VALUTAZIONE DELLA SICUREZZA // CHIMERASCOPE
Valutiamo la superficie di attacco esterna della tua organizzazione e forniamo un rapporto crittografato, mappato alla conformità — l'unica valutazione a questo livello che associa ogni risultato a specifici articoli normativi CRA, NIS2, ISO 27001, GDPR, DORA e MiCA.
Valutiamo l'infrastruttura pubblicamente visibile della tua organizzazione — domini, sottodomini, certificati, sicurezza email, servizi esposti, configurazioni cloud e dipendenze di terze parti — utilizzando una metodologia proprietaria di valutazione sviluppata in anni di ricerca sulla sicurezza.
Ogni risultato è automaticamente mappato agli articoli del quadro normativo applicabili alla tua organizzazione. Il risultato è un report di intelligence strutturato e crittografato che parla sia al tuo team tecnico sia ai responsabili della conformità.
Non si tratta di un test di penetrazione. Non interagiamo con i tuoi sistemi oltre a quanto un osservatore esterno possa vedere. Non è necessaria alcuna autorizzazione per l'ambito di valutazione standard — sebbene raccomandiamo un accordo formale di ingaggio per tutte le valutazioni a pagamento.
Valutazione completa fornita come PDF cifrato AES-128 con indice completo, punteggio esecutivo (A–F) e catena di custodia forense. Tipicamente 30–50 pagine a seconda della complessità dell'infrastruttura.
Ogni riscontro mappato a specifici articoli: CRA Art. 10, 11, 14 — NIS2 Art. 21 misure — ISO 27001 Allegato A controlli — GDPR Art. 32 requisiti tecnici — DORA Art. 5–12, 17, 24, 28 per entità finanziarie — MiCA Art. 62, 67, 68, 75, 79, 83 per fornitori di servizi di cripto‑asset — con scheda di conformità dedicata MiCA/DORA (valutazione PASS/FAIL per articolo). Annotazioni specifiche per settore dove applicabili.
Sintesi pronta per la sala del consiglio con valutazione complessiva della sicurezza, scheda di prontezza CRA con indicatori semaforici, e matrice di priorità di rimedio organizzata per impatto e sforzo.
Catena di evidenza forense hashata SHA-256 con codice QR di verifica. Esportazione JSON leggibile da macchine compatibile con piattaforme SIEM, Jira e ServiceNow per integrazione diretta nel tuo flusso di lavoro di rimedio.
La segnalazione delle vulnerabilità diventa obbligatoria a partire dal 11 settembre 2026. La piena conformità è richiesta entro dicembre 2027. Mappiamo i risultati agli Articoli 10 (requisiti di cybersecurity), 11 (gestione delle vulnerabilità) e 14 (obblighi di segnalazione). Sanzioni: fino a €15 M o al 2,5 % del fatturato annuo globale.
Valutazione delle misure di sicurezza ai sensi dell'Articolo 21 in tutti i domini applicabili. Mappatura settoriale disponibile per enti sanitari, energetici, dei trasporti, dell'acqua e delle infrastrutture digitali. Attiva in Danimarca, Finlandia e Svezia dal gennaio 2026.
Mappatura dei controlli dell'Annex A con identificazione delle lacune rispetto ai requisiti di gestione della sicurezza delle informazioni. Particolarmente rilevante per le organizzazioni che perseguono o mantengono la certificazione — i nostri risultati si integrano direttamente nella vostra Dichiarazione di Applicabilità.
Valutazione delle misure tecniche e organizzative ai sensi dell'Articolo 32. Valutazione dell'esposizione dei dati, scoring del rischio di violazione e identificazione delle attività di trattamento visibili dalla superficie di attacco esterna.
Obbligatorio per le entità finanziarie dell'UE. Mappiamo i risultati agli Art. 5–6 (gestione del rischio ICT), Art. 7 (gestione delle patch), Art. 9 (controllo degli accessi, crittografia), Art. 10–11 (rilevamento e risposta), Art. 17 (segnalazione degli incidenti), Art. 24 (test di resilienza) e Art. 28 (rischio di terze parti). La mappatura della conformità DORA è inclusa in tutte le valutazioni a pagamento.
Quadro normativo a livello UE per i fornitori di servizi di cripto‑asset (CASP), in vigore da giugno 2024 con piena applicazione a partire da dicembre 2024. Mappiamo i risultati agli Art. 62 (gestione del rischio ICT), Art. 67 (resilienza operativa), Art. 68 (requisiti di salvaguardia), Art. 75 (custodia e amministrazione), Art. 79 (servizi di scambio) e Art. 83 (gestione dei reclami). I soggetti cripto‑asset ricevono una scheda di conformità MiCA/DORA dedicata, con valutazione PASS/FAIL/WARN per articolo nel report consegnato. Essenziale per exchange, fornitori di wallet custodiali e qualsiasi entità che offra servizi di cripto‑asset nell'UE.
Protezione dei dati delle sperimentazioni cliniche, esposizione dei sistemi di produzione, verifica della conformità GxP. La valutazione copre le apparecchiature di laboratorio connesse, i portali di ricerca e le interfacce API verso le organizzazioni partner.
Valutazione dell'ambiente dati multi‑cliente, valutazione della prontezza per audit FDA/EMA. Focus particolare sull'esposizione della catena di fornitura, sui rischi delle infrastrutture condivise e sulla verifica dell'isolamento dei dati tra clienti.
Valutazione dell'ecosistema dei dispositivi connessi, valutazione della conformità del prodotto CRA. Include l'analisi dell'esposizione del firmware, la sicurezza dei meccanismi di aggiornamento, l'autenticazione API e la postura della piattaforma di gestione cloud.
Valutazione del rischio di convergenza OT/IT per i prodotti connessi soggetti a CRA. Esposizione della rete di sensori, rilevamento delle interfacce SCADA, piattaforme di gestione cloud e valutazione della sicurezza del edge computing.
Esposizione del sistema di cartelle cliniche elettroniche, valutazione del rischio dei dati dei pazienti. Mappatura dei requisiti NIS2 per il settore sanitario, sicurezza della piattaforma di telemedicina e valutazione dei punti di integrazione.
Valutazione della prontezza alla conformità DORA, valutazione della postura di sicurezza API. Analisi dell'infrastruttura di pagamento, esposizione del mobile banking e mappatura del rischio dei fornitori di servizi terzi.
Prontezza alla conformità MiCA per i fornitori di servizi di crypto‑asset, gli exchange e gli operatori di wallet custodiali. Intelligenza degli indirizzi blockchain con screening delle sanzioni OFAC, analisi dell'esposizione dei wallet, valutazione del rischio dei token e verifica del Proof of Reserves. Copertura degli ecosistemi BTC, ETH, XRP, SOL e dei token ERC‑20, e analisi verificata delle vulnerabilità dei contratti intelligenti per le organizzazioni con esposizione on‑chain.
La valutazione standard copre la superficie di attacco esterna principale descritta sopra. Per le organizzazioni con requisiti normativi, operativi o di settore specifici, l'ambito dell'ingaggio può essere esteso con attività aggiuntive di ricognizione e verifica — selezionate per corrispondere alla postura di rischio dell'organizzazione e agli obblighi di conformità.
Scoperta di piattaforme di ragionamento auto-ospitate, framework per agent, server Model Context Protocol e interfacce pubbliche di inference che costituiscono sempre più parte della superficie di attacco esterna delle organizzazioni moderne. Include la rilevazione dell'esposizione, la postura di autenticazione delle interfacce di gestione e il confronto incrociato con le classi di vulnerabilità note per i motori di inference e le piattaforme di orchestrazione.
Analisi del rischio delle dipendenze JavaScript con arricchimento CVE, validazione Subresource Integrity su risorse di terze parti, attribuzione di domini CDN scaduti (un percorso documentato di takeover per proprietà di brand a lungo termine) e valutazione della postura di sicurezza delle piattaforme SaaS di terze parti per l'ecosistema dei fornitori visibile dalla tua superficie esterna.
Analisi della cronologia dell'infrastruttura tramite pattern di cambiamento DNS e BGP, evoluzione dei contenuti archiviati, deriva delle impronte dei servizi nel tempo e correlazione tra certificati TLS attuali e storici. Rivela pattern operativi e decisioni infrastrutturali che le scansioni dello stato attuale non possono osservare.
Identificazione di tenant SaaS non autorizzati che operano all'interno del perimetro di identità dell'organizzazione, motori auto-ospitati che operano al di fuori della governance aziendale e infrastrutture orfane mantenute oltre la loro vita operativa — le classi di asset che generano incidenti perché nessuno ne è attualmente responsabile.
Test convalidati per vulnerabilità di injection (SQL, server-side request forgery, template, command) contro gli endpoint inclusi nell'ambito, eseguiti esclusivamente sotto autorizzazione scritta formale. Questa attività sposta l'ingaggio dalla ricognizione passiva a un territorio di valutazione attiva e richiede in anticipo un Scope of Work firmato.
Scoperta di wallet multi-chain (BTC, ETH, XRP, SOL, ERC-20), screening automatizzato delle sanzioni OFAC SDN contro le liste del Tesoro USA, analisi approfondita della cronologia dei wallet, attribuzione degli exchange, valutazione del rischio dei token e scoperta di endpoint DeFi (nodi RPC esposti, chiavi API del provider trapelate, rilevamento di wallet amministrativi). Per le organizzazioni del settore crypto-asset o per quelle che necessitano di verificare l'esposizione blockchain dei controparti come parte della due diligence o degli obblighi di conformità.
Analisi statica e simbolica delle vulnerabilità di smart contract Solidity verificati, distribuiti su Ethereum e catene compatibili EVM. Copre pattern di reentrancy, debolezze nel controllo degli accessi, ritorni di chiamate esterne non verificati, condizioni di overflow intero, vettori di injection delegatecall, lacune di autorizzazione del self-destruct e suscettibilità al front-running — coprendo l'intera gamma di classificazioni di debolezza dei smart contract documentate. L'analisi è eseguita esclusivamente su codice sorgente di contratti verificati pubblicamente — non è richiesto né richiesto l'accesso a repository private o codebase interne. Disponibile come parte dell'ambito esteso dell'ingaggio per le organizzazioni che operano o valutano l'esposizione all'infrastruttura finanziaria on-chain.
Valutazione completa della resilienza dell'infrastruttura crittografica contro le minacce del calcolo quantistico. Valuta le configurazioni di scambio chiavi TLS su algoritmi ibridi e puri post-quantistici standardizzati, la prontezza alla migrazione dell'algoritmo dei certificati, lo stato di modernizzazione dello scambio chiavi SSH, la sicurezza quantistica della crittografia del trasporto email e l'esposizione a vulnerabilità di downgrade del protocollo. Include un'analisi consapevole del CDN che differenzia tra protezione post-quantistica fornita dall'edge e nativa all'origine — una distinzione critica per le organizzazioni che dipendono dall'infrastruttura di distribuzione dei contenuti. La valutazione mappa i risultati ai requisiti crittografici CRA Art. 10, agli obblighi di stato dell'arte NIS2 Art. 21 e alle linee guida sugli algoritmi consigliati BSI TR-02102-1. Consegnata con un punteggio di prontezza quantificato che riflette lo stato reale di implementazione su tutti gli endpoint crittografici osservabili esternamente.
Ogni vulnerabilità identificata è correlata a una specifica tecnica e sotto-tecnica MITRE ATT&CK, con identificazione delle lacune di copertura e raccomandazioni di priorità per l'ingegneria della rilevazione. Si integra direttamente nella roadmap di detection-engineering delle organizzazioni che gestiscono un Security Operations Centre o una capacità equivalente.
Identificazione specifica per settore dei gruppi di minacce persistenti avanzate (APT) con attività di targeting documentata contro il verticale industriale dell'organizzazione. Incrocia i database di attori minacciosi attribuiti dal governo con le liste di tracciamento delle autorità nazionali di cybersicurezza per evidenziare i gruppi sponsorizzati dallo Stato più rilevanti per il settore, la geografia e il profilo operativo dell'organizzazione. Ogni gruppo identificato è presentato con attribuzione di paese, alias noti, settori target documentati, classificazione del tipo di incidente e riferimenti diretti ai corrispondenti profili di gruppo MITRE ATT&CK. Consegnato con badge di stato tracciati da BSI per i gruppi monitorati attivamente dalle autorità nazionali di cybersicurezza. Disponibile per tutti i settori industriali coperti dall'ambito della valutazione.
Organizzazioni che richiedono comunemente l'ambito esteso: appaltatori di tecnologie di difesa e a duplice uso, Contract Development & Manufacturing Organizations (CDMOs), operatori di infrastrutture critiche nazionali, infrastrutture dei mercati finanziari, ambienti di convergenza tra Operational Technology e IT industriale, istituzioni di ricerca che gestiscono dati regolamentati.
Invia il dominio della tua organizzazione per un riepilogo gratuito dell'esposizione esterna — consegnato entro 48 ore.
Seleziona il tipo di valutazione e fornisci il dominio principale della tua organizzazione. Tutte le sottomissioni sono trattate come confidenziali.