Testy penetracyjne IT · OT · Chmura

Sprawdzamy, zanim sprawdzi ktoś inny.

Profesjonalne testy penetracyjne infrastruktury IT, aplikacji, chmury i systemów przemysłowych OT/SCADA. Znajdujemy luki, zanim wykorzysta je atakujący.

Zamów bezpłatną konsultację Poznaj zakres usług ↓
7 kategorii testów
OT / ICS / SCADA
Zgodność z NIS2
Dlaczego testy penetracyjne

Nie wiesz, czego nie wiesz.

Firmy inwestują w firewalle, antywirusy i szkolenia. Ale bez regularnych testów penetracyjnych — nie wiedzą, czy to naprawdę działa.

Fałszywe poczucie bezpieczeństwa

Posiadanie zabezpieczeń to nie to samo co bycie bezpiecznym. 60% firm, które padły ofiarą ataku, miało „kompletne" systemy ochrony. Pentest pokazuje prawdę — bez filtrów i marketingu.

Regulacje wymagają testów

Dyrektywa NIS2, Ustawa o KSC, normy branżowe (PCI DSS, ISO 27001) — coraz więcej przepisów wymaga regularnych testów bezpieczeństwa. Brak testów = brak zgodności = ryzyko kar.

Atakujący nie czekają

Średni czas od pojawienia się krytycznej podatności do pierwszego exploita to 15 dni. Pytanie nie brzmi „czy ktoś spróbuje" — tylko „kiedy i czy będziesz gotowy".

Zakres usług

Pełne spektrum testów bezpieczeństwa.

Od aplikacji webowych po systemy sterowania przemysłowego. Każdy test dopasowujemy do specyfiki Twojej organizacji.

Aplikacje webowe

Web App Pentest

Kompleksowe testy bezpieczeństwa aplikacji internetowych zgodnie z OWASP Top 10 — logika biznesowa, uwierzytelnianie, autoryzacja, injection.

OWASP Top 10 API REST/GraphQL CVSS

Aplikacje mobilne

Mobile App Pentest

Testy Android i iOS — analiza statyczna i dynamiczna, przechowywanie danych, komunikacja sieciowa, certificate pinning.

Android / iOS OWASP Mobile Reverse eng.

Infrastruktura IT

Network / AD Pentest

Testy sieci wewnętrznych i zewnętrznych, serwerów, Active Directory — od rekonesansu po eskalację uprawnień i lateral movement.

Active Directory Kerberoasting Segmentacja

Środowiska chmurowe

Cloud Pentest

AWS, Azure, GCP — audyt IAM, storage, konfiguracji kontenerów, sieci wirtualnych i ścieżek eskalacji uprawnień.

AWS / Azure / GCP IAM Kubernetes

Red Teaming

Adversary Simulation

Pełna symulacja ataku APT — OSINT, phishing, socjotechnika, próby fizycznego dostępu. Testujemy systemy, ludzi i procedury reagowania.

OSINT Phishing Kill Chain

Audyt konfiguracji i kodu

Config & Code Review

Przegląd bezpieczeństwa konfiguracji systemów, hardening serwerów, statyczna analiza kodu źródłowego (SAST), benchmarki CIS.

SAST CIS Benchmarks Hardening

Pentesty OT / ICS / SCADA

Industrial Control Systems Security

Bezpieczeństwo systemów sterowania przemysłowego wymaga specjalistycznego podejścia. Standardowe narzędzia IT mogą uszkodzić wrażliwe urządzenia OT. Realizujemy testy w oparciu o normy IEC 62443, z pełnym poszanowaniem dostępności i ciągłości procesów.

Energetyka Wodociągi Produkcja Transport Ciepłownictwo Infrastruktura krytyczna

Zakres testów OT

Mapowanie i inwentaryzacja sieci OT
Testy protokołów przemysłowych (Modbus, DNP3, OPC-UA, Profinet, EtherNet/IP)
Weryfikacja segmentacji IT/OT (model Purdue)
Testy odporności sterowników PLC/RTU na ataki
Analiza wektorów ataku z sieci IT do OT
Bezpieczeństwo systemów HMI i SCADA
Zgodność z IEC 62443 i wymaganiami NIS2
Proces

Od briefingu do bezpieczeństwa.

Każdy test ma jasny plan, zakres i rezultat. Bez niespodzianek.

1

Konsultacja i scoping

Bezpłatna rozmowa, w której ustalamy cel, zakres i ograniczenia testu. Definiujemy co testujemy, jak testujemy i czego oczekujesz w raporcie.

2

Planowanie i rekonesans

Przygotowanie środowiska testowego, zbieranie informacji, ustalenie wektorów ataku i harmonogramu prac.

3

Testowanie

Aktywne testy bezpieczeństwa — manualne i z użyciem specjalistycznych narzędzi. Każda znaleziona podatność jest weryfikowana i dokumentowana.

4

Raport

Szczegółowy raport z opisem każdej podatności, klasyfikacją ryzyka (CVSS), dowodami proof-of-concept i konkretnymi rekomendacjami naprawczymi. Gotowy do przedstawienia zarządowi lub audytorom.

5

Omówienie wyników

Spotkanie prezentujące wyniki testu. Wyjaśniamy każdą podatność, omawiamy priorytety naprawcze i odpowiadamy na pytania.

6

Retesty (opcjonalnie)

Po wdrożeniu poprawek weryfikujemy, czy podatności zostały skutecznie usunięte.

Dlaczego my

Testy z głową, nie z szablonu.

Każde środowisko jest inne. Dobieramy zakres, metodologię i specjalistów do konkretnego problemu — nie odwrotnie.

Specjalizacja OT i infrastruktura krytyczna

Nie ograniczamy się do IT. Organizujemy testy systemów przemysłowych OT/ICS/SCADA, protokołów Modbus, DNP3, OPC-UA i środowisk, w których standardowe podejście pentesterskie może wyrządzić więcej szkód niż pożytku. Współpracujemy ze specjalistami, którzy znają te środowiska od podszewki.

Raporty gotowe na audyt

Każda podatność z klasyfikacją CVSS, dowodem proof-of-concept i konkretną rekomendacją naprawczą. Raporty spełniają wymagania NIS2, Ustawy o KSC i standardów branżowych — gotowe do przedstawienia zarządowi, audytorom i regulatorom.

Dopasowani specjaliści

Nie każdy pentest wymaga tego samego zestawu kompetencji. Do testu aplikacji webowej potrzebujesz innego specjalisty niż do audytu Active Directory czy sieci OT. Dobieramy ludzi do zadania — nie odwrotnie.

Polski rynek, polskie przepisy

Znamy polskie regulacje, polską specyfikę branżową i polskie realia biznesowe. Komunikacja po polsku, raporty po polsku, wsparcie bez barier językowych i kulturowych. Docelowo obsługujemy też klientów międzynarodowych.

Najczęstsze pytania

Odpowiedzi na pytania o pentesty.

Ile trwa test penetracyjny?
Zależy od zakresu. Pentest jednej aplikacji webowej to zwykle 5–10 dni roboczych. Test infrastruktury wewnętrznej — 1–3 tygodnie. Pentest OT/SCADA może trwać 2–4 tygodnie ze względu na specyfikę środowiska. Dokładny harmonogram ustalamy na etapie scopingu.
Czy pentest może uszkodzić moje systemy?
Testy planujemy tak, aby zminimalizować ryzyko zakłóceń. Przed rozpoczęciem ustalamy okna serwisowe, wyłączamy z zakresu krytyczne systemy produkcyjne (jeśli to konieczne) i stosujemy kontrolowane metody testowania. W przypadku środowisk OT stosujemy szczególne procedury bezpieczeństwa — nigdy nie testujemy „na żywym organizmie" bez wcześniejszych uzgodnień.
Co zawiera raport z pentestu?
Raport obejmuje: podsumowanie wykonawcze (dla zarządu), szczegółowy opis każdej podatności z klasyfikacją ryzyka (CVSS), dowody proof-of-concept, konkretne rekomendacje naprawcze z priorytetami, oraz podsumowanie zgodności z odpowiednimi normami i regulacjami.
Czym różni się pentest od skanowania podatności?
Skaner podatności to narzędzie automatyczne, które szuka znanych problemów — jak kontrola bezpieczeństwa na lotnisku. Pentest to ręczna, kreatywna praca specjalistów, którzy myślą jak atakujący — szukają nieoczywistych ścieżek, łączą drobne słabości w poważne wektory ataku i weryfikują każdy finding. Skaner może znaleźć otwarte drzwi. Pentester sprawdzi, czy da się wejść oknem.
Jak często powinniśmy robić pentesty?
Rekomendujemy: minimum raz w roku dla infrastruktury i kluczowych aplikacji, po każdej większej zmianie w architekturze lub kodzie, przed wdrożeniem nowych systemów, oraz zgodnie z wymaganiami regulacyjnymi (NIS2, PCI DSS, ISO 27001).
Czy potrzebuję pentestu, skoro mam antywirusa i firewall?
Antywirus chroni przed znanym złośliwym oprogramowaniem. Firewall kontroluje ruch sieciowy. Żadne z tych narzędzi nie sprawdza, czy Twoja aplikacja ma lukę w logice biznesowej, czy Active Directory jest źle skonfigurowane, czy da się eskalować uprawnienia w chmurze. Pentest odpowiada na pytanie: „co się stanie, gdy ktoś przejdzie przez nasze zabezpieczenia?"
Ile kosztuje pentest?
Wycena jest indywidualna i zależy od zakresu, złożoności środowiska i rodzaju testu. Bezpłatna konsultacja pozwala określić zakres i przygotować precyzyjną ofertę. Skontaktuj się z nami — odpowiemy w ciągu 48 godzin.

Porozmawiajmy o bezpieczeństwie Twojej organizacji.

Bezpłatna konsultacja, indywidualna wycena, odpowiedź w 48 godzin.

Kontakt bezpośredni

kontakt@clev.one

Czego się spodziewać

Odpowiedź w ciągu 48 godzin w dni robocze
Bezpłatna konsultacja wstępna
Indywidualna wycena dopasowana do zakresu
Pełna poufność — NDA na życzenie