Katalog usług
Każde zlecenie kończy się raportem z priorytetyzacją ryzyk, rekomendacjami napraw i retestem. Zakres i metodyka są uzgadniane przed rozpoczęciem prac.
Testy penetracyjne
Kontrolowany atak prowadzony ręcznie - podatności łączone w ścieżki, nie lista z automatu.
Aplikacje webowe i API
OWASP WSTG/ASVS, uwierzytelnianie, logika biznesowa, REST i GraphQL.
Infrastruktura zewnętrzna i wewnętrzna
Perymetr, segmentacja sieci, eskalacja uprawnień, ruch boczny.
Aplikacje mobilne
iOS i Android wg OWASP MASVS, pamięć lokalna, komunikacja z backendem.
Aplikacje desktop / thick client
Analiza klienta, protokołów i lokalnych mechanizmów ochrony.
Active Directory / Entra ID
Ścieżki ataku, ADCS, delegacje, drogi do przejęcia domeny.
Sieci Wi-Fi
Audyt sieci bezprzewodowych, rogue AP, izolacja sieci gościnnych.
Chmura i konfiguracja
Błędna konfiguracja to dziś częstsza droga włamania niż exploit. Przeglądy wg benchmarków CIS i dobrych praktyk dostawców.
Przegląd konfiguracji AWS / Azure / GCP
IAM, publiczne ekspozycje, logowanie, sieć.
Microsoft 365 / Entra ID
Conditional Access, Exchange, uprawnienia aplikacji.
Kubernetes i kontenery
Konfiguracja klastra, obrazy, sekrety, izolacja obciążeń.
Hardening serwerów i stacji
Przegląd konfiguracji systemów wg CIS Benchmarks.
Przegląd kodu źródłowego
Security code review krytycznych modułów aplikacji.
Przegląd architektury
Threat modeling nowych systemów przed wdrożeniem produkcyjnym.
Rozpoznanie i stały nadzór
Widok na organizację z perspektywy napastnika - jednorazowo albo jako ciągły program.
Skan podatności perymetru
Zewnętrzne IP i usługi, manualna walidacja krytycznych ekspozycji.
Powierzchnia ataku / OSINT
Subdomeny, wycieki, shadow IT, ekspozycja pracowników.
Zarządzanie podatnościami (abonament)
Cykliczne skany, śledzenie napraw, raporty trendów dla zarządu.
Monitoring wycieków poświadczeń
Firmowe hasła i tokeny w wyciekach, na forach i w combo-listach.
Ludzie i zgodność
Czynnik ludzki i wymogi regulacyjne - dwa obszary, które warto obsłużyć równolegle.
Kampanie phishingowe
Kontrolowana socjotechnika z oceną reakcji zespołu.
Szkolenia security awareness
Warsztaty dla zespołów i sesje OWASP dla developerów.
NIS2 / KSC gap analysis
Środki z art. 21 zmapowane na stan faktyczny, z planem dojścia.
Wsparcie po teście / doradztwo
Priorytetyzacja i pomoc we wdrażaniu napraw, opcja retainera.
AI / LLM red teaming
Testy odporności modeli, agentów i integracji AI: prompt injection, jailbreaki, exfiltracja danych przez narzędzia, bezpieczeństwo serwerów MCP i pipeline'ów RAG. Zaplecze badawcze: doktorat w toku z zakresu adversarial ML.
Przebieg współpracy
Rozmowa i zakres
Ustalenie celu, granic i metodyki testu.
Autoryzacja
Pisemne zezwolenie na prowadzenie testów.
Testy i walidacja
Prace techniczne z manualną weryfikacją wyników.
Raport i retest
Priorytety, rekomendacje i weryfikacja napraw.
Najczęstsze pytania
Czym różni się skan podatności od testu penetracyjnego?
Skan identyfikuje znane podatności w sposób zautomatyzowany; każdy wynik podlega następnie walidacji manualnej, która eliminuje fałszywe alarmy i potwierdza realne ryzyko. Test penetracyjny idzie dalej - łączy podatności w ścieżki ataku i weryfikuje ich rzeczywiste skutki. Rodzaj zlecenia jest zawsze określany wprost; skan nie jest przedstawiany jako test penetracyjny.
Czy testy są legalne?
Tak, pod warunkiem autoryzacji. Przed rozpoczęciem prac podpisywane jest pisemne zezwolenie określające zakres, adresy i okno czasowe testów. Bez tego dokumentu prace nie są rozpoczynane.
Czy dane pozostają poufne?
Tak. Prace realizowane są na podstawie umowy o zachowaniu poufności (NDA). Dostęp do danych ograniczony jest do niezbędnego minimum, a wyniki i raporty przechowywane są w postaci zaszyfrowanej i usuwane po uzgodnionym okresie retencji.
Ile trwa realizacja i co zawiera raport?
Skan perymetru zajmuje zwykle kilka dni roboczych od rozpoczęcia prac. Raport zawiera priorytetyzację według CVSS, streszczenie dla kadry zarządzającej oraz odwzorowanie wyników na wymogi NIS2. Termin realizacji jest potwierdzany na etapie ustalania zakresu.
Czy po naprawie wykonywany jest retest?
Tak. Retest po wdrożeniu poprawek jest elementem każdego zlecenia i stanowi potwierdzenie skuteczności wprowadzonych napraw.
W jakiej formie prowadzona jest działalność?
Usługi świadczone są w ramach zarejestrowanej działalności gospodarczej (Securember) i dokumentowane fakturami VAT.
Zakres dopasowany do organizacji
Konsultacja wstępna obejmuje omówienie architektury, wymogów regulacyjnych i możliwych wariantów zakresu prac.
Umów konsultację