Cum lucrăm
Acolo unde testul de penetrare este punctual și adversarial, evaluarea vulnerabilităților este continuă și structurală. Te ajutăm să ridici un program RBVM (Risk-Based Vulnerability Management) deținut de echipa ta, care rulează pe scannerele tale, se integrează cu sistemul de ticketing și produce probă la cerere. Programul este alimentat de Centraleyezer, platforma RBVM pe care o construim, ce scorează findings-urile după contextul tău de business — nu după CVSS brut.
Rezultate
- Un singur backlog de findings de la toți scannerii, deduplicate și contextualizate
- Prioritizare bazată pe risc, ca inginerii să se concentreze pe 5% findings care chiar amenință business-ul
- Workflow-uri de remediere cu SLA și pistă completă de audit
- Rapoarte executive, CISO și tehnice generate la cerere
Livrabile
- Document de proiectare a programului RBVM
- Implementare Centraleyezer (SaaS sau self-hosted)
- Integrări de scannere (Nessus, Qualys, Tenable, Rapid7, AWS Inspector, OpenVAS etc.)
- Template-uri DOCX custom per stakeholder
- Review trimestrial al programului
Engagement Workspace · 90 de zile gratuit
Inclus în acest angajament: o instanță Centraleyezer SaaS pentru 90 de zile, din care îți generezi rapoartele la cerere. La final o închizi (livrabilele DOCX/PDF + scrisoarea de atestare rămân la tine) sau o extinzi ca abonament SaaS plătit.
Întrebări frecvente
Cum diferă față de a rula Nessus singur?
Un scanner produce findings. Un program de vulnerabilități e modelul operațional din jurul scanner-ului: deduplicare între scannere, prioritizare contextuală pe risc de business, remediere cu SLA, gestionarea excepțiilor și proba de audit. Noi ridicăm acest model — tipic alimentat de Centraleyezer — și îl operăm cu tine cât e nevoie.
Ce scannere integrați?
Nessus Professional, Tenable.io / Tenable SC, Qualys VMDR, Rapid7 InsightVM, Burp Suite Enterprise, Acunetix, AWS Inspector, Trivy, Shodan, SSL Labs, Wazuh, Detectify, Harbor, AgentSec, HCL AppScan, Red Hat Satellite, Censys, Invicti, CIS-CAT Pro, OpenVAS / Greenbone — plus REST API pentru surse custom.
Centraleyezer e obligatoriu?
Nu. Programul de vulnerabilități poate rula peste tooling-ul tău existent — am ridicat programe pe Jira, ServiceNow și Wiz când asta a fost alegerea potrivită. Pe lângă asta, fiecare angajament Sandline (pentest, red team, vulnerability assessment, IR) include Engagement Workspace — o instanță Centraleyezer SaaS gratuită timp de 90 de zile, din care îți generezi rapoartele la cerere. După cele 90 de zile, instanța se poate extinde ca abonament SaaS plătit dacă vrei să continui; altfel, deployment-ul se închide și livrabilele (DOCX/PDF + scrisoare de atestare) rămân la tine.
Cum se scorează riscul?
Șase factori: DREAD, criticitatea activelor, expunerea pe rețea, exploitability în mediul tău, semnale CTI și un Human-AI feedback loop calibrat pe pattern-urile reale de răspuns ale echipei. CVSS, EPSS și CISA KEV sunt ingerate pentru trasabilitate, dar nu sunt input-uri de scoring.