Vulnerability assessment e penetration test con metodologie riconosciute, e un report che il CISO del tuo cliente può leggere senza alzare un sopracciglio.
Il testing di sicurezza è la nostra attività più consolidata: report ricorrenti, reali, consegnati a clienti veri. È anche il deliverable più verificabile che esista: un report o regge davanti a un tecnico, o no. Il nostro regge.
Guarda un esempio anonimizzato: executive summary, finding con CVSS, evidenze. Decidi prima di decidere.
Vedi il reportUn cliente enterprise ti ha mandato un security questionnaire o chiede un pentest per chiudere il contratto.
Vai al percorsoLa distinzione tecnica è credibilità: un compratore tecnico se ne accorge subito.
Identificazione sistematica delle vulnerabilità (scansione automatizzata + verifica manuale). Output: inventario con severità CVSS, senza sfruttamento attivo. Utile come fotografia ampia e ricorrente.
Sfruttamento controllato per dimostrare l'impatto reale di una falla, non solo la sua esistenza. È quello che chiedono clienti enterprise, SOC 2 e ISO 27001.
Simulazione di un avversario reale su obiettivi (non su uno scope), spesso in stealth. Avanzato: ha senso quando hai già una postura matura da mettere alla prova.
Cosa (scope): applicazioni web e API, network (esterno/interno), cloud (configuration review), identità/Active Directory, e, su richiesta, social engineering.
Come (approccio): black-box (nessuna informazione), grey-box (credenziali/accessi parziali), white-box (accesso completo a codice e architettura). Scegliamo l'approccio in base a cosa vuoi davvero scoprire e al budget.
Lavoriamo su metodologie di riferimento: OWASP (Top 10, WSTG/ASVS per il web), PTES, NIST SP 800-115, OSSTMM, con mapping delle tecniche a MITRE ATT&CK dove utile.
Ogni finding ha una severità calcolata con CVSS: niente 'grave/lieve' a sensazione, ma una scala condivisa e difendibile.
Il codice cambia, le minacce pure. Il testing periodico, VA ricorrente più pentest manuale a cadenza definita, tiene viva la tua postura e alimenta il tuo Trust Center, così dimostri ai tuoi clienti di essere testato davvero. È anche il modo per arrivare pronto alle sorveglianze ISO.
Strutturiamo il testing periodico in un retainer: VA ricorrente, pentest a cadenza definita, postura sempre viva.
Scopri il retainerIl testing periodico alimenta il tuo Trust Center: dimostri ai clienti di essere testato davvero.
ScopriPrezzo 'a partire da', in funzione di scope e approccio (un pentest web mirato costa meno di un programma su più asset). Te lo definiamo dopo un breve scoping.
La modalità ricorrente (retainer) ha un suo piano dedicato. Vedi la pagina prezzi.
Il VA identifica le vulnerabilità (senza sfruttarle); il pentest le sfrutta in modo controllato per dimostrarne l'impatto reale; il red team simula un avversario su obiettivi, spesso in stealth. Sono tre livelli diversi: ti diciamo quale ti serve in base al tuo obiettivo.
Dipende da cosa vuoi scoprire. Il black-box simula un attaccante esterno senza informazioni; il white-box (accesso a codice/architettura) trova più cose in meno tempo. Spesso il grey-box è il miglior compromesso. Lo decidiamo insieme nello scoping.
Sì: il retest dopo i fix fa parte del nostro approccio. Serve a confermare che le vulnerabilità siano davvero chiuse: un report senza retest racconta solo metà della storia.
Dipende dal ritmo con cui cambia il tuo software e dai requisiti dei tuoi clienti. Una cadenza periodica (es. ricorrente) tiene viva la postura e alimenta il Trust Center. Te lo tariamo sul tuo caso.
Sì: un pentest e una gestione delle vulnerabilità documentata sono evidenze utili sia per ISO 27001 sia per SOC 2, e rassicurano i clienti enterprise. Coordiniamo il testing con il tuo percorso di certificazione/attestazione.
Con il CVSS, lo standard di settore per la severità: una scala condivisa e difendibile, non un giudizio 'a sensazione'. Ogni finding riporta il punteggio e il contesto.
Sì. Report e dati cliente sono trattati in modo riservato e tenuti fuori da repository pubblici: la gestione sicura delle informazioni è esattamente ciò che vendiamo, quindi la pratichiamo per primi.
Sì, ma lo proponiamo solo quando ha senso: il red team mette alla prova una postura già matura. Per la maggior parte dei casi un pentest mirato è la scelta giusta, e te lo diciamo onestamente.
Un report pentest anonimizzato: executive summary, finding con CVSS, evidenze e remediation.
Vedi il reportIl testing come evidenza per la certificazione ISO 27001 e l'attestazione SOC 2.
ScopriTesting periodico e Trust Center mantenuto: la postura resta viva, non un evento isolato.
Scopri il retainerRaccontaci la tua esigenza: definiamo scope e approccio e ti diciamo cosa serve davvero.