Use Cases

Platform

Resources

Why Secfense

Company

Pre-access protection for VPNs & gateways

Nie zastępuj swojego VPN. Spraw, by był nieosiągalny.

Nie zastępuj swojego VPN. Spraw, by był nieosiągalny.

Ghost egzekwuje domyślną odmowę dostępu przed istniejącymi bramami. Ścieżka sieciowa otwiera się dopiero po weryfikacji organizacyjnej. Działa w około 2 godziny, bez migracji.

Ghost egzekwuje domyślną odmowę dostępu przed istniejącymi bramami. Ścieżka sieciowa otwiera się dopiero po weryfikacji organizacyjnej. Działa w około 2 godziny, bez migracji.

DZIAŁA PRZED:

DZIAŁA PRZED:

FORTIGATE

FORTIGATE

CISCO ASA

CISCO ASA

PALO ALTO

PALO ALTO

IVANTI

IVANTI

CITRIX

CITRIX

F5

F5

vpn.your-company.com
UNREACHABLE
No route exists for unverified sources
vpn.your-company.com
UNREACHABLE
No route exists for unverified sources

Najpierw odpowiedz na zarzut

Security by obscurity liczy, że nikt cię nie znajdzie. Ghost nie liczy na szczęście.

Obscurity hopes you won't be found. Ghost doesn't hope.

Security by obscurity liczy, że nikt cię nie znajdzie. Ghost nie liczy na szczęście.

Security by obscurity opiera się na sekrecie: ukrytym porcie, niepublicznym adresie URL albo magicznym puknięciu. W chwili, gdy sekret wycieknie, ochrona znika. Ghost nie ma sekretu, który mógłby wyciec.

Każda brama za Ghost egzekwuje domyślną odmowę dostępu na brzegu sieci. Nie ma handshaku, banera ani strony logowania dla nikogo — nawet dla atakującego, który zna dokładny adres. Sama wiedza, gdzie znajduje się brama, nic mu nie daje.
Trasa otwiera się dopiero wtedy, gdy użytkownik udowodni przynależność do organizacji: adresem e-mail w firmowej domenie albo certyfikatem PKI wydanym przez organizację. Następnie Ghost publikuje IP tego użytkownika na allowliście bramy — zakresowo i tymczasowo.

Niewidoczność nie jest mechanizmem bezpieczeństwa. Jest jego skutkiem. To authenticate-before-connect, podstawowa zasada zero trust, zastosowana w warstwie sieciowej.

Security by obscurity

Security by obscurity

Secfense Ghost

Secfense Ghost

Ochrona = tajna wiedza

Ochrona = tajna wiedza

Ochrona = kryptograficzny dowód tożsamości

Ochrona = kryptograficzny dowód tożsamości

Statycznie: ten sam trik dla wszystkich

Statycznie: ten sam trik dla wszystkich

Dynamicznie: per użytkownik, per sesja, z limitem czasu

Dynamicznie: per użytkownik, per sesja, z limitem czasu

Przestaje działać, gdy sekret wycieknie

Przestaje działać, gdy sekret wycieknie

Nie ma statycznego sekretu do wycieku; dostęp jest per użytkownik, czasowy i odwoływalny

Nie ma statycznego sekretu do wycieku; dostęp jest per użytkownik, czasowy i odwoływalny

Zawodzi po cichu

Zawodzi po cichu

Każda próba dostępu jest weryfikowana i logowana

Każda próba dostępu jest weryfikowana i logowana

Najpierw odpowiedz na zarzut

Każdy skaner w internecie już zna twoją stronę logowania.

Każdy skaner w internecie już zna twoją stronę logowania.

MFA chroni logowanie. Nie chroni powierzchni ataku. Osiągalna brama odpowiada każdemu skanerowi, każdemu exploit kitowi i każdemu zero-day — zanim jakikolwiek użytkownik się uwierzytelni. To właśnie od tej powierzchni zaczynają się włamania do bram.

Ivanti Connect Secure · exploitowane przed uwierzytelnieniem

Citrix NetScaler · CitrixBleed

FortiGate SSL-VPN · powracające RCE

GlobalProtect · CVE-2024-3400

Następny kwartał · ???

Jak to działa

Pięć kroków. Kolejność ma znaczenie.

Pięć kroków. Kolejność ma znaczenie.

Weryfikacja następuje przed osiągalnością. Zanim pakiet może dotknąć twojej bramy, nadawca już udowodnił swoją tożsamość.

01

01

Domyślna odmowa

Twoja brama odrzuca każdy pakiet z publicznego internetu. Bez handshaku, bez banera, bez powierzchni ataku.

Twoja brama odrzuca każdy pakiet z publicznego internetu. Bez handshaku, bez banera, bez powierzchni ataku.

02

02

Użytkownik prosi o dostęp

Pracownik otwiera punkt dostępu Ghost. Jego źródłowy adres IP jest wykrywany automatycznie.

Pracownik otwiera punkt dostępu Ghost. Jego źródłowy adres IP jest wykrywany automatycznie.

03

03

Weryfikacja organizacyjna

Przynależność jest potwierdzana e-mailem w firmowej domenie albo certyfikatem PKI wydanym przez organizację.

Przynależność jest potwierdzana e-mailem w firmowej domenie albo certyfikatem PKI wydanym przez organizację.

04

04

Trasa się otwiera

Zweryfikowany adres IP trafia na allowlistę bramy. W zakresie tego użytkownika i tej sesji.

Zweryfikowany adres IP trafia na allowlistę bramy. W zakresie tego użytkownika i tej sesji.

05

05

Dostęp wygasa

TTL upływa, wpis na allowliście zostaje usunięty, a brama znów znika.

TTL upływa, wpis na allowliście zostaje usunięty, a brama znów znika.

Nie rewolucja, a przemyślana ewolucja

Wdrożenie w około 2 godziny. Bez reorganizacji.

Wdrożenie w około 2 godziny. Bez reorganizacji.

01

01

Około 2 godziny wdrożenia,
nie miesiące

About 2 hours to deploy, not months

02

02

Zero zmian w VPN, aplikacjach i routingu

Zero zmian w VPN, aplikacjach i routingu

03

03

0 pakietów obsłużonych od niezweryfikowanych źródeł

0 pakietów obsłużonych od niezweryfikowanych źródeł

Godziny, nie
kwartały.

Hours, not quarters.

Hours, not quarters.

Ghost działa przed tym, z czego już korzystasz. Pierwsza brama zwykle jest chroniona w około 2 godziny — nie jako kamień milowy wielokwartalnego programu migracji.

Twój stack zostaje

FortiGate, Cisco ASA, Palo Alto, Ivanti, Citrix i F5 działają dokładnie tak jak dziś. Ghost dodaje warstwę weryfikacji, niczego nie zastępuje.

Twoja infrastruktura

Wdrożone w twoim środowisku — on-prem albo w twojej chmurze. Ruch użytkowników nigdy nie przechodzi przez cudzą chmurę, w tym naszą.

Bez przeprojektowania sieci

Bez nowych tuneli, bez przebudowy routingu, bez masowego wdrażania agentów na flotę. Topologia zostaje taka sama.

Użytkownicy nie uczą się niczego nowego

Jeden lekki krok przed połączeniem: potwierdzenie firmowego e-maila albo certyfikat już obecny na urządzeniu. Znany klient VPN zostaje ten sam.

Ghost kontra SASE/ZTNA

Jeden problem rozwiązany w kilka godzin jest lepszy niż każdy problem rozwiązany kiedyś.

Jeden problem rozwiązany w kilka godzin jest lepszy niż każdy problem rozwiązany kiedyś.

SASE to program transformacji sieci. Ghost to kontrola, którą włączasz. Oba rozwiązania mogą współistnieć; tylko jedno zamyka lukę ekspozycji jeszcze dziś po południu.

Secfense Ghost

Secfense Ghost

Typowa migracja SASE

Typowa migracja SASE

Czas do wartości

Czas do wartości

Około 2 godziny

Około 2 godziny

6 do 18 miesięcy

6 do 18 miesięcy

Istniejące VPN i bramy

Istniejące VPN i bramy

Zostają i są chronione

Zostają i są chronione

Zastępowane lub przebudowywane

Zastępowane lub przebudowywane

Zmiany w sieci

Zmiany w sieci

Brak; oparte na allowliście

Brak; oparte na allowliście

Pełne przekierowanie ruchu

Pełne przekierowanie ruchu

Dokąd płynie ruch użytkowników

Dokąd płynie ruch użytkowników

Bezpośrednio do twojej bramy

Bezpośrednio do twojej bramy

Przez chmurę dostawcy

Przez chmurę dostawcy

Gdzie działa

Gdzie działa

Twoja infrastruktura

Twoja infrastruktura

SaaS dostawcy

SaaS dostawcy

Zakres

Zakres

Jedno zadanie: ekspozycja przed dostępem

Jedno zadanie: ekspozycja przed dostępem

Wszystko, kiedyś

Wszystko, kiedyś

Vendor briefs

Pobierz brief dla swojej bramy. Przekaż go osobie, która za nią odpowiada.

Pobierz brief dla swojej bramy. Przekaż go osobie, która za nią odpowiada.

Po dwie strony: historia ekspozycji twojego produktu, sposób integracji Ghost oraz wyjaśnienie, dlaczego to nie jest security by obscurity. Dla zespołów bezpieczeństwa i sieci.

FortiGate SSL-VPN

FortiGate SSL-VPN

ghost-for-fortigate.pdf

Ivanti Connect Secure

Ivanti Connect Secure

ghost-for-ivanti-connect-secure.pdf

Citrix NetScaler Gateway

Citrix NetScaler Gateway

ghost-for-citrix-netscaler.pdf

Palo Alto GlobalProtect

Palo Alto GlobalProtect

ghost-for-globalprotect.pdf

Cisco ASA / Secure Firewall

Cisco ASA / Secure Firewall

ghost-for-cisco-asa.pdf

F5 BIG-IP APM

F5 BIG-IP APM

ghost-for-f5-bigip.pdf

Nie widzisz tu swojego wystawionego produktu?

Nie widzisz tu swojego wystawionego produktu?

Exchange, SharePoint, Jira, Confluence albo cokolwiek innego wystawionego do internetu — napisz do nas, a dodamy obsługę Ghost dla twojego produktu w ciągu 2 dni.

Exchange, SharePoint, Jira, Confluence albo cokolwiek innego wystawionego do internetu — napisz do nas, a dodamy obsługę Ghost dla twojego produktu w ciągu 2 dni.

Regulatory tailwind

Redukcja powierzchni ataku jest dziś wymogiem prawnym.

Redukcja powierzchni ataku jest dziś wymogiem prawnym.

SASE to program transformacji sieci. Ghost to kontrola, którą włączasz. Oba rozwiązania mogą współistnieć; tylko jedno zamyka lukę ekspozycji jeszcze dziś po południu.

NIS2 · Art. 21

NIS2 · Art. 21

Wymaga proporcjonalnych do ryzyka środków technicznych, w tym kontroli dostępu i bezpieczeństwa sieci. Usunięcie publicznej osiągalności systemów zdalnego dostępu to bezpośrednia, mierzalna redukcja ekspozycji na ryzyko.

Wymaga proporcjonalnych do ryzyka środków technicznych, w tym kontroli dostępu i bezpieczeństwa sieci. Usunięcie publicznej osiągalności systemów zdalnego dostępu to bezpośrednia, mierzalna redukcja ekspozycji na ryzyko.

DORA · zarządzanie ryzykiem ICT

DORA · zarządzanie ryzykiem ICT

Podmioty finansowe muszą minimalizować powierzchnię ataku ICT. Ghost usuwa publiczną osiągalność i uzależnia każdą trasę od zweryfikowanej tożsamości organizacyjnej: firmowej domeny e-mail albo certyfikatów PKI.

Podmioty finansowe muszą minimalizować powierzchnię ataku ICT. Ghost usuwa publiczną osiągalność i uzależnia każdą trasę od zweryfikowanej tożsamości organizacyjnej: firmowej domeny e-mail albo certyfikatów PKI.

Czym GHOST nie jest

Poznaj ograniczenia przed demo.

Poznaj ograniczenia przed demo.

Nie zastępuje patchowania

Nieosiągalna brama daje czas i usuwa oportunistyczną eksploatację, ale podatne oprogramowanie nadal trzeba patchować. Ghost skraca okno; nie usuwa błędu.

Nie jest pełną platformą ZTNA

Ghost kontroluje, kto może dotrzeć do bramy, a nie mikrosegmentację per aplikacja za nią. Jeśli zmierzasz w stronę ZTNA, Ghost jest krokiem na tej ścieżce, nie całą ścieżką.

Nie jest magią dla każdej sieci

Środowiska za CGNAT albo z mocno współdzielonymi adresami wyjściowymi potrzebują jednego z alternatywnych trybów wdrożenia Ghost. Powiemy ci, który pasuje, zanim zobowiążesz się do czegokolwiek.

Skontaktuj się z nami

Zobacz to, co widzą atakujący.

Zobacz to, co widzą atakujący.

Obscurity hopes you won't be found. Ghost doesn't hope.

Wykonujemy pasywny skan twojego publicznego perymetru — bez instalacji i bez dostępu — i wysyłamy raport w ciągu 24 godzin: które bramy są widoczne, od kiedy oraz co jest obecnie exploitowane w produktach takich jak twoje.

Wykonujemy pasywny skan twojego publicznego perymetru — bez instalacji i bez dostępu — i wysyłamy raport w ciągu 24 godzin: które bramy są widoczne, od kiedy oraz co jest obecnie exploitowane w produktach takich jak twoje.

Wyłącznie pasywna inteligencja (źródła klasy Shodan). Nigdy nie sondujemy twoich systemów. Raport przed wysyłką sprawdza inżynier Secfense.

Wyłącznie pasywna inteligencja (źródła klasy Shodan). Nigdy nie sondujemy twoich systemów. Raport przed wysyłką sprawdza inżynier Secfense.

Wyłącznie pasywna inteligencja (źródła klasy Shodan). Nigdy nie sondujemy twoich systemów. Raport przed wysyłką sprawdza inżynier Secfense.

Loading reCAPTCHA...

Secfense Inc.

350 Townsend Street #670, San Francisco, CA 94107, US

Secfense Sp. z o.o.

Dolnych Młynów 3/1 , 31-124 Kraków, EU, VATID: PL6762546545

© Copyright 2026 Secfense. All rights reserved.

Secfense Inc.

350 Townsend Street #670, San Francisco, CA 94107, US

Secfense Sp. z o.o.

Dolnych Młynów 3/1 , 31-124 Kraków, EU, VATID: PL6762546545

© Copyright 2026 Secfense. All rights reserved.

Secfense Inc.

350 Townsend Street #670, San Francisco, CA 94107, US

Secfense Sp. z o.o.

Dolnych Młynów 3/1 , 31-124 Kraków, EU, VATID: PL6762546545

© Copyright 2026 Secfense. All rights reserved.