Služby Compliance O nás Zákazníci Napísať nám
SK|EN
Späť na služby
06 — Skenovanie zraniteľností

Sken zraniteľnosti

Neviete, čo neviete. Sken zraniteľnosti odhalí kritické bezpečnostné medzery vo vašej infraštruktúre skôr, ako ich nájdu útočníci — a pre organizácie pod ZKB je povinný.

ZKB povinnosť
Zákonná požiadavka pre subjekty ZKB
Hardware sonda
Fyzické zariadenie pre internú sieť
CVE & CVSS
Prioritizácia podľa závažnosti
Čo zahŕňa

Kompletný cyklus skenovania a nápravy

Od dodávky sondy po verifikačný sken po náprave — pokrývame celý proces identifikácie, prioritizácie a reportovania zraniteľností vašej infraštruktúry.

Dodávka skenovacej sondy
Fyzické alebo virtuálne zariadenie nasadené do vašej internej siete pre autentifikované skenovanie bez závislosti od perimetra.
Úvodný komplexný sken
Prvotné kompletné skenovanie celej IP infraštruktúry — servery, sieťové zariadenia, workstation, OT/IoT zariadenia.
CVE identifikácia s CVSS skóre
Každá nájdená zraniteľnosť je mapovaná na CVE záznam s CVSS v3 skóre — objektívna miera závažnosti podľa štandardu NIST.
Pravidelné opakované skeny
Mesačné alebo štvrťročné skeny podľa požiadaviek ZKB/NIS2 — kontinuálne monitorovanie nových zraniteľností v prostredí.
Rozdielová analýza
Porovnanie výsledkov medzi skenmi — prehľad nových, vyriešených a pretrvávajúcich zraniteľností za dané obdobie.
Prioritizácia zraniteľností
Zraniteľnosti zoradené podľa CVSS skóre, aktívneho zneužívania (CISA KEV) a kontextu infraštruktúry pre efektívnu nápravu.
Manažérska správa
Prehľadný report pre vedenie s vizualizáciou bezpečnostného skóre, trendom a odporúčaniami bez technického žargónu.
Technický report
Detailný technický výstup pre IT tím — každá zraniteľnosť s CVE, popisom, dopadom, postihnutými systémami a krokom nápravy.
Verifikačný sken
Overovací sken po realizácii nápravy — potvrdenie odstránenia zraniteľností a vydanie verifikačného certifikátu.
Evidencia zraniteľností
Vedenie centrálnej evidencie zraniteľností s históriou, stavom nápravy a zodpovednými osobami pre audit traily.
Compliance reporty ZKB/NIS2
Reporty priamo adresujúce požiadavky Vyhlášky 362/2018 a NIS2 — pripravené pre predloženie regulátorovi alebo audítorovi.
Konzultácia k náprave
Technická konzultácia k prioritizácii a spôsobu nápravy kritických zraniteľností — vrátane odporúčaní pre patch management.
Pre koho

Kto sken zraniteľnosti potrebuje

  • Organizácie podliehajúce ZKB (zákon č. 69/2018) — sken je explicitná zákonná povinnosť
  • NIS2 kľúčové a dôležité subjekty povinné implementovať hodnotenie rizík
  • Finančné inštitúcie podliehajúce DORA s požiadavkou na ICT risk management
  • Firmy certifikujúce sa podľa ISO 27001 s povinným risk assessment procesom
  • Organizácie s komplexnou IT infraštruktúrou bez systematickej správy zraniteľností
  • Spoločnosti po bezpečnostnom incidente hľadajúce vstupné body útoku
Problémy, ktoré riešime

Čo sa stane bez skenovania

  • Kritické CVE zraniteľnosti v produkcii neodhalené mesiace — ideálny vstupný bod pre ransomvér
  • ZKB alebo NIS2 audit odhalí absenciu evidencie zraniteľností a histórie skenov
  • Zastaraný softvér s verejne dostupnými exploitmi aktívne zneužívanými útočníkmi
  • ISO 27001 certifikačný audit zlyhá kvôli chýbajúcemu risk assessment procesu
  • Incident response po útoku odhalí zraniteľnosť, ktorú sken by detegoval mesiace skôr
  • Regulátor uloží pokutu za nedodržanie povinnosti hodnotenia bezpečnostných rizík
Regulačné požiadavky

Sken zraniteľnosti ako zákonná povinnosť

Pre subjekty pod ZKB je pravidelné hodnotenie zraniteľností explicitne vyžadované vyhláškou. Pre NIS2 a ISO 27001 je súčasťou povinného risk management procesu.

ZKB
Zákon č. 69/2018 + Vyhláška 362/2018
Vyhláška NBÚ č. 362/2018 vyžaduje od základných služieb implementáciu hodnotenia zraniteľností sietí a informačných systémov vrátane pravidelného skenovania.
NIS2
Smernica (EÚ) 2022/2555
NIS2 vyžaduje od kľúčových a dôležitých subjektov hodnotenie rizík a zraniteľností ako súčasť technických opatrení podľa článku 21 — pravidelne a zdokumentovane.
ISO 27001
Risk Assessment — Príloha A.8
ISO/IEC 27001:2022 vyžaduje identifikáciu, analýzu a hodnotenie rizík informačnej bezpečnosti vrátane systematického skenovania zraniteľností ako vstupného procesu.

Zistite, čo útočníci vedia o vašej sieti

Kontaktujte nás pre bezplatnú konzultáciu. Navrhneme plán skenovania prispôsobený vašej infraštruktúre a regulačným požiadavkám.

Napísať nám