CreativeGround Cybersec

Konsulentdrevet pentest med fokus på virkelighedsnære black-box scenarier

Vi koordinerer betroede kontraktorer til at udføre juridisk forsvarlige black-box-web- og API-tests, der afspejler reel angrebsadfærd. Vi tager ansvar begge veje — beskytter vores kunder og vores specialister — mens vi håndterer leverance, sikker datahåndtering og træning. Når det er nødvendigt, tilføjer vi code reviews, phishingkampagner og outsourcer reverse engineering til godkendte eksperter.

Black-box web/API-fokus

Reel modstanderadfærd mod det, I faktisk eksponerer: internetvendte apps, API’er og integrationer. Scenarier frem for tjeklister.

Lovlig & ansvarlig

Vi ejer scoping, godkendelser og regler for engagement. Klare kontrakter og ansvarlighed overfor både kontraktor og klient — så tests er lovlige og sikre.

Netværk af betroede forskere

Godkendte specialister til avancerede behov. Vi kan outsource reverse engineering eller dybdegående softwareanalyser, mens vi styrer leverance og fund.

Hvorfor vi eksisterer

Sikkerhedsarbejde går i stå, når teams drukner i støj eller mangler kapacitet. Vi tilpasser omfang til forretningsrisiko, opererer som reelle angribere og tager ansvar for lovlighed og leverance — så jeres ingeniører kan fokusere på rettelser, ikke administration.

  • Vi kontrakterer og koordinerer betroede specialister — én ansvarlig partner for jer.
  • Vi validerer lovlighed og scope: godkendelser, breve og regler for engagement.
  • Vi leverer sikkert og træner, når dårlige praksisser opdages, så ændringer fastholdes.
  • Proof-of-concept-artefakter er dobbelt-krypterede: én klientnøgle så vi ikke kan se PoC’en, og én transportnøgle for at sikre en gnidningsfri, beskyttet levering.

Etos & offentliggørelse

Vi krediterer forskere, offentliggør ansvarligt og prioriterer kundebeskyttelse. Vi tilbyder også en anonym whistleblower-kanal, så medarbejdere kan rejse compliance-problemer sikkert — med fokus på at løse problemer uden at skade personer eller virksomheden. Lær om whistleblowing.

For leverancer med høj følsomhed krypterer underleverandører PoC-artefakter med en to-nøgle tilgang: det indre lag bruger din organisations offentlige nøgle, så kun du kan dekryptere (vi fungerer som et zero-knowledge-relay), og det ydre lag bruger en sessions-/transportnøgle for pålidelig overførsel og integritetskontrol. Nøgler udveksles out-of-band, og leveringen inkluderer kryptografiske hashes til verifikation.

Ansvarlig offentliggørelseOffentlige CVE-krediteringerUafhængige forskereWhistleblower-støtteKrypteret PoC-leveringZero-knowledge-relayJuridisk beredskab & ROE
Læs politikSikkerhedsmeddelelser

Metode

Omfang & lovlighed → Drift som black-box → Lever, træn, verificér

01
Omfang & lovlighed

Mål, aktiver, begrænsninger, godkendelser og regler for engagement. Breve og compliance-overvejelser håndteres på forhånd.

02
Operér black-box (web/API-først)

Stille indtrængningsveje, trinvis privilegering og lateral bevægelse, der efterligner virkelige teknikker — standses, når forretningsrisiko er påvist.

03
Lever, træn & verificér

Handlingsorienteret rapport, trin der kan gentages, og retest. PoC-artefakter leveres dobbeltkrypteret (din nøgle indeni, transportnøgle udenpå), så kun du kan dekryptere indholdet, mens overførslen forbliver smidig og integritetssikret. Vi tilføjer kodegennemgange eller phishing-programmer, hvor det er nyttigt, og kan outsource reverse engineering når nødvendigt.

Kom i gang

Klar til at simulere en reel angriber?

Start med en scoped, lovlig engagement. Vi håndterer kontraktorer, kører black-box-tests og hjælper jeres team med at rette hurtigt — med træning, hvor det er nødvendigt.

Book en briefingSe services