Simulácia viacstupňových útočných reťazcov: Prečo skenovanie jednotlivých zraniteľností nestačí
Narušenie Ivanti Cloud Service Appliances koncom roka 2024 nebolo spôsobené jedinou kritickou zraniteľnosťou. Útočníci spojili štyri stredne závažné zraniteľnosti: obídenie administrátora, chybu SQL Injection na krádež prihlasovacích údajov a dva vektory vzdialeného vykonávania kódu. Žiadna jednotlivá zraniteľnosť nebola hodnotená ako kritická. Spolu však útočníkom poskytli plnú kontrolu nad systémom.
Tento vzor sa opakuje pri takmer každom závažnom narušení bezpečnosti. Útočníci nezneužívajú jednu chybu – spájajú viacero slabín do útočnej cesty, ktorá vedie od počiatočného prístupu k exfiltrácii dát. Väčšina nástrojov na testovanie bezpečnosti však hodnotí zraniteľnosti izolovane. Povedia vám, že máte chybu zverejnenia informácií strednej závažnosti a samostatnú chybu autorizácie strednej závažnosti. Čo vám však nepovedia, je, že ich skombinovaním získa útočník cestu k vašej produkčnej databáze.
Simulácia viacstupňových útočných reťazcov túto medzeru uzatvára. Namiesto testovania jednotlivých zraniteľností modeluje, ako by skutočný útočník spojil viacero slabín – naprieč rôznymi koncovými bodmi, službami a triedami zraniteľností – do kompletnej cesty zneužitia. Výsledkom je zásadne odlišný pohľad na vašu skutočnú bezpečnostnú pozíciu.
Penetrify — AI-powered Penetration Testing
Čo je simulácia viacstupňových útočných reťazcov?
Simulácia viacstupňových útočných reťazcov je prístup k testovaniu bezpečnosti, ktorý replikuje spôsob, akým operujú skutoční útočníci: objavenie počiatočnej slabiny, jej využitie na získanie dodatočného prístupu alebo informácií a následné použitie tohto oporného bodu na zneužitie ďalších zraniteľností až do dosiahnutia vysoko hodnotného cieľa.
Na rozdiel od tradičného skenovania zraniteľností, ktoré testuje každý koncový bod alebo konfiguráciu nezávisle a vytvára plochý zoznam nálezov, simulácia útočných reťazcov mapuje vzťahy medzi zraniteľnosťami. Odpovedá na otázku: „Ak útočník zneužije zraniteľnosť A, čo to odomkne? A čo všetko môže z tohto bodu dosiahnuť?“
Tento koncept priamo nadväzuje na zavedené rámce. Cyber Kill Chain od spoločnosti Lockheed Martin opisuje sedem fáz, ktorými útočník prechádza, od prieskumu až po akcie na ciele. MITRE ATT&CK katalogizuje špecifické taktiky, techniky a postupy (TTPs), ktoré útočníci používajú v každej fáze. Simulácia viacstupňových útočných reťazcov operacionalizuje tieto rámce skutočným vykonávaním útočných sekvencií – nie teoreticky, ale proti vašim živým systémom.
Je potrebné poznamenať rozdiel oproti nástrojom na simuláciu narušenia a útoku (BAS). Tradičné nástroje BAS zvyčajne prehrávajú známe útočné scenáre proti vašim obranám, aby otestovali schopnosti detekcie a reakcie. Simulácia viacstupňových útočných reťazcov ide ďalej: objavuje nové útočné cesty špecifické pre vašu aplikáciu kombinovaním zraniteľností, ktoré nájde počas testovania, namiesto prehrávania vopred naprogramovaných sekvencií.
Sprievodcovia testovaním bezpečnosti
Prečo testovanie jednotlivých zraniteľností vytvára falošný pocit bezpečia
Väčšina bezpečnostných programov sa spolieha na skenery zraniteľností, nástroje SAST a pravidelné Penetration Testy, ktoré hodnotia nálezy individuálne. Každý nález dostane skóre CVSS, označenie závažnosti a miesto v poradí na nápravu. Problémom je, že tento prístup zásadne skresľuje riziko.
Skóre závažnosti nezohľadňujú kontext
Zraniteľnosť zverejnenia informácií s CVSS 5.0 na koncovom bode, ktorá odhaľuje interné API trasy, má izolovane strednú závažnosť. Obídenie autorizácie s CVSS 4.0 na administrátorskom koncovom bode má tiež izolovane strednú závažnosť. Ak však prvá zraniteľnosť odhalí administrátorský koncový bod, ktorý môže druhá zraniteľnosť obísť, kombinovaná cesta je kritická – plný administrátorský prístup z neautentifikovaného východiskového bodu.
Skenery zraniteľností hlásia oba nálezy nezávisle. Ani jeden nie je eskalovaný na kritickú prioritu. Tím pre nápravu pracuje na zozname úloh podľa skóre CVSS a oba sedia za radom „skutočných“ kritických nálezov. Medzitým útočník, ktorý objaví jednu z týchto zraniteľností, prirodzene otestuje aj tú druhú.
Ploché zoznamy skrývajú útočné cesty
Bezpečnostná správa s 200 nálezmi, zoradená podľa závažnosti, je zoznam. Čo však neukazuje, je topológia: ktoré zraniteľnosti sa spájajú s ktorými, ktoré nálezy sú predpokladom pre zneužitie iných a ktoré kombinácie vytvárajú cesty k vysoko hodnotným aktívam.
Simulácia viacstupňového útočného reťazca transformuje tento plochý zoznam na útočný graf. Zrazu 200 nálezov nie je 200 nezávislých rizík — sú to menší počet útočných ciest, každá s jasným východiskovým bodom, postupom a cieľom. To úplne mení stratégiu nápravy: namiesto opravy 200 jednotlivých chýb identifikujete päť kritických bodov, ktoré prerušia najkritickejšie útočné reťazce.
Automatizované skenery nedokážu uvažovať o správaní
Tradičné skenery fungujú na princípe porovnávania vzorov. Odosielajú známe škodlivé payloads a kontrolujú očakávané odpovede. Tento prístup efektívne odhaľuje chyby vkladaním (injection flaws), nesprávne konfigurácie a známe CVE. Nedokáže však uvažovať o správaní aplikácie.
Predstavte si multi-tenant SaaS aplikáciu, kde race condition v správe relácií umožňuje útočníkovi na krátky čas získať prístup k session tokenu iného nájomcu. Samotný token neposkytuje užitočný prístup — aplikácia overuje kontext nájomcu na väčšine koncových bodov. Jeden starší reportovací koncový bod však neoveruje kontext nájomcu, čo umožňuje prístup k dátam medzi nájomcami v kombinácii s ukradnutým session tokenom. Žiadny skener založený na vzoroch by tento reťazec neobjavil, pretože každý komponent sa správa „správne“ izolovane.
Porovnať prístupy k testovaniu
Reálne útočné reťazce: Ako skutočne dochádza k narušeniam
Pochopenie modelu útočného reťazca je jednoduchšie s konkrétnymi príkladmi z nedávnych incidentov.
Reťazec Ivanti CSA (2024)
V septembri 2024 CISA a FBI zverejnili aktívne zneužívanie Ivanti Cloud Service Appliances prostredníctvom reťazca štyroch zraniteľností. Útočníci začali s CVE-2024-8963, čo bol admin bypass, ktorý umožnil počiatočný prístup. Následne zneužili CVE-2024-9379, chybu typu SQL Injection, na krádež prihlasovacích údajov uložených v databáze. S týmito prihlasovacími údajmi využili CVE-2024-8190 a CVE-2024-9380 na vzdialené vykonávanie kódu (remote code execution), čím dosiahli trvalý prístup k cieľovým systémom.
Kľúčový poznatok: žiadna z týchto zraniteľností by sama osebe nedosiahla cieľ útočníka. Samotný admin bypass neposkytol užitočné dáta. SQL Injection vyžadoval prístup, ktorý poskytol bypass. Zraniteľnosti RCE vyžadovali prihlasovacie údaje, ktoré extrahoval SQL Injection. Iba celý reťazec — bypass → krádež prihlasovacích údajov → vykonávanie kódu — viedol k narušeniu.
Reťazec Zero-Day zraniteľností v Craft CMS (2025)
Pozorované v aktívnom zneužívaní od februára 2025, útočníci spojili CVE-2025-32432 (RCE v Craft CMS) s CVE-2024-58136 (zraniteľnosť v základnom frameworku Yii). Prvý exploit vytvoril počiatočné vykonávanie kódu. Druhý využil framework Yii na odosielanie škodlivých JSON payloads a vykonávanie PHP kódu prostredníctvom súborov relácií, čo umožnilo inštaláciu perzistentného správcu súborov pre prebiehajúcu kompromitáciu systému.
Tento reťazec ilustruje, ako útočníci zneužívajú vzťahy medzi aplikáciou a jej frameworkom — spojenie, ktoré by skenery zraniteľností testujúce Craft CMS alebo Yii nezávisle prehliadli.
Vzor reťazenia zraniteľností v SaaS
Opakujúci sa vzor narušení v SaaS kombinuje zverejnenie informácií s chybami autorizácie. V jednom zdokumentovanom prípade koncový bod API unikol interné ID používateľov prostredníctvom podrobných chybových správ (nízka závažnosť). Samostatný koncový bod mal chybu autorizácie na úrovni objektov, ktorá umožňovala prístup k dátam akéhokoľvek používateľa po zadaní jeho interného ID (stredná závažnosť). Postupnosť: získať ID z chybových správ a potom použiť tieto ID na prístup k ľubovoľným používateľským dátam. Ani jedno zistenie samo o sebe nebolo alarmujúce. Spolu však odhalili celú používateľskú databázu.
Štatistiky bezpečnosti platformy
Ako funguje simulácia viacstupňových útočných reťazcov
Moderná simulácia útočných reťazcov kombinuje niekoľko techník na objavenie a validáciu exploitačných ciest.
Fáza 1: Prieskum a mapovanie povrchu útoku
Simulácia začína mapovaním celého povrchu útoku — každý koncový bod, každý autentifikačný mechanizmus, každý dátový tok, každá externá integrácia. To presahuje to, čo je zdokumentované v špecifikáciách API. Tieňové koncové body, zastarané trasy a nedokumentované administrátorské rozhrania sú objavené prostredníctvom aktívneho sondovania a analýzy prevádzky.
Cieľom je vytvoriť graf topológie aplikácie: aké koncové body existujú, ako sú prepojené, aké dáta medzi nimi prúdia a aké autentifikačné a autorizačné kontroly chránia každý z nich.
Fáza 2: Objavovanie jednotlivých zraniteľností
Ďalej sa každý komponent v topológii testuje na jednotlivé zraniteľnosti pomocou viacerých techník: SAST pre chyby na úrovni kódu, DAST pre zraniteľnosti počas behu, skenovanie závislostí pre známe CVE a analýza konfigurácie pre nesprávne konfigurácie.
Táto fáza prináša rovnaké zistenia, aké by priniesol tradičný skener. Rozdiel je v tom, že tieto zistenia sú mapované do topológie aplikácie, namiesto toho, aby boli zhromaždené ako plochý zoznam. Každá zraniteľnosť je označená svojou polohou v grafe, predpokladmi potrebnými na jej dosiahnutie a prístupom, ktorý by mohla potenciálne poskytnúť, ak by bola zneužitá.
Fáza 3: Objavovanie útočných ciest
Tu sa simulácia viacstupňových útočných reťazcov zásadne odlišuje od tradičného testovania. Simulačný engine analyzuje graf zraniteľností, aby identifikoval reťazce — postupnosti zraniteľností, ktoré po postupnom zneužití vytvárajú cestu od vstupného bodu k cieľu s vysokou hodnotou.
Engine zvažuje otázky ako: ak zraniteľnosť A unikne poverenia, môžu byť tieto poverenia použité na autentifikáciu k službe, kde existuje zraniteľnosť B? Ak zraniteľnosť B poskytuje vykonávanie kódu na internej službe, môže táto služba dosiahnuť internú databázu, ktorú zraniteľnosť C necháva nechránenú?
Simulačné enginy poháňané AI idú ďalej testovaním reťazcov, ktoré nie sú zrejmé zo statickej analýzy. Zneužijú prvú zraniteľnosť v potenciálnom reťazci a pozorujú, aký prístup skutočne poskytuje, potom použijú tento skutočný prístup na testovanie ďalšieho článku — presne tak, ako by ľudský Penetration Tester sledoval stopy počas angažmánu.
Fáza 4: Validácia a posúdenie dopadu
Objavené útočné reťazce sú validované prostredníctvom skutočného zneužitia — nielen teoretickej analýzy. Simulácia vykoná každý reťazec od začiatku do konca, aby potvrdila, že produkuje predpokladaný výsledok. Tým sa eliminujú teoretické reťazce, ktoré v praxi nefungujú, a poskytuje konkrétny proof-of-concept pre reťazce, ktoré fungujú.
Každý validovaný reťazec dostane posúdenie dopadu na základe cieľa, ktorý dosahuje (exfiltrácia dát, eskalácia privilégií, narušenie služby), požadovaného počiatočného prístupu (neautentifikovaný, autentifikovaný používateľ, interný útočník) a počtu krokov, ktoré sú potrebné. Toto posúdenie určuje prioritu nápravy: trojkrokový reťazec od neautentifikovaného prístupu k odhaleniu produkčnej databázy dostane vyššiu prioritu ako šesťkrokový reťazec vyžadujúci interný prístup na dosiahnutie necitlivej služby.
Fáza 5: Identifikácia kritických bodov
Najcennejším výstupom simulácie útočných reťazcov nie je zoznam reťazcov — je to analýza kritických bodov. Kritické body sú jednotlivé zraniteľnosti alebo kontroly, ktoré sa objavujú vo viacerých útočných reťazcoch. Oprava jedného kritického bodu môže naraz prerušiť päť alebo desať útočných reťazcov, čo z nej robí nápravné opatrenie s najvyšším pákovým efektom.
To mení diskusiu o náprave z „máme 200 zistení na opravu“ na „oprava týchto troch kritických bodov eliminuje 80 % našich kritických útočných ciest.“ Bezpečnostné tímy, ktoré uprednostňujú dopad kritických bodov namiesto individuálnych skóre CVE, riešia viac rizík s menšou námahou.
Integrácia bezpečnosti do CI/CD
Simulácia viacstupňových útočných reťazcov vs. iné testovacie prístupy
Pochopenie, ako simulácia útočných reťazcov súvisí s inými metódami bezpečnostného testovania, vám pomôže umiestniť ju do vášho bezpečnostného programu.
vs. Skenovanie zraniteľností
Skenery zraniteľností nachádzajú jednotlivé slabiny. Simulácia útočných reťazcov zisťuje, ako sa tieto slabiny kombinujú do exploitačných ciest. Skenery vám povedia, čo je pokazené. Simulácia útočných reťazcov vám povie, čo útočník môže skutočne urobiť s tým, čo je pokazené. Obe sú potrebné — skenery poskytujú šírku, simulácia útočných reťazcov poskytuje hĺbku a kontext.
vs. Tradičné Penetration Testing
Manuálni penetračný testeri prirodzene myslia v útočných reťazcoch — sledujú stopy, spájajú exploity a budujú kompletné útočné cesty. Simulácia útočných reťazcov túto logiku automatizuje. Nenahrádza skúsených penetračných testerov, ale beží nepretržite (namiesto štvrťročne), systematicky pokrýva celý povrch (namiesto selektívne na základe časových obmedzení) a dokumentuje každú objavenú cestu reprodukovateľným spôsobom.
vs. Simulácia narušenia a útoku (BAS)
Nástroje BAS prehrávajú vopred naprogramované útočné scenáre proti vašim obranám. Odpovedajú na otázku: „Uspeje tento známy útok v našom prostredí?“ Simulácia útočných reťazcov odpovedá na inú otázku: „Aké útočné cesty existujú v našej konkrétnej aplikácii, vrátane reťazcov, ktoré nikto predtým nedokumentoval?“ BAS overuje pokrytie obrany. Simulácia útočných reťazcov objavuje riziko špecifické pre aplikáciu.
vs. Red Teaming
Cvičenia Red Teamu simulujú správanie protivníka so širším rozsahom — sociálne inžinierstvo, fyzický prístup, laterálny pohyb naprieč sieťou. Simulácia útočných reťazcov sa zameriava špecificky na exploitačné cesty na aplikačnej vrstve. Red Teaming prebieha ročne z dôvodu nákladov a rozsahu. Simulácia útočných reťazcov beží nepretržite ako súčasť vášho CI/CD pipeline.
Úloha AI pri objavovaní útočných reťazcov
Tradičná analýza útočných ciest sa spolieha na preddefinované pravidlá: „ak zraniteľnosť A existuje na rovnakom hostiteľovi ako zraniteľnosť B, označ reťazec.“ Tento prístup nachádza známe vzory reťazcov, ale prehliada nové kombinácie.
Simulácia viacstupňových útočných reťazcov poháňaná AI mení model. Namiesto porovnávania preddefinovaných vzorov reťazcov, AI uvažuje o tom, čo každá zraniteľnosť umožňuje, a dynamicky skúma spojenia. Keď zneužije chybu v zverejnení informácií a objaví internú API cestu, nielenže zaznamená zistenie — preveruje objavenú cestu na ďalšie zraniteľnosti, testuje, či uniknuté dáta udeľujú prístup k iným službám, a buduje exploitačné reťazce v reálnom čase.
Tento adaptívny prístup zrkadlí spôsob práce skúsených ľudských penetračných testerov: sledujú stopy, prispôsobujú taktiku na základe toho, čo nájdu, a budujú komplexný obraz o tom, čo je dosiahnuteľné z daného východiskového bodu. Rozdiel je v rozsahu a konzistentnosti — simulácia poháňaná AI to robí naprieč každým koncovým bodom, pri každom nasadení, bez únavy alebo časových obmedzení.
Rámec MITRE ATT&CK poskytuje taktickú slovnú zásobu. Simulácia poháňaná umelou inteligenciou mapuje každý krok objaveného reťazca na špecifické techniky ATT&CK – počiatočný prístup, prístup k povereniam, laterálny pohyb, exfiltrácia – čo bezpečnostným tímom poskytuje štandardizovaný spôsob, ako pochopiť, komunikovať a reagovať na objavené útočné cesty.
Implementácia simulácie viacstupňových útočných reťazcov
Pridanie simulácie útočných reťazcov do vášho bezpečnostného programu si nevyžaduje nahradenie existujúcich nástrojov. Nadväzuje na ne, využíva ich zistenia a pridáva analýzu reťazcov.
Začnite s existujúcimi údajmi o zraniteľnostiach
Ak už používate nástroje SAST, DAST alebo SCA, máte k dispozícii surový materiál pre analýzu reťazcov. Zadajte svoje existujúce zistenia do enginu simulácie útočných reťazcov, ktorý mapuje vzťahy medzi nimi. Počiatočný výstup vám ukáže reťazce, na ktorých ste sedeli – kombinácie známych zistení, ktoré vytvárajú kritické cesty zneužitia.
Integrujte do CI/CD pre nepretržité pokrytie
Simulácia útočných reťazcov by mala prebiehať pri každom významnom nasadení, nielen periodicky. Ako sa vaša aplikácia mení, objavujú sa nové reťazce a existujúce sa narúšajú. Nový koncový bod môže vytvoriť most medzi dvoma predtým odpojenými zraniteľnými komponentmi. Opravená zraniteľnosť môže narušiť reťazec bez toho, aby ste si uvedomili, že reťazec existoval.
Integrácia do pipeline zabezpečuje, že analýza útočných reťazcov zostáva aktuálna s vašou aplikáciou. Rýchle skeny pri každom PR (pull request) testujú, či zmeny vytvárajú nové spojenia reťazcov. Hĺbkové skeny podľa plánu skúmajú celý graf pre komplexné viacstupňové cesty.
Prioritizujte podľa dopadu kritických bodov
Pri prezeraní výsledkov odolajte nutkaniu opravovať reťazce od začiatku do konca. Namiesto toho identifikujte kritické body – jednotlivé zistenia, ktoré sa objavujú vo väčšine reťazcov – a opravte ich ako prvé. Jedna dobre zvolená náprava môže eliminovať viacero útočných ciest súčasne.
Sledujte pokrytie kritických bodov ako metriku: aké percento kritických útočných reťazcov je narušených vaším súčasným plánom nápravy? To poskytuje vedeniu zmysluplnejšiu bezpečnostnú metriku než „v tomto štvrťroku sme opravili 47 zraniteľností“.
Validujte manuálnym testovaním
Použite výsledky simulácie útočných reťazcov na usmernenie manuálnych Penetration Testing aktivít. Namiesto štvrťročného pentestu so širokým rozsahom zamerajte svojich manuálnych testerov na najkritickejšie reťazce, ktoré simulácia objavila. Ľudskí testeri môžu validovať reťazce, hlbšie posúdiť obchodný dopad a preskúmať variácie, ktoré simulácia nemusela zvážiť.
Tento cielený prístup robí manuálne testovanie efektívnejším a hodnotnejším – testeri trávia svoj čas potvrdenými vysoko rizikovými oblasťami namiesto opätovného objavovania zistení, ktoré už nahlásili vaše automatizované nástroje.
Meranie efektívnosti simulácie útočných reťazcov
Metriky pre simuláciu útočných reťazcov sa líšia od tradičných metrík riadenia zraniteľností, pretože jednotkou analýzy je cesta, nie individuálne zistenie.
Počet kritických reťazcov sleduje počet validovaných útočných reťazcov, ktoré dosahujú vysoko hodnotné ciele z neautentifikovaného alebo nízko privilegovaného východiskového bodu. Toto číslo by sa malo časom znižovať, keď sa kritické body napravia.
Priemerná dĺžka reťazca meria priemerný počet krokov vo vašich kritických reťazcoch. Dlhšie reťazce vo všeobecnosti naznačujú lepšiu segmentáciu a kontrolu prístupu – útočníci potrebujú viac krokov na dosiahnutie cieľov. Náhle zníženie priemernej dĺžky reťazca signalizuje zmenu konfigurácie, ktorá skrátila útočnú cestu.
Pokrytie kritických bodov meria, aké percento kritických reťazcov by bolo narušených vaším súčasným plánom nápravy. Toto je použiteľná metrika pre plánovanie sprintov: hovorí vám, koľko zníženia rizika prináša každá plánovaná oprava.
Čas na objavenie reťazca sleduje, ako rýchlo sa identifikujú nové útočné reťazce po ich zavedení nasadením. S integráciou simulácie do CI/CD by to mali byť hodiny, nie týždne.
Často kladené otázky
V čom sa simulácia viacstupňových útočných reťazcov líši od skenera zraniteľností?
Skenery zraniteľností nachádzajú jednotlivé slabiny a hlásia ich nezávisle. Simulácia útočných reťazcov mapuje, ako sa viaceré slabiny kombinujú do ciest zneužitia — ukazuje, čo môže útočník skutočne dosiahnuť ich spojením. Skener môže nahlásiť desať nálezov strednej závažnosti. Simulácia útočných reťazcov ukazuje, že tri z nich sa spájajú do kritickej cesty k vašej produkčnej databáze.
Vyžaduje simulácia útočných reťazcov prístup k zdrojovému kódu?
Nie. Simulácia útočných reťazcov môže fungovať s testovaním čiernou skrinkou (DAST-štýlové sondovanie spustených aplikácií), testovaním bielou skrinkou (analýza zdrojového kódu pre spojenia zraniteľností) alebo hybridným prístupom. Simulácia čiernou skrinkou objavuje reťazce prostredníctvom skutočného zneužitia, zatiaľ čo analýza bielou skrinkou dokáže identifikovať potenciálne reťazce rýchlejšie analýzou ciest kódu.
Ako dlho trvá kompletná simulácia útočného reťazca?
Rýchle skeny, ktoré kontrolujú nové spojenia reťazcov z nedávnych zmien, sa dokončia za 2–5 minút — vhodné pre integráciu do CI/CD. Komplexné simulácie, ktoré skúmajú celý útočný graf, trvajú 30–90 minút a zvyčajne sa spúšťajú v nočnom alebo týždennom režime.
Dokáže simulácia útočných reťazcov nájsť zraniteľnosti obchodnej logiky?
Áno — toto je jedna z jeho kľúčových výhod oproti skenerom založeným na vzoroch. Uvažovaním o správaní aplikácie namiesto porovnávania známych signatúr zraniteľností dokáže simulácia útočných reťazcov poháňaná AI objaviť logické chyby, ako sú race conditions, obchádzanie pracovných postupov a hraničné prípady kontroly prístupu, ktoré sa prejavia iba vtedy, keď sa viacero krokov vykoná v špecifickej sekvencii.
Potrebujeme stále manuálne Penetration Testing?
Áno, ale simulácia útočných reťazcov robí manuálne testovanie cielenejším a efektívnejším. Použite výsledky simulácie na nasmerovanie manuálnych testerov k reťazcom s najvyšším rizikom, kde ľudská kreativita a odborné znalosti pridávajú najväčšiu hodnotu. Väčšina organizácií zistí, že môžu znížiť frekvenciu manuálneho testovania a zároveň zlepšiť výsledky zabezpečenia.