Gdzie K0NSULT ipIII stoi wobec rynkowego stosu narzędzi (VMDR, DAST, red-team, BAS, ASV, SIEM/SOAR, CTI, GRC). Teza: ipIII nie jest kolejnym skanerem ani narzędziem ofensywnym — jest warstwą dowodowo-compliance (Evidence & Resilience Orchestrator) nad narzędziami, które bank już ma.
Realny import Burp Suite (XML) · OWASP ZAP (JSON/XML) · Nessus/Tenable (CSV) · generic CSV/JSON → normalizacja severity (P0–P3) → incydent + evidence (sha256, chain-of-custody) w PostgreSQL.
Evidence-package / board pack (JSON + realny pobieralny PDF; manifest + package_sha256). DORA/TIBER white-team-log (scope · crown-jewels · RoE · evidence-register · final-report; reguła claim ≤ proof egzekwowana w kodzie).
Dowód: 56/56 testy integracyjne na żywej bazie (staging). Wypróbuj: API explorer · changelog. v1 = dostęp kontrolowany (auth); demo na żądanie / staging.
W banku nie ma jednego narzędzia — jest kilka warstw. ipIII wpina się nad nimi jako wspólna prawda dowodowa:
DORA wymaga odporności operacyjnej i testów odporności (w tym TLPT dla wybranych podmiotów); TIBER-EU to europejski framework intelligence-led red team na krytycznych systemach produkcyjnych.
| Klasa | Przykłady | Rola w banku | ipIII? | Status / co dodać |
|---|---|---|---|---|
| VMDR / scanner | Nessus, Qualys, Tenable, Rapid7 | skan CVE, scoring, patch SLA | import v1 (nie skaner) | v1 LIVE import Nessus + Qualys (CSV/XML) → evidence+hash + enrichment offline KEV/CVSS; ROADMAP online NVD/CISA EPSS/KEV lookup |
| Web DAST / AppSec | Burp Suite, OWASP ZAP, Invicti | testy web/API, XSS/SQLi, auth | import v1 (nie skaner) | v1 LIVE parser Burp/ZAP → evidence+hash |
| Manual pentest | Metasploit, Kali | walidacja exploitability pod RoE | celowo nie core | import raportu; bez auto-exploitacji produkcji |
| Red / adversary emulation | Cobalt Strike, Caldera, Sliver | emulacja APT, C2, test detekcji | purple-team hub | tylko evidence hub — nie publiczny C2 |
| BAS | SafeBreach, AttackIQ, Cymulate, Picus | symulacje TTP, walidacja kontroli | koncepcyjnie | ROADMAP biblioteka MITRE ATT&CK, safe-mode |
| ASV / attack-path | Pentera, XM Cyber, NodeZero | walidacja ścieżek ataku | nie | ROADMAP graf ataku + retest |
| EASM / ASM | CyCognito, Cortex Xpanse, Randori | zewnętrzna powierzchnia ataku | częściowo (mapa) | ROADMAP asset discovery, certy, exposure |
| CTI / TIBER | MISP, OpenCTI, Recorded Future | threat intel, TTP, aktorzy | law-watch/dowody | ROADMAP konektor MISP/OpenCTI, STIX/TAXII |
| SIEM / SOAR | Splunk, QRadar, Sentinel, Elastic | logi, korelacja, playbooki | dashboard/procedury | ROADMAP konektory, case mgmt, audit |
| GRC / compliance | Archer, ServiceNow GRC, OneTrust | ryzyko, kontrolki, evidence | mocna strona | kontrolki DORA/NIS2/RODO/AI Act, owner, due |
| Evidence / chain-of-custody | eDiscovery, SIEM export, forensic | dowody, podpisy, custody | najmocniejsza | hash/timestamp/podpis/retention/legal-hold |
| AI / LLM red-team | Garak, Promptfoo, Lakera, HiddenLayer | prompt injection, model abuse | kierunek AI | ROADMAP corpus + model risk register |
| CVD / VDP | HackerOne, Bugcrowd, Intigriti | responsible disclosure, triage | disclosure/CVD | pełny intake + researcher ledger |
| Board reporting | PowerBI, ServiceNow, Archer | raporty CISO/zarząd/regulator | koncepcja | ROADMAP executive/DORA/KNF pack |
Mało narzędzi pentestowych robi to jako centralną doktrynę. Reguła egzekwowana w kodzie (close-with-evidence).
Jedna prawda: dowód, status, właściciel, obowiązek, retest — dla regulatora, zarządu, audytu.
Mapowanie zdarzeń na obowiązki — banki tego potrzebują, skanery tego nie robią.
ISO 29147/30111, safe harbor, in/out-of-scope — podstawa współpracy z badaczami.
Hash sha256 + custody JSONB — jedna z najmocniejszych stron, kierunek forensic/eDiscovery.
Rejestr pages.json + statusy ograniczają overclaim — atut wobec audytora.
| Brak | Kategoria | Dlaczego bank wymaga | Priorytet |
|---|---|---|---|
| Produkcyjny IAM/OIDC/RBAC/mTLS | security arch. | enterprise trust | P0 PoC gotowy |
| Multi-tenant backend | enterprise | separacja bank/urząd/partner | P0 |
| Audit log każdej akcji | compliance | kto/co/kiedy/sesja | P0 v1 DB gotowe |
| Konektory SIEM/VMDR/DAST/BAS | integracje | wyniki z Burp/Nessus/Pentera | P0 v1: Burp/ZAP/Nessus/Qualys/CSV/JSON + MITRE TTP; ROADMAP SIEM/Splunk/BAS/MISP |
| DORA/TLPT/TIBER pack | sektor fin. | bank porównuje do DORA/TIBER | P0 v1 MVP: engagement/white-team-log/final-report |
| Executive/regulator reports | sprzedaż | gotowy pakiet dla CISO/zarządu | P0 |
| Attack-path graph | ASV | droga do crown jewels | P1 |
| MITRE ATT&CK library | red/purple | standard języka TTP | P1 |
| Cyber-range / lab | testy | kontrolowane ćwiczenia | P1 |
| Retest/remediation validation | BAS/ASV | dowód, że naprawa działa | P1 v1: retest→CONFIRMED→close |
| Third-party ICT risk | DORA | dostawcy krytyczni / BigTech | P1 |
| AI red-team benchmark | AI security | prompt injection, leakage, agent abuse | P2 |
Nessus/Qualys skanuje podatności
zamienia findings w dowód, właściciela, obowiązek, retest i raport
Burp testuje aplikacje
mapuje wyniki na incident / evidence / legal board
Cobalt/Caldera robi red-team
prowadzi RoE, chain-of-custody, white-team log, lessons learned
SafeBreach/AttackIQ/Picus robi BAS
normalizuje wyniki i pokazuje gap / control effectiveness
SIEM generuje alerty
przekształca alerty w sprawy, szkody, status dowodowy i odpowiedzialność
ServiceNow/Jira obsługuje zadania
dodaje claim ≤ proof, DORA/AI Act/RODO mapping i warstwę prawdy
GRC trzyma kontrolki
pokazuje techniczny dowód skuteczności i retest
DORA wymaga odporności
daje wspólny raport operacyjno-dowodowy dla CISO, legal, zarządu
[NARZĘDZIA BANKU] Burp · Nessus · Qualys · Pentera · SafeBreach · Splunk · Sentinel · OpenCTI · ServiceNow
↓
[K0-CONNECTORS] parsery · API · webhooki · STIX/TAXII · CSV/JSON/SARIF/OpenAPI
↓
[K0-NORMALIZE] asset · vulnerability · incident · evidence · TTP · control · owner · status
↓
[K0-TRUTH] claim ≤ proof · FACT/GAP/DISPUTED/SIMULATION/ROADMAP
↓
[K0-LEGAL] DORA · TIBER · NIS2/KSC · RODO · AI Act · DSA · CRA · eIDAS
↓
[K0-RESPONSE] playbook · task · owner · SLA · remediation · retest
↓
[K0-EVIDENCE] hash · timestamp · chain-of-custody · signed report · export package
↓
[K0-BOARD] CISO · zarząd · regulator · DPO · SOC · dev · audyt · PPP
Najbliższy rynkowy odpowiednik ipIII to nie Burp/Nessus, lecz ServiceNow SecOps/GRC + warstwa evidence BAS/ASV + raportowanie TIBER/DORA. Największa luka do domknięcia: konektory (linki: connectors, DORA/TIBER pack).
✓ v1: import Burp/ZAP/Nessus/CSV/JSON · evidence-package PDF/JSON · audit log DB · RoE template · CVD intake · DORA/TIBER white-team-log. Zostaje: IAM/OIDC produkcyjny · executive/KNF report branding · Splunk/SIEM connector · online EPSS/KEV lookup.
OpenAPI connector pack · MITRE ATT&CK mapping · crown-jewels model · retest workflow · legal trigger engine · DORA incident workflow · researcher ledger.
MISP/OpenCTI connector · SIEM webhook ingestion · BAS/ASV profile · attack-path graph MVP · board dashboard · multi-tenant · signed exports · cyber-range MVP.