$ cd ~/securember/uslugi

Katalog usług

Każde zlecenie kończy się raportem z priorytetyzacją ryzyk, rekomendacjami napraw i retestem. Zakres i metodyka są uzgadniane przed rozpoczęciem prac.

// 01

Testy penetracyjne

Kontrolowany atak prowadzony ręcznie - podatności łączone w ścieżki, nie lista z automatu.

Aplikacje webowe i API

OWASP WSTG/ASVS, uwierzytelnianie, logika biznesowa, REST i GraphQL.

Infrastruktura zewnętrzna i wewnętrzna

Perymetr, segmentacja sieci, eskalacja uprawnień, ruch boczny.

Aplikacje mobilne

iOS i Android wg OWASP MASVS, pamięć lokalna, komunikacja z backendem.

Aplikacje desktop / thick client

Analiza klienta, protokołów i lokalnych mechanizmów ochrony.

Active Directory / Entra ID

Ścieżki ataku, ADCS, delegacje, drogi do przejęcia domeny.

Sieci Wi-Fi

Audyt sieci bezprzewodowych, rogue AP, izolacja sieci gościnnych.

// 02

Chmura i konfiguracja

Błędna konfiguracja to dziś częstsza droga włamania niż exploit. Przeglądy wg benchmarków CIS i dobrych praktyk dostawców.

Przegląd konfiguracji AWS / Azure / GCP

IAM, publiczne ekspozycje, logowanie, sieć.

Microsoft 365 / Entra ID

Conditional Access, Exchange, uprawnienia aplikacji.

Kubernetes i kontenery

Konfiguracja klastra, obrazy, sekrety, izolacja obciążeń.

Hardening serwerów i stacji

Przegląd konfiguracji systemów wg CIS Benchmarks.

Przegląd kodu źródłowego

Security code review krytycznych modułów aplikacji.

Przegląd architektury

Threat modeling nowych systemów przed wdrożeniem produkcyjnym.

// 03

Rozpoznanie i stały nadzór

Widok na organizację z perspektywy napastnika - jednorazowo albo jako ciągły program.

Skan podatności perymetru

Zewnętrzne IP i usługi, manualna walidacja krytycznych ekspozycji.

Powierzchnia ataku / OSINT

Subdomeny, wycieki, shadow IT, ekspozycja pracowników.

Zarządzanie podatnościami (abonament)

Cykliczne skany, śledzenie napraw, raporty trendów dla zarządu.

Monitoring wycieków poświadczeń

Firmowe hasła i tokeny w wyciekach, na forach i w combo-listach.

// 04

Ludzie i zgodność

Czynnik ludzki i wymogi regulacyjne - dwa obszary, które warto obsłużyć równolegle.

Kampanie phishingowe

Kontrolowana socjotechnika z oceną reakcji zespołu.

Szkolenia security awareness

Warsztaty dla zespołów i sesje OWASP dla developerów.

NIS2 / KSC gap analysis

Środki z art. 21 zmapowane na stan faktyczny, z planem dojścia.

Wsparcie po teście / doradztwo

Priorytetyzacja i pomoc we wdrażaniu napraw, opcja retainera.

// 04 - specjalizacja

AI / LLM red teaming

Testy odporności modeli, agentów i integracji AI: prompt injection, jailbreaki, exfiltracja danych przez narzędzia, bezpieczeństwo serwerów MCP i pipeline'ów RAG. Zaplecze badawcze: doktorat w toku z zakresu adversarial ML.

Prompt injection Jailbreaki Serwery MCP Agenci i tool use RAG Adversarial ML
// proces

Przebieg współpracy

01

Rozmowa i zakres

Ustalenie celu, granic i metodyki testu.

02

Autoryzacja

Pisemne zezwolenie na prowadzenie testów.

03

Testy i walidacja

Prace techniczne z manualną weryfikacją wyników.

04

Raport i retest

Priorytety, rekomendacje i weryfikacja napraw.

// faq

Najczęstsze pytania

Czym różni się skan podatności od testu penetracyjnego?

Skan identyfikuje znane podatności w sposób zautomatyzowany; każdy wynik podlega następnie walidacji manualnej, która eliminuje fałszywe alarmy i potwierdza realne ryzyko. Test penetracyjny idzie dalej - łączy podatności w ścieżki ataku i weryfikuje ich rzeczywiste skutki. Rodzaj zlecenia jest zawsze określany wprost; skan nie jest przedstawiany jako test penetracyjny.

Czy testy są legalne?

Tak, pod warunkiem autoryzacji. Przed rozpoczęciem prac podpisywane jest pisemne zezwolenie określające zakres, adresy i okno czasowe testów. Bez tego dokumentu prace nie są rozpoczynane.

Czy dane pozostają poufne?

Tak. Prace realizowane są na podstawie umowy o zachowaniu poufności (NDA). Dostęp do danych ograniczony jest do niezbędnego minimum, a wyniki i raporty przechowywane są w postaci zaszyfrowanej i usuwane po uzgodnionym okresie retencji.

Ile trwa realizacja i co zawiera raport?

Skan perymetru zajmuje zwykle kilka dni roboczych od rozpoczęcia prac. Raport zawiera priorytetyzację według CVSS, streszczenie dla kadry zarządzającej oraz odwzorowanie wyników na wymogi NIS2. Termin realizacji jest potwierdzany na etapie ustalania zakresu.

Czy po naprawie wykonywany jest retest?

Tak. Retest po wdrożeniu poprawek jest elementem każdego zlecenia i stanowi potwierdzenie skuteczności wprowadzonych napraw.

W jakiej formie prowadzona jest działalność?

Usługi świadczone są w ramach zarejestrowanej działalności gospodarczej (Securember) i dokumentowane fakturami VAT.

Zakres dopasowany do organizacji

Konsultacja wstępna obejmuje omówienie architektury, wymogów regulacyjnych i możliwych wariantów zakresu prac.

Umów konsultację