedurę zatrzymania testu. Bez tych ustaleń pentest może naruszyć ciągłość działania lub wejść w konflikt z wymaganiami prawnymi.

 

Faza rozpoznania

 

Faza rozpoznania w PTES polega na systematycznym zbieraniu informacji o badanym celu, zanim tester przejdzie do modelowania zagrożeń i analizy podatności. Na tym etapie chodzi o zbudowanie możliwie pełnego obrazu środowiska.

 

Tester analizuje m.in.:

 

• domeny i subdomeny,
• adresy IP,
• rekordy DNS,
• certyfikaty TLS,
• technologie używane w aplikacjach,
• publiczne repozytoria,
• metadane plików,
• strukturę i segmentację sieci,
• widoczne systemy.

 

Rozpoznanie może mieć charakter:

 

• pasywny – nie ingeruje bezpośrednio w infrastrukturę, ponieważ bazuje na źródłach publicznych,
• aktywny – obejmuje kontakt z badanymi zasobami, np. przez mapowanie portów lub identyfikację usług.

 

Dobrze wykonane rozpoznanie zwiększa skuteczność testu penetracyjnego. Dzięki niemu tester rozumie, które elementy środowiska wymagają głębszej analizy i gdzie ryzyko naruszenia bezpieczeństwa może być największe.

 

Modelowanie zagrożeń

 

Modelowanie zagrożeń w PTES porządkuje informacje zebrane wcześniej i nadaje im kontekst ryzyka. Tester wskazuje, które zasoby mają największą wartość dla organizacji oraz kto mógłby próbować je naruszyć. PTES opiera tę fazę głównie na analizie aktywów i potencjalnych napastników. W praktyce powstaje mapa prawdopodobnych scenariuszy ataku. Uwzględnia cele sprawcy, możliwe ścieżki dostępu, poziom motywacji i spodziewany wpływ na biznes. Dzięki temu dalsze prace nie są przypadkowe.

     

Analiza podatności

 

Na tym etapie tester łączy wyniki skanów, ręcznych obserwacji i danych z wcześniejszych etapów, aby odróżnić realne ryzyko od fałszywych alarmów. Sprawdza, które luki mogą zostać wykorzystane w praktyce. Nie każda wykryta podatność oznacza bowiem możliwość jej wykorzystania.

 

Podczas tej fazy oceniane są m.in. wersje usług, konfiguracje, mechanizmy uwierzytelniania i logika działania systemu.

 

Analiza pozwala wskazać luki, które warto potwierdzić i wykorzystać w kolejnej fazie testu.

 

Eksploitacja – jak PTES standard weryfikuje odporność sieci

 

Eksploitacja w PTES polega na kontrolowanym wykorzystaniu wykrytej podatności, aby potwierdzić jej realny wpływ na środowisko IT. Tester sprawdza, czy podatność może doprowadzić do nieautoryzowanego dostępu, eskalacji uprawnień, przejęcia konta lub obejścia zabezpieczeń.

 

W testach sieciowych eksploitacja może obejmować m.in.:

 

• błędną konfigurację usług,
• słabe mechanizmy uwierzytelniania,
• podatne wersje oprogramowania,
• nadmierne uprawnienia,
• brak segmentacji.

 

Każde działanie w ramach eksploitacji powinno być prowadzone w ustalonym zakresie, żeby nie powodować ryzyka dla ciągłości pracy systemów.

 

PTES zakłada, że skuteczny test ma pokazać możliwy zasięg naruszenia, a nie tylko punkt wejścia. Daje to organizacji informację, czy pojedyncza luka może stać się początkiem szerszego incydentu. Taki test może być również częścią szerszego audytu bezpieczeństwa informacji.

 

Działania po uzyskaniu dostępu

 

Działania po uzyskaniu dostępu pokazują, co atakujący mógłby zrobić po skutecznym naruszeniu jednego systemu. W PTES ta faza służy ocenie wartości przejętego zasobu oraz możliwego wpływu incydentu na całe środowisko IT..

 

Tester analizuje m.in.:

 

• poziom uprawnień,
• dostęp do danych,
• relacje z innymi systemami,
• możliwość ruchu lateralnego,
• możliwość eskalacji uprawnień.

 

Wszystkie działania powinny pozostać zgodne z wcześniej ustalonym zakresem, aby nie zwiększać ryzyka operacyjnego.

 

Raportowanie jako najważniejszy element procesu PTES

 

Raport zgodny z PTES powinien zawierać:

 

• streszczenie – opis ryzyka biznesowego bez nadmiaru szczegółów technicznych (zazwyczaj dla kadry menedżerskiej),
• zakres testu – wskazanie sprawdzanych elementów infrastruktury,
• metodykę pracy – opis zastosowanego podejścia, narzędzi i typów testów,
• opis podatności – techniczne wyjaśnienie luk, ich przyczyn i warunków wykorzystania,
• ocenę ryzyka – priorytet podatności, wpływ na organizację oraz prawdopodobieństwo wykorzystania,
• dowody wykonania testu – zrzuty ekranu i logi,
• rekomendacje naprawcze – konkretne działania, które ograniczą lub usuną ryzyko.

 

Po teście penetracyjnym mogą nie pojawić się informacje o znalezionych lukach, ale nie oznacza to, że został on nieprawidłowo zrealizowany. Być może badany system lub infrastruktura są w danym momencie rzeczywiście odporne na cyberataki. Oczywiście taki wynik musi zostać właściwie udokumentowany w raporcie poprzez precyzyjne opisanie użytych metod, narzędzi, ram czasowych czy samego przebiegu testu.

 

Według 2026 Vulnerability Statistics Report w dużych przedsiębiorstwach 37% wykrytych luk pozostało nierozwiązanych w ciągu 12 miesięcy od ich odkrycia. Obrazuje to, że samo wykrycie podatności to nie wszystko – potrzebne jest też przydzielenie niezbędnych zasobów do rozwiązania wykrytych problemów. Bez przejrzystych, zrozumiałych dla osób decyzyjnych raportów nie zawsze jest to możliwe. Jednocześnie IBM wskazuje, że średni koszt naruszenia danych to aż 4,4 mln dolarów, więc kwestii bezpieczeństwa nie należy lekceważyć.

   

W 2025 roku tylko 13% brytyjskich firm wykonywało testy penetracyjne. Pokazuje to, że wiele organizacji nadal podchodzi do bezpieczeństwa reaktywnie, dopiero po incydencie lub audycie wymuszonym przez zewnętrzny podmiot, a to błąd.

 

Profesjonalny audyt PTES pozwala sprawdzić, czy zabezpieczenia działają w praktyce. Przygotowanie firmy do takiej kontroli wymaga połączenia testów, monitoringu i ochrony aplikacji.

 

Usługa Netia Testy Podatności pomaga wykryć słabe punkty w infrastrukturze i aplikacjach. Specjaliści Netii przeprowadzić mogą testy penetracyjne i audyty bezpieczeństwa, które pozwalają organizacjom skutecznie weryfikować odporność infrastruktury IT oraz dostosowywać mechanizmy obronne do najwyższych rynkowych standardów.