TrustScope

O projektu TrustScope

TrustScope mění scoping penetračních testů z odhadu od oka na transparentní, deterministický výpočet — takový, na který se mohou spolehnout kupující, dodavatelé i auditoři. Stejně jako CVSS dává všem společný způsob, jak hodnotit závažnost, TrustScope dává oboru společný způsob, jak scopovat pracnost: otevřený, ověřitelný a nenakloněný ani jedné straně obchodu.

Problém, který řešíme

Scoping penetračních testů se pořád dělá od oka. Když si necháte stejné zadání nacenit od dvou renomovaných dodavatelů, odhady MD se často liší o 40–100 %. Kupující nemá objektivní způsob, jak posoudit, kdo má pravdu, a tak typicky vybere nejlevnější nabídku — která bývá poddimenzovaná a nechává skutečné riziko netestované. Dodavatelé zase tráví hodiny scopováním podle pocitu a pak musí obhajovat číslo, do kterého klient nevidí. TrustScope tuto šedou zónu otevírá: ukazuje, z čeho se odhad skládá a proč.

Neutrální standard, ne obchodní nástroj

TrustScope nestraní žádné straně. Engine vrací stejné číslo, ať ho spustí kdokoli — kupující ověřující férovost nabídky, dodavatel scopující nabídku, nebo auditor plánující povinné testování. Právě o tu neutralitu jde: kupující věří, že odhad není nafouknutý ve prospěch dodavatele, a dodavatel jej může použít jako rychlý, obhajitelný základ, který klientovi rád ukáže. Sdílená reference funguje jen tehdy, když se na ni mohou všichni spolehnout stejně.

Jak to funguje

  1. Popíšete zakázku. Průvodce vás provede cílovými systémy, hloubkou testu, prostředím, úrovní přístupu a případným compliance kontextem (NIS2, DORA, ISO 27001).
  2. Engine spočítá rozsah. Výpočet běží na pevných, zdokumentovaných pravidlech — žádné AI dohady. Stejné vstupy vždy vrátí stejný výsledek a každé pravidlo je popsané v sekci Metodika, takže si logiku můžete projít řádek po řádku.
  3. Vidíte, z čeho se číslo skládá. Výstupem není jen součet. Je rozpadnutý do tří reálných dimenzí pracnosti — technické, compliance a reporting — takže každý přesně vidí, odkud se MD berou.
  4. Vygenerujete strukturovaný brief. Z rozsahu TrustScope vytvoří seznam předpokladů, které musíte zajistit — přístupy, testovací účty, dokumentace — a srozumitelný brief, který můžete poslat jednomu nebo více dodavatelům pro porovnatelné nabídky.

Protože je výpočet deterministický a zdokumentovaný, dva lidé pro stejnou zakázku dostanou stejnou odpověď — a právě to dělá z odhadu něco, co je možné skutečně obhájit.

Postaveno na metodice, kalibrováno na reálné práci

TrustScope kombinuje dvě vrstvy a ten rozdíl je důležitý:

  • Metodika — co se testuje.Aplikační scopy (web, API, mobil) vycházejí z OWASP testing guides; infrastrukturní scopy (externí, interní) z OSSTMM. Ty definují pokrytí, které má každý typ zakázky dosáhnout.
  • Kalibrace — jak dlouho to trvá.Baseline MD a modifikátory jsou odvozené ze zaznamenané pracnosti více než 800 reálných penetračních projektů napříč obory a regiony. Čísla odrážejí čas, který testeři skutečně strávili — ne teorii a ne návyky jednoho týmu.

Metodika definuje úplnost; data definují pracnost. Spolu dělají odhad obhajitelným (ukotvený v uznávaných standardech) i realistickým (sladěný s tím, co testování opravdu vyžaduje).

Co MD číslo skutečně znamená

Neexistuje žádná jediná „správná“ doba penetračního testu a TrustScope to ani nepředstírá. Odhad reprezentuje rozumnou pracnost potřebnou k otestování systému na profesionální úrovni — podle výše uvedených metodik — tak, aby v rozumném čase byly nalezeny realisticky využitelné slabiny a pravděpodobný útočník byl zastaven.

Záměrně to není horní hranice. Tester s neomezeným časem by se dostal vždy ještě dál — do hlubokého výzkumu, vývoje nových exploitů a okrajových případů, které přestávají být časově efektivní a přestávají být běžnou praxí. A reálný útočník s motivací prolomit konkrétní systém může strávit mnohem víc času, než kdykoli stráví etická zakázka. TrustScope odhaduje standardní, metodicky vedenou pracnost, která v rozumném čase konverguje k efektivnímu pokrytí — ne teoretické maximum a ne minimum, jaké by dodavatel nasadil, aby vyhrál na ceně.

O to právě jde: obhajitelná reference pro to, kolik času stojí dobrý standardní test — něco, na čem se kupující, dodavatelé i auditoři shodnou jako na rozumném. Je to rozdíl mezi tím udělat pentest a udělat ho pořádně — mezi výsledkem, za kterým si můžete stát, a odškrtnutým políčkem na papíře.

Pro koho to je

  • Kupující (CISO, bezpečnostní a compliance týmy)abyste věděli, jak vypadá férový počet MD, a uměli ho interně obhájit, místo abyste hádali, jestli je nabídka rozumná.
  • Dodavatelé (pentest týmy, MSSP)abyste mohli nabídky scopovat rychle a transparentně a vyhrávali srozumitelností, ne podstřelováním ceny.
  • Auditoři a regulátoři (NIS2, DORA, ISO 27001)pro obhajitelný a opakovatelný způsob plánování a zdůvodnění testů.

Vaše data

Vaše vstupy slouží výhradně k vytvoření vašeho odhadu. Bez vaší akce se nesdílejí s dodavateli a nikdy se nepoužívají k trénování žádného modelu. Engine kalibrujeme proti reálným projektům, abychom odhady drželi přesné — opřené o skutečné zakázky, ne o marketingové sliby.

Kam míříme

Penetrační test by neměl být černá skříňka, ve které se cena hádá. Každý odhad by měl mít jasnou metodiku, být vysvětlitelný a porovnatelný napříč dodavateli. Naším dlouhodobým cílem je udělat z TrustScope sdílený standard pro scoping pentestů — kalibrovaný na reálných projektech a stejně důvěryhodný pro všechny strany — aby „scoped with TrustScope“ znamenalo pro kupujícího, dodavatele i auditora totéž. Ne jedno diktované číslo, ale transparentní základ, ze kterého všichni vycházejí a zdokumentovaně ho upravují.

Kontakt

Dotazy, zpětná vazba, kalibrační data nebo žádost o konzultaci? Pište na david@trustscope.io.