Un’azienda senza team di sicurezza raccoglie asset, vulnerabilità e policy a mano, poi prova a mapparli sui requisiti in fogli separati. Per un audit l’evidenza resta frammentaria e sempre da ricostruire.
CyberAgent
Readiness NIS2, superficie d'attacco sotto osservazione continua ed exploitabilità validata: rischi qualificati ed evidenze pronte, non liste di CVE.
Readiness NIS2
Dalla direttiva NIS2 alle evidenze, anche senza un SOC interno.
CyberAgent mappa vulnerabilità e misure sui requisiti NIS2, tiene la superficie sotto osservazione continua e prepara report e checklist pronti per il board e per gli auditor.
Cos'è
La NIS2 estende gli obblighi di sicurezza informatica a migliaia di PMI in settori essenziali e importanti. Chiede misure tecniche e organizzative adeguate, gestione delle vulnerabilità e responsabilità in capo agli organi di gestione.
Riferimenti
Direttiva (UE) 2022/2555 (NIS2); D.Lgs. 138/2024 (recepimento italiano). Framework: ISO/IEC 27001. Settore finanziario: Regolamento (UE) 2022/2554 (DORA).
Cosa mostra CyberAgent
Superficie d’attacco sotto controllo
Da una scansione trimestrale a un presidio continuo su rete, web app e API.
Assessment periodici o red team costosi, con una finestra lunga in cui le nuove vulnerabilità non vengono viste. La lista di CVE cresce senza una priorità che tenga conto del rischio reale.
Asset discovery e vulnerability assessment continui, database CVE aggiornato in tempo reale, correlazione con EPSS e CISA KEV. Le nuove esposizioni emergono appena compaiono, già qualificate per rischio.
Cos'è
La superficie d’attacco cambia ogni settimana: nuovi servizi, sottodomini, API, dipendenze. Una scansione periodica fotografa un istante; tra una scansione e l’altra le nuove esposizioni restano invisibili.
Riferimenti
Fonti di rischio: CVE (MITRE/NVD), EPSS (FIRST), CISA KEV catalog. Allineato ai controlli ISO/IEC 27001 e ai requisiti NIS2 di gestione delle vulnerabilità.
Cosa mostra CyberAgent
Exploitabilità validata
Non “quante vulnerabilità”, ma “quali sono davvero sfruttabili”.
Red team esterni ingaggiati una o due volte l’anno, costosi e puntuali. Nel mezzo si lavora su una lista di CVE senza sapere quali contano davvero.
Il pentest automatizzato simula attacchi reali su rete, web app e API e conferma cosa è sfruttabile, con continuità. Il team riceve rischi validati, non solo segnalazioni.
Cos'è
Un pentest verifica se una vulnerabilità è concretamente sfruttabile nel contesto reale: catene di attacco, configurazioni, raggiungibilità. Un elenco di CVE ordinato per CVSS non lo dice: molte “critiche” non sono raggiungibili, alcune “medie” lo sono.
Riferimenti
Metodologie di riferimento: OWASP Testing Guide, PTES. Uso legittimo: le attività sono eseguite solo su asset di cui è verificato il controllo (validazione del dominio).
Cosa mostra CyberAgent
CyberAgent presidia la superficie e valida la sfruttabilità in continuo. Ambito e intensità delle scansioni si concordano sul tuo caso, e ogni attività gira solo su asset di cui è verificato il controllo.
