ZASOBY // SŁOWNIK
Kluczowe pojęcia w wywiadzie open source, cyberbezpieczeństwie i analizie stron internetowych — zdefiniowane zarówno dla odbiorców technicznych, jak i biznesowych.
Zbieranie informacji wywiadowczych, które obejmuje bezpośrednią interakcję z systemem docelowym — skanowanie portów, badanie podatności, testowanie uwierzytelniania. W przeciwieństwie do pasywnego rozpoznania, aktywne rozpoznanie może zostać wykryte przez cel i może mieć konsekwencje prawne przy braku autoryzacji.
Zobacz także: Pasywne rozpoznanie
Unikalny identyfikator przydzielany operatorowi sieci (ISP, dostawcy hostingu, przedsiębiorstwu) w celu routowania ruchu internetowego. Wyszukiwanie ASN ujawnia, która organizacja kontroluje dany adres IP, jej zasięg geograficzny oraz relacje peeringowe — przydatne do zrozumienia decyzji hostingowych i topologii infrastruktury.
Grupa zagrożeń sponsorowana lub powiązana ze państwem, prowadząca długotrwałe, ukierunkowane operacje cybernetyczne przeciwko określonym sektorom lub organizacjom. Grupy APT są przypisywane państwom przez rządowe organy ds. cyberbezpieczeństwa i agencje wywiadowcze na podstawie obserwowanych taktyk, infrastruktury i wzorców celowania. Oznaczenia APT (np. APT28, APT41, Lazarus Group) są monitorowane przez organizacje, w tym MITRE ATT&CK, BSI (German Federal Office for Information Security) oraz międzynarodowe społeczności CERT. W zewnętrznych ocenach powierzchni ataku mapowanie krajobrazu zagrożeń APT identyfikuje, które grupy sponsorowane przez państwo mają udokumentowaną działalność skierowaną przeciwko sektorowi przemysłowemu organizacji, dostarczając kontekst dla strategicznych decyzji ryzykownych.
Całkowity zestaw punktów, w których nieautoryzowany użytkownik może próbować uzyskać dostęp lub wyodrębnić dane z systemu. W wywiadzie o stronach internetowych zewnętrzna powierzchnia ataku obejmuje wszystkie publicznie widoczne punkty końcowe, subdomeny, otwarte porty, udostępnione API oraz źle skonfigurowane usługi. Redukcja powierzchni ataku jest podstawowym celem zarządzania postawą bezpieczeństwa.
Geograficznie rozproszona sieć serwerów, która dostarcza treści internetowe użytkownikom w zależności od ich bliskości. Do najpopularniejszych CDN‑ów należą Cloudflare, Akamai i AWS CloudFront. Wykrywanie CDN ujawnia poziom inwestycji w infrastrukturę i może wskazywać na geograficzny rozkład odbiorców docelowego podmiotu.
Publiczny system rejestrowania, który zapisuje wszystkie certyfikaty SSL/TLS wydane przez urzędy certyfikacji. Badacze bezpieczeństwa wykorzystują logi CT do wykrywania subdomen, wewnętrznych nazw projektów, środowisk testowych oraz wzorców infrastruktury — często ujawniając informacje, których organizacja nie zamierzała udostępniać publicznie.
W jednej ocenie same logi CT ujawniły ponad 520 subdomen głównej platformy finansowej, w tym wewnętrzne kody nazw projektów.
Oprogramowanie służące do tworzenia i zarządzania treścią witryny — WordPress, Shopify, Drupal, Webflow i inne. Wykrywanie CMS jest podstawowym sygnałem w analizie witryn, ujawniającym wybory technologiczne, potencjalne luki (specyficzne dla wersji) oraz dojrzałość operacyjną.
Rozporządzenie UE ustanawiające obowiązkowe wymagania w zakresie cyberbezpieczeństwa dla produktów z elementami cyfrowymi — sprzętem, oprogramowaniem i podłączonymi urządzeniami sprzedawanymi na rynku europejskim. CRA wymaga od producentów i dystrybutorów wdrożenia zasad security‑by‑design, zapewnienia procesów obsługi podatności oraz zgłaszania aktywnie wykorzystywanych podatności w ciągu 24 godzin. Niezastosowanie się skutkuje karami sięgającymi do 15 mln € lub 2,5 % globalnego rocznego obrotu. Kluczowy termin: wrzesień 2026 r. – pełne obowiązywanie.
Ustandaryzowany identyfikator publicznie znanych luk w bezpieczeństwie cybernetycznym (np. CVE-2024-2473). Każdy CVE posiada ocenę ryzyka (CVSS) oraz opis. Inteligencja witryny internetowej krzyżowo odwołuje wykryte wersje oprogramowania do baz danych CVE, aby zidentyfikować potencjalne narażenie.
Numeryczny system oceny (0.0–10.0), który klasyfikuje stopień powagi podatności bezpieczeństwa. Wyniki powyżej 7.0 są uznawane za wysoką powagę, a powyżej 9.0 za krytyczną. Wyniki CVSS pomagają priorytetyzować naprawy w oparciu o rzeczywistą możliwość wykorzystania oraz potencjalny wpływ.
Całkowity ślad danych, który organizacja lub osoba pozostawia w Internecie — strony internetowe, rekordy DNS, profile w mediach społecznościowych, repozytoria kodu, rejestracje certyfikatów oraz historyczne archiwa internetowe. Pasywna rozpoznawcza mapuje ten odcisk, nie tworząc nowych śladów.
System, który tłumaczy przyjazne dla człowieka nazwy domen (example.com) na adresy IP. Rekordy DNS (A, MX, TXT, CNAME, NS) są bogatym źródłem informacji — ujawniając dostawców poczty, infrastrukturę hostingową, integracje usług trzecich oraz rekordy weryfikacji domen dla narzędzi SaaS.
Protokół uwierzytelniania e‑mail, który informuje serwery pocztowe odbierające, jak postępować z wiadomościami, które nie przeszły kontroli SPF lub DKIM. Polityka DMARC "reject" wskazuje na dojrzałe zabezpieczenia poczty elektronicznej; "none" oznacza, że domena może być łatwo podszywana w atakach phishingowych.
Rozporządzenie UE mające zastosowanie do podmiotów finansowych — banków, firm ubezpieczeniowych, firm inwestycyjnych, dostawców usług płatniczych oraz ich krytycznych dostawców usług ICT świadczonych przez podmioty trzecie. Obowiązujące od stycznia 2025 r., DORA nakłada obowiązek kompleksowych ram zarządzania ryzykiem ICT, raportowania incydentów w ściśle określonych terminach, testowania cyfrowej odporności operacyjnej oraz nadzoru nad ryzykiem podmiotów trzecich. W przeciwieństwie do NIS2, DORA jest rozporządzeniem (stosowanym bezpośrednio), a nie dyrektywą, i koncentruje się wyłącznie na odporności operacyjnej cyfrowej infrastruktury sektora finansowego.
Proces badania cyfrowej obecności firmy, jej stanu bezpieczeństwa oraz infrastruktury technicznej przed podjęciem decyzji biznesowej — M&A, partnerstwa, wyboru dostawcy lub inwestycji. Inteligencja witryn internetowych automatyzuje techniczny komponent cyfrowej due diligence, wyodrębniając ponad 150 sygnałów z danych publicznych.
Ciągły proces odkrywania, inwentaryzacji, klasyfikacji i monitorowania zasobów organizacji dostępnych w Internecie — w tym zasobów, o których organizacja może nie wiedzieć, że je posiada. EASM wykracza poza tradycyjne skanowanie podatności, łącząc wykrywanie poddomen, analizę przejrzystości certyfikatów, wykrywanie infrastruktury chmurowej, enumerację wystawionych interfejsów API oraz mapowanie usług stron trzecich w jednolitą wizję zewnętrznej widoczności. Skuteczne EASM stanowi podstawę zgodności regulacyjnej w ramach CRA, NIS2 i DORA, demonstrując ciągły monitoring bezpieczeństwa.
Zobacz także: Powierzchnia ataku, CRA
Część powierzchni ataku organizacji, widoczna z publicznego internetu — serwery WWW, rekordy DNS, wystawione usługi, subdomeny i publiczne API. Zarządzanie zewnętrzną powierzchnią ataku (EASM) polega na ciągłym monitorowaniu i ograniczaniu tego narażenia.
Rozporządzenie UE regulujące ochronę danych osobowych. W ramach inteligencji witryn internetowych sygnały zgodności z GDPR obejmują mechanizmy zgody na pliki cookie, jakość polityki prywatności, wdrożenie praw podmiotów danych oraz przejrzystość przetwarzania danych. Brak zgodności stanowi zarówno ryzyko prawne, jak i wskaźnik szansy sprzedażowej.
Nagłówek bezpieczeństwa, który instruuje przeglądarki, aby łączyły się wyłącznie przez HTTPS, zapobiegając atakom typu downgrade. HSTS z preload i includeSubDomains wskazuje na wysoką świadomość bezpieczeństwa. Jego brak jest negatywnym sygnałem bezpieczeństwa wykrywalnym w trakcie pasywnego rozpoznania.
Złośliwe oprogramowanie zaprojektowane do zbierania danych uwierzytelniających, plików cookie i tokenów sesji z zainfekowanych urządzeń. Logi Infostealer są handlowane na rynkach dark web i zawierają nazwy użytkowników, hasła oraz adresy URL — co czyni je głównym źródłem informacji o wyciekach danych uwierzytelniających.
Ustrukturyzowany proces tworzenia użytecznego wywiadu: definiowanie wymagań → zbieranie → przetwarzanie → analiza → raportowanie → informacja zwrotna. Profesjonalne operacje OSINT podążają za tym cyklem, aby zapewnić spójność, dokładność i istotność wyników.
Zobacz: Nasza Metodologia
Proces identyfikacji i dokumentacji technicznej infrastruktury organizacji — serwerów, zakresów IP, dostawców hostingu, topologii DNS, konfiguracji CDN oraz architektury usług. Pasywne mapowanie infrastruktury wykorzystuje dane DNS, certyfikaty i informacje WHOIS, nie ingerując w systemy docelowe.
Metodologia klasyfikacji potencjalnych klientów w oparciu o ich prawdopodobieństwo konwersji. W wywiadzie internetowym lead scoring wykorzystuje publiczne sygnały — głębokość stosu technologicznego, luki w zabezpieczeniach, status zgodności oraz wskaźniki biznesowe — aby przydzielić oceny od A do F, które prognozują potencjał transakcji i rekomendują podejścia do zaangażowania.
Zobacz: Lead Scoring From Public Data
Praktyka wzajemnego porównywania wywiadu pochodzącego z wielu niezależnych źródeł przed zgłoszeniem wyników. Sygnał wykryty jedną metodą jest wskazówką; potwierdzony w trzech niezależnych źródłach staje się wywiadem. Zasada ta zmniejsza liczbę fałszywych alarmów i zwiększa pewność ocen.
Ramowy akt prawny UE (Regulation 2023/1114) ustanawiający kompleksowe zasady dla dostawców usług kryptowalutowych (CASPs). MiCA obejmuje zarządzanie ryzykiem ICT (art. 62), odporność operacyjną (art. 67), ochronę kryptowalut klientów (art. 68), przechowywanie i administrację (art. 75), usługi wymiany (art. 79) oraz obsługę skarg (art. 83). W ocenie zewnętrznej powierzchni ataku mapowanie zgodności z MiCA identyfikuje luki bezpieczeństwa istotne dla organizacji działających w sektorze kryptowalut — od giełd i dostawców portfeli depozytowych po emitentów tokenów.
Zobacz także: DORA
Uaktualniona dyrektywa UE dotycząca cyberbezpieczeństwa, zastępująca pierw…
Ocena numeryczna (0‑100) wskazująca potencjalną wartość biznesową współpracy z potencjalnym klientem, oparta na zidentyfikowanych lukach i potrzebach. Wysokie wskaźniki szansy wskazują na liczne problemy, które można rozwiązać — słabości bezpieczeństwa, luki w zgodności lub dług techniczny — połączone ze sygnałami dotyczącymi budżetu i gotowości organizacyjnej.
Informacje pochodzące z publicznie dostępnych źródeł — stron internetowych, rekordów DNS, mediów społecznościowych, logów certyfikatów, repozytoriów kodu, publicznych baz danych i archiwów internetowych. OSINT jest z definicji legalny, ponieważ wykorzystuje wyłącznie informacje dostępne bez uwierzytelnienia lub autoryzacji. Jest wykorzystywany przez badaczy bezpieczeństwa, organy ścigania, dziennikarzy oraz przedsiębiorstwa na całym świecie.
Zobacz: Passive Reconnaissance 101
Zbieranie informacji poprzez obserwację publicznie dostępnych danych bez żadnej interakcji z systemem docelowym. Brak prób uwierzytelniania, brak przesyłania formularzy, brak aktywnego sondowania. Pasywne rozpoznanie jest niewykrywalne przez cel i w pełni legalne — obserwuje te same dane widoczne w każdej przeglądarce internetowej lub wyszukiwarce.
Algorytmy kryptograficzne zaprojektowane tak, aby oprzeć się atakom zarówno klasycznych, jak i kwantowych komputerów. NIST sfinalizował trzy standardy PQC w sierpniu 2024 r.: ML-KEM (FIPS 203) do enkapsulacji klucza, ML-DSA (FIPS 204) do podpisów cyfrowych oraz SLH-DSA (FIPS 205) do podpisów opartych na funkcjach skrótu. Organizacje stoją pod presją regulacyjną, aby rozpocząć migrację do PQC w ramach terminów CRA, NIS2 i CNSA 2.0, przy pełnym wycofaniu algorytmów podatnych na ataki kwantowe przewidywanym w latach 2030‑2035.
Zobacz także: Threat Score
Strategia przeciwnika, w której zaszyfrowany ruch sieciowy jest przechwytywany i przechowywany już dziś, z zamiarem odszyfrowania go, gdy komputery kwantowe będą w stanie złamać obecne algorytmy kryptograficzne. Zagrożenie to jest szczególnie istotne dla danych o długotrwałych wymaganiach poufności: rekordy finansowe, dane medyczne, własność intelektualna, komunikacja dyplomatyczna oraz tajemnice handlowe. Szacowany czas pomiędzy zebranie a możliwością odszyfrowania wynosi od trzech do dziesięciu lat, co czyni natychmiastową migrację do kryptografii postkwantowej priorytetem zarządzania ryzykiem, a nie jedynie rozważaniem na przyszłość.
Proces sondowania portów sieciowych serwera w celu zidentyfikowania działających usług (serwer WWW na porcie 443, poczta na 25, FTP na 21 itp.). Aktywne skanowanie portów jest wykrywalne; podejścia pasywne wykorzystują historyczne bazy danych skanów do identyfikacji wystawionych usług bez bezpośredniej interakcji.
Praktyka zgłaszania luk bezpieczeństwa organizacji, której dotyczą, przed ich publikacją, dająca czas na ich naprawę. Profesjonalni praktycy OSINT stosują protokoły odpowiedzialnego ujawniania, gdy pasywne rozpoznanie ujawnia krytyczne problemy bezpieczeństwa.
Nagłówki odpowiedzi HTTP, które instruują przeglądarki, jak bezpiecznie obsługiwać treść. Kluczowe nagłówki to Content-Security-Policy (zapobiega XSS), X-Frame-Options (zapobiega clickjackingowi), HSTS (wymusza HTTPS) oraz Permissions-Policy (ogranicza funkcje przeglądarki). Brakujące nagłówki bezpieczeństwa są jednym z najczęstszych ustaleń w ocenie wywiadu internetowego.
Ogólny stan bezpieczeństwa cyfrowych zasobów organizacji, widoczny z zewnątrz — konfiguracja SSL, nagłówki bezpieczeństwa, znane luki, wystawione usługi oraz wskaźniki zagrożeń. Ocena stanu bezpieczeństwa poprzez pasywną rozpoznawalność ujawnia, co atakujący zobaczyłby bez żadnej eksploatacji.
Zautomatyzowana ocena bezpieczeństwa programów samowykonujących się wdrożonych w sieciach blockchain (głównie Ethereum i łańcuchach kompatybilnych z EVM). Analiza statyczna bada kod źródłowy kontraktu pod kątem znanych wzorców podatności bez jego uruchamiania, podczas gdy analiza symboliczna symuluje ścieżki wykonania w celu wykrycia stanów podatnych na atak. Kluczowe klasy podatności obejmują reentrancję (gdy zewnętrzne wywołanie ponownie wchodzi do kontraktu przed zakończeniem aktualizacji stanu), słabości kontroli dostępu, przepełnienia liczb całkowitych oraz niebezpieczne wzorce delegatecall. Analiza wymaga publicznie zweryfikowanego kodu źródłowego — kontrakty bez zweryfikowanego źródła w eksploratorach bloków nie mogą być analizowane na poziomie źródła.
Zobacz także: YARA Rules
Protokoły kryptograficzne zabezpieczające komunikację między przeglądarkami internetowymi a serwerami (litera „S” w HTTPS). Analiza certyfikatów SSL ujawnia organ wydający, daty wygaśnięcia, zakres domen (w tym poddomeny za pomocą wpisów SAN) oraz zapisy w dzienniku przejrzystości certyfikatów — wszystkie cenne sygnały wywiadowcze.
Prefiks domeny, który tworzy oddzielny adres w ramach domeny nadrzędnej (np. mail.example.com, staging.example.com). Enumeracja subdomen przy użyciu rekordów DNS oraz przejrzystości certyfikatów często ujawnia systemy wewnętrzne, środowiska testowe oraz infrastrukturę, której nie przeznaczono do publicznego wykrywania.
Informacje o stosie technologicznym używanym przez firmę — CMS, frameworki, analytics, payment processors, CDN, hosting oraz integracje zewnętrzne. Dane technograficzne są głównym sygnałem dla wywiadu sprzedażowego, ponieważ ujawniają budżet, poziom zaawansowania oraz konkretne potrzeby, które można zaspokoić.
Proces identyfikacji oprogramowania, frameworków i usług działających na stronie internetowej poprzez analizę wzorców HTML, bibliotek JavaScript, nagłówków HTTP oraz innych obserwowalnych wskaźników. Współczesne bazy danych odcisków zawierają ponad 3 000 sygnatur technologicznych.
Kompozycyjna ocena numeryczna (zazwyczaj 0‑100), która agreguje wiele sygnałów bezpieczeństwa w pojedynczy wskaźnik ryzyka. Wskaźniki zagrożenia łączą wyniki reguł wykrywania malware, złośliwe bazy danych URL, wskaźniki podatności oraz analizę konfiguracji bezpieczeństwa. Wyższe wyniki wskazują na większe ryzyko.
Osoba, grupa lub organizacja prowadząca złośliwe działania cybernetyczne. Aktorzy zagrożenia obejmują zarówno grupy przestępcze motywowane finansowo i hacktivistów, jak i państwowo sponsorowane grupy APT prowadzące szpiegostwo, sabotaż lub kradzież własności intelektualnej. W wywiadzie o zagrożeniach aktorzy są klasyfikowani według atrybucji (kraj pochodzenia), motywacji (szpiegostwo, finansowa, ideologiczna), sektorów docelowych (finanse, opieka zdrowotna, obrona, energia) oraz udokumentowanych taktyk mapowanych na ramy takie jak MITRE ATT&CK. Zrozumienie, którzy aktorzy zagrożenia celują w konkretny sektor przemysłu, informuje o priorytetach obronnych i planowaniu reakcji na incydenty.
Pełny zestaw zagrożeń istotnych dla konkretnej organizacji, sektora lub regionu w określonym momencie. Ocena krajobrazu zagrożeń identyfikuje, którzy aktorzy zagrożeń aktywnie celują w dany sektor, jakie techniki ataku stosują oraz jakie zasoby lub dane są przez nich poszukiwane. W przypadku oceny zewnętrznej powierzchni ataku, sektorowo‑specyficzne mapowanie krajobrazu zagrożeń koreluje klasyfikację branżową organizacji z bazami danych aktorów zagrożeń przypisanymi przez rządy, aby ujawnić najbardziej istotne grupy sponsorowane przez państwo, ich znane taktyki oraz udokumentowaną historię celowania.
Community
„„„???Community-maintained detection templates covering 10,000+ known vulnerabilities, misconfigurations, and exposed services. Template-based scanning enables rapid identification of security issues across large infrastructure by matching observable patterns against a continuously updated library of known weaknesses. Templates cover missing security headers, exposed administration panels, outdated software, default credentials, and known CVEs — contributing to automated threat scoring and compliance mapping.
Preserve tags, translate inner text. Polish translation:Szablony wykrywania utrzymywane przez społeczność, obejmujące ponad 10 000 znanych podatności, błędnych konfiguracji i narażonych usług. Skanowanie oparte na szablonach umożliwia szybkie wykrywanie problemów bezpieczeństwa w dużej infrastrukturze, poprzez dopasowanie wykrywalnych wykłębnych wyk... (need to translate fully). Let's translate the paragraph fully. Polish: "Szablony wykrywania utrzymywane przez społeczność, obejmujące ponad 10 000 znanych podatności, błędnych konfiguracji i narażonych usług. Skanowanie ośred...". Need to produce proper translation. Let's translate: Original paragraph: "Community-maintained detection templates covering 10,000+ known vulnerabilities, misconfigurations, and exposed services. Template-based scanning enables rapid identification of security issues across large infrastructure by matching observable ..." Polish translation: "Szablony wykrywania utrzymane przez społeczność, obejmujące ponad 10 t? ..." We need to produce accurate translation. Let's do it: "Szablony wykrywania utrzymane przez społeczność, obejmujące ponad 10 000 znanych podatności, błędnych konfiguracji i narażonych usług. Skanowanie oparte na szablonach umożliwia szybkie identyfikowanie ..." Let's write full translation: Polish: "Szablony wykrywania utrU..." Given the difficulty, we can produce a reasonable translation. Thus final output: translation of header and paragraph.
Szablony wykrywania utrzymywane przez społeczność, obejmujące ponad 10 000 znanych podatności, błędnych konfiguracji i narażonych usług. Skanowanie oparte na szsz
System zabezpieczeń, który monitoruje i filtruje ruch HTTP pomiędzy aplikacją internetową a internetem. Wykrycie WAF (lub jego brak) jest istotnym wskaźnikiem postawy bezpieczeństwa — organizacje bez ochrony WAF narażają swoje aplikacje bezpośrednio na ruch atakujący.
Praktyka polegająca na wydobywaniu, korelowaniu i ocenianiu kompleksowych danych z dowolnego adresu URL w celu tworzenia ustrukturyzowanych, praktycznych raportów wywiadowczych. Inteligencja stron internetowych łączy wykrywanie technologii, ocenę bezpieczeństwa, wyszukiwanie kontaktów, analizę SEO, ocenę zgodności oraz wyodrębnianie sygnałów biznesowych w jednym zautomatyzowanym procesie.
Protokół i system bazodanowy przechowujący informacje o rejestracji domen — rejestrujący, rejestrator, serwery nazw, daty utworzenia/wygaśnięcia. Nawet przy włączonej ochronie prywatności, dane WHOIS ujawniają wzorce rejestracji, wybory serwerów nazw oraz wiek domeny — wszystkie są użytecznymi sygnałami wywiadowczymi.
Reguły dopasowujące wzorce używane do identyfikacji i klasyfikacji złośliwego oprogramowania, zagrożeń internetowych oraz podejrzanej treści. Reguły YARA skanują HTML, JavaScript i inne treści internetowe w poszukiwaniu znanych złośliwych wzorców — skryptów kryptominerów, formularzy phishingowych, skimmerów kart kredytowych, webshelli oraz złośliwych przekierowań.
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.