IT EN
Portale Clienti →
sales@10punto10.eu · 02 87176855
Cybersecurity offensiva

Testa la tua difesa
prima che lo faccia
qualcun altro.

Vulnerability Assessment e Penetration Testing con metodologia offensiva. Troviamo quello che un attaccante troverebbe, prima che arrivi davvero.

Richiedi un assessment → Come lavoriamo
PTES + OWASP Report remediation-ready NIS2 mapping incluso Powered by NEXUS

La prospettiva
dell'attaccante

Diego Sarnataro, CEO di 10punto10, viene dalla cybersecurity offensiva. Prima di costruire difese, le ha smontate. Non è un dettaglio biografico: è il metodo con cui guardiamo ogni infrastruttura.

Il VAPT non è un check di compliance. È un attacco simulato, con tool reali, contro le tue difese reali. Se c'è qualcosa da trovare, lo troviamo. Se non c'è, te lo diciamo comunque.

CVE
NVD + CISA KEV come base di ogni assessment
0
Falsi positivi non verificati: ogni finding è confermato manualmente
EU
Report e dati su infrastruttura Oracle Cloud Italia
NIS2
Mapping automatico Art. 21 incluso nel report

Cosa facciamo

Quattro aree di assessment, combinabili in base alla tua infrastruttura. Ogni attività produce un report separato, ma li integriamo tutti in NEXUS.

01

Vulnerability Assessment

Scansione sistematica dell'infrastruttura con OpenVAS, Nessus e Nuclei. Ogni vulnerabilità classificata per CVSS, ogni falso positivo verificato a mano. Il risultato: una lista pulita di quello che conta davvero, non 200 pagine di output grezzo.

  • OpenVAS · Nessus · Nuclei
  • Classificazione CVSS v3.1
  • Verifica manuale di ogni finding
02

Penetration Test

Attacco simulato su infrastruttura, applicazioni web ed endpoint. Metodologia PTES + OWASP. BloodHound per Active Directory, OWASP ZAP per le web app, tool custom dove serve. Lo scopo: capire fin dove arriverebbe un attaccante reale.

  • BloodHound · OWASP ZAP
  • Metodologia PTES
  • Proof-of-concept per ogni finding critico
03

Cloud Security Assessment

Postura di sicurezza su Azure, AWS e GCP con Prowler e ScubaGear. Microsoft 365 audit incluso: configurazioni, permessi, Secure Score, accessi legacy. Riferimento CIS Benchmark e NIS2.

  • Prowler · ScubaGear
  • Microsoft 365 Secure Score audit
  • CIS Benchmark alignment
04

Active Directory Audit

BloodHound e SharpHound per mappare i percorsi di privilege escalation in AD. La maggior parte delle PMI ha configurazioni AD che permettono l'escalation da utente standard a Domain Admin in pochi passi. Lo troviamo, te lo mostriamo, ti aiutiamo a chiuderlo.

  • BloodHound · SharpHound
  • Privilege escalation paths
  • ACL e deleghe anomale

Il report che serve davvero

Non ricevi un PDF con 150 vulnerabilità ordinate per score CVSS. Ricevi un documento che separa quello che è urgente da quello che è teorico.

Ogni finding ha: descrizione tecnica, impatto reale sul tuo business, proof-of-concept dove possibile, passi di remediation precisi.

Due sezioni distinte: una per il tecnico che deve fixare le cose, una per il manager che deve capire il rischio.

📋
Executive summary Rischio in linguaggio non tecnico, per chi decide
🔬
Technical findings Ogni vulnerabilità con PoC e remediation step
⚖️
NIS2 mapping Alignment automatico con Art. 21 NIS2
📈
Remediation tracking Le vulnerabilità entrano in NEXUS come Issues con SLA
Integrato in NEXUS

Il remediation tracking
non è un'email

I risultati del VAPT entrano direttamente in NEXUS. Ogni vulnerabilità diventa un'Issue con owner, priorità e SLA di remediation. Puoi vedere lo stato in tempo reale, il team NOC segue la chiusura.

Non sparisce nessuno dopo la consegna del report.

Scopri NEXUS →
Live
Stato remediation visibile in tempo reale su NEXUS
SLA
Priorità e scadenze definite per ogni finding
PDF
Report on-demand scaricabile per audit ACN

Domande frequenti

Quanto dura un VAPT?
Dipende dallo scope. Un vulnerability assessment su una rete aziendale standard richiede 3-5 giorni lavorativi. Un penetration test completo su infrastruttura, web app e Active Directory richiede 1-2 settimane. I tempi precisi li definiamo dopo il kick-off call, quando abbiamo il perimetro chiaro.
Il VAPT interrompe la produzione?
No. Lavoriamo in modalità non-destructive per default. Se serve testare scenari più aggressivi, come stress test o simulazioni DoS, li pianifichiamo in una finestra fuori orario concordata con te.
Cosa succede dopo il report?
Il remediation tracking è incluso nel servizio. Le vulnerabilità critiche vengono seguite fino alla chiusura confermata. Se hai NOC10 attivo, il tuo team può vedere lo stato in tempo reale su NEXUS. Se non hai NOC10, ricevi aggiornamenti via report periodici.
Il VAPT soddisfa i requisiti NIS2?
Sì. La NIS2 (Art. 21) richiede assessment periodici della postura di sicurezza. Il nostro report include il mapping NIS2 automatico per gli articoli rilevanti. Il formato è pronto per un'ispezione ACN.
Fate anche VAPT su applicazioni web sviluppate internamente?
Sì. OWASP ZAP e test manuali sulle OWASP Top 10. Gestiamo anche API REST e applicazioni mobile se nel perimetro. Dimmi cosa hai e ti dico cosa ha senso testare.

Pronto a sapere dove sei vulnerabile?

Primo step: una call di 30 minuti. Ti diciamo cosa ha senso testare per la tua infrastruttura, con i tempi e i costi. Nessun impegno.

Parliamo del tuo assessment → 📞 02 87176855