Ocena podatności IT
Ocena podatności IT bada Twoją zewnętrzną powierzchnię ataku - porty, usługi, pocztę i aplikacje webowe - i mapuje znane słabości z priorytetami CVSS, bez próby ich eksploatacji (to odróżnia ją od pentestu). W CyberCerber realizuje ją CyberAudyt: stała cena 2 900 zł, raport po polsku w 5 dni roboczych.
Metodyka, którą znasz z norm i standardów
Co to jest
Nie potrzebujesz wszystkich trzech od razu. Każdy poziom odpowiada na inne pytanie o Twoją infrastrukturę - i każdy ma inną cenę i głębokość. Szczegóły w porównaniach: PreScan vs ocena podatności vs pentest oraz ocena podatności vs pentest. Definicja terminu: ocena podatności w słowniku.
„Co widać o Tobie z internetu?”
Pasywny skan powierzchni ataku - DNS, certyfikaty, otwarte porty, wycieki haseł. Bez logowania do Twoich systemów, bez instalacji niczego. Bezpłatny, wynik w 24 godziny.
„Które słabości naprawdę masz i co naprawić najpierw?”
Aktywny skan połączony z ręczną weryfikacją OWASP Top 10. Wynik to mapa podatności z priorytetami CVSS i plan naprawczy. Nie próbujemy eksploatować luk - mapujemy je.
„Czy obrona wytrzyma realny atak?”
Kontrolowane próby eksploatacji wybranych podatności. Dla podmiotów regulowanych albo gdy klient korporacyjny wprost wymaga dowodu skuteczności. Zwykle dopiero po dwóch cyklach oceny podatności.
Zakres oceny
Mapujemy, co Twoja firma publikuje do internetu: subdomeny, otwarte porty, usługi zdalnego dostępu (RDP, VPN, panele administracyjne) i wersje oprogramowania. Otwarty pulpit zdalny i niezałatana usługa to dwie najczęstsze drogi wejścia ransomware.
Ręcznie weryfikujemy strony i aplikacje webowe pod kątem listy OWASP Top 10 - przestarzałe CMS-y i wtyczki, błędy konfiguracji, wystawione panele logowania. Sam automat tego nie rozstrzyga; ocena podatności łączy skan z weryfikacją człowieka.
Sprawdzamy konfigurację SPF, DKIM i DMARC Twojej domeny. Bez nich ktoś podszyje się pod Twój adres i wyśle do klienta albo księgowej maila „ze zmienionym numerem konta”. To najczęstszy pierwszy krok w oszustwach na przelew (BEC).
Sprawdzamy adresy firmowe w bazach wycieków (klasycznych i z dark webu). Jedno ujawnione hasło, używane ponownie w kilku usługach, to zwykle otwarta droga do systemu, poczty albo rezerwacji.
Weryfikujemy ważność certyfikatów, słabe szyfry i konfigurację HTTPS. Wygasły certyfikat albo stary protokół to nie tylko ostrzeżenie w przeglądarce - to realne okno na podsłuch i podszycie.
Sprawdzamy, czy kopia zapasowa nie jest bezpośrednio osiągalna z internetu - a przez to podatna na zaszyfrowanie razem z resztą danych. Backup, którego nikt nie przetestował pod kątem odtworzenia, to nie backup, tylko nadzieja.
Rezultaty
Stały zakres - wiesz dokładnie, co dostajesz, zanim zapłacisz.
Przebieg
Podajesz domenę i zakres (strona, poczta, infrastruktura). Ustalamy okno skanu. Nie potrzebujemy dostępu do Twoich systemów.
Automatyczny skan łączymy z ręczną weryfikacją priorytetowych ustaleń wg OWASP Top 10. Bez prób eksploatacji, bez obciążania Twojej sieci.
Dostajesz raport: streszczenie dla zarządu, listę podatności z priorytetami CVSS i plan naprawczy. Bez żargonu w częściach, które są dla Ciebie.
Przechodzimy przez wyniki punkt po punkcie. Tłumaczymy, co naprawić najpierw i jakim nakładem. Naprawę robi Twój informatyk - bez lock-inu.
Po usunięciu podatności sprawdzamy ponownie, czy naprawy zadziałały - za połowę ceny CyberAudyt. Dowód dla Ciebie, klienta i regulatora.
Zgodność
Art. 32 RODO wymaga środków technicznych adekwatnych do ryzyka oraz regularnego testowania ich skuteczności. Zewnętrzna ocena podatności to najprostszy sposób, by wykazać, że ten obowiązek realizujesz. Więcej w przewodniku RODO i bezpieczeństwo danych.
Art. 21 dyrektywy NIS2 wymaga „oceny skuteczności środków zarządzania ryzykiem”. Dla większości MŚP spełnia to ocena podatności; pentest dodajesz dopiero, gdy audytor albo klient korporacyjny wprost go wskaże. Kontekst w przewodniku NIS2 / UKSC.
Cennik
Zaczynasz za darmo. Płacisz tylko, jeśli jest co naprawiać. Cena CyberAudyt jest stała - niezależnie od liczby usług online, subdomen czy lokalizacji. Pełny cennik pakietów.
wynik w 24 h
Pasywny skan zewnętrzny. Pokazujemy, co widać z internetu - bez dostępu z Twojej strony. Odpowiada na pytanie „czy w ogóle jest się czym martwić”.
raport w 5 dni roboczych
Pełna ocena podatności z ręczną weryfikacją OWASP Top 10, lista CVSS, raport po polsku i 30-minutowa rozmowa. Stała cena niezależnie od liczby usług online i subdomen.
po wdrożeniu poprawek
Połowa ceny CyberAudyt dla firm, które już go przeszły. Potwierdzamy, że naprawy faktycznie zamknęły luki - dowód dla Ciebie, klienta korporacyjnego albo audytora.
Stała cena - bez stawek godzinowych, bez niespodzianek. Podmiot regulowany albo wymóg klienta korporacyjnego: dostępny pełny pentest (14 900 zł).
Gwarancja: jeśli CyberAudyt nie wskaże co najmniej 3 konkretnych ustaleń do naprawy - nie płacisz nic.
Dla Twojej branży
Raport CyberAudyt zawiera część skrojoną pod Twój system. Prowadzisz gabinet, biuro rachunkowe albo klinikę? Mamy dedykowaną stronę usługi.
System gabinetowy (CGM, Estomed, Kamsoft Dent), stacje RTG/PACS i poczta. Zobacz →
ERP (Comarch, Enova, Symfonia), ochrona przed BEC i konfiguracja poczty pod KSeF. Zobacz →
Rezerwacje online (Booksy, Versum), zdjęcia pacjentek i dane szczególnej kategorii. Zobacz →
Pytania, które słyszymy najczęściej
Wysyłasz nam tylko nazwę domeny. W 24 godziny pokazujemy, co widzi atakujący. Jeśli nic poważnego - zatrzymujesz raport i znikamy. Jeśli widać problemy - kolejny krok to pełna ocena podatności (CyberAudyt) w stałej cenie. Bez presji, bez abonamentu.
Bez karty. Bez dostępu do Twoich systemów. Bez miesięcznych opłat.