VALUTAZIONE DELLA SICUREZZA // CHIMERASCOPE
Valutiamo la superficie di attacco esterna del vostro organismo e forniamo un rapporto crittografato e mappato in base alla conformità — l'unica valutazione a questo livello che mappa ogni riscontro su articoli regolamentari specifici di CRA, NIS2, ISO 27001, GDPR, DORA e MiCA.
Valutiamo l'infrastruttura visibile al pubblico della vostra organizzazione — domini, sottodomini, certificati, sicurezza delle email, servizi esposti, configurazioni del cloud e dipendenze da terze parti — utilizzando una metodologia di valutazione proprietaria sviluppata in anni di ricerca sulla sicurezza.
Ogni riscontro viene mappato automaticamente agli articoli del quadro normativo applicabili alla vostra organizzazione. Il risultato è un rapporto strutturato e crittografato che utilizza il linguaggio sia del vostro team tecnico che dei vostri ufficiali di conformità.
Questo non è un test di penetrazione. Non interagiamo con i vostri sistemi al di là di ciò che qualsiasi osservatore esterno potrebbe vedere. Non è richiesta alcuna autorizzazione per l'ambito di valutazione standard — pur consigliando un accordo formale di collaborazione per tutte le valutazioni a pagamento.
Valutazione completa consegnata come PDF crittografato con AES-128, con indice completo, valutazione esecutiva (A–F) e catena di custodia forense. Di solito 30–50 pagine, a seconda della complessità dell'infrastruttura.
Ogni riscontro mappato a specifici articoli: Articoli 10, 11 e 14 del CRA — Misure dell'Articolo 21 di NIS2 — Controlli dell'Allegato A di ISO 27001 — Requisiti tecnici dell'Articolo 32 del GDPR — Articoli 5–12, 17, 24 e 28 di DORA per entità finanziarie — Articoli 62, 67, 68, 75, 79 e 83 di MiCA per fornitori di servizi di asset crittografici — con scheda di conformità dedicata MiCA/DORA (valutazione PASS/FAIL per articolo). Annotazioni specifiche per settore dove applicabile.
Riassunto pronto per la sala riunioni con giudizio complessivo sulla sicurezza, tabella di valutazione della prontezza CRA con indicatori a semaforo e matrice di priorità per la risoluzione organizzata per impatto e sforzo.
Catena di prove forensi con hash SHA-256 e codice QR per la verifica. Esportazione JSON leggibile da macchine compatibile con piattaforme SIEM, Jira e ServiceNow per l'integrazione diretta nel tuo flusso di lavoro per la risoluzione.
La segnalazione delle vulnerabilità diventa obbligatoria dal 11 settembre 2026. Conformità completa richiesta entro il dicembre 2027. Mappiamo le scoperte agli Articoli 10 (requisiti di sicurezza informatica), 11 (gestione delle vulnerabilità) e 14 (obblighi di segnalazione). Sanzioni: fino a 15 milioni di euro o il 2,5% del fatturato annuo globale.
Valutazione delle misure di sicurezza dell'Articolo 21 su tutti i domini applicabili. Disponibile una mappatura specifica per settore per enti del settore sanitario, energetico, trasporti, acqua e infrastrutture digitali. Attiva in Danimarca, Finlandia e Svezia da gennaio 2026.
Mappatura dei controlli dell'Allegato A con identificazione delle lacune rispetto ai requisiti di gestione della sicurezza delle informazioni. Particolarmente rilevante per le organizzazioni che perseguiamo o mantengono la certificazione — le nostre scoperte sono integrate direttamente nel vostro Statement of Applicability.
Valutazione delle misure tecniche e organizzative dell'Articolo 32. Valutazione dell'esposizione dei dati, scoring dei rischi di violazione e identificazione delle attività di elaborazione visibili dall'attacco esterno.
Obbligatorio per enti finanziari dell'UE. Mappiamo le scoperte agli Articoli 5–6 (gestione dei rischi ICT), Articolo 7 (gestione delle patch), Articolo 9 (controllo degli accessi, crittografia), Articoli 10–11 (rilevamento e risposta), Articolo 17 (segnalazione degli incidenti), Articolo 24 (test di resilienza) e Articolo 28 (rischi di terze parti). La mappatura per la conformità DORA è inclusa in tutte le valutazioni a pagamento.
Quadro normativo UE per i fornitori di servizi di crypto-attività (CASPs), attivo da giugno 2024 con applicazione completa da dicembre 2024. Mappiamo le scoperte agli Articoli 62 (gestione dei rischi ICT), 67 (resilienza operativa), 68 (requisiti di salvaguardia), 75 (conservazione e amministrazione), 79 (servizi di scambio) e 83 (gestione delle reclami). Gli obiettivi di crypto-attività ricevono un punteggio dedicato di conformità MiCA/DORA con valutazione PASS/FAIL/WARN per articolo nel rapporto consegnato. Essenziale per gli scambi, i fornitori di portafogli di custodia e qualsiasi ente che offra servizi di crypto-attività nell'UE.
Protezione dei dati delle sperimentazioni cliniche, esposizione dei sistemi produttivi, verifica della conformità GxP. L'analisi include l'equipaggiamento connesso dei laboratori, i portali di ricerca e le interfacce API con le organizzazioni partner.
Valutazione dell'ambiente dati multi-cliente, valutazione della prontezza all'audit FDA/EMA. Particolare attenzione all'esposizione della catena di fornitura, ai rischi di infrastruttura condivisa e alla verifica dell'isolamento dei dati tra clienti.
Analisi dell'ecosistema dei dispositivi connessi, valutazione della conformità dei prodotti CRA. Include l'analisi dell'esposizione del firmware, la sicurezza dei meccanismi di aggiornamento, l'autenticazione API e la postura della piattaforma di gestione cloud.
Valutazione dei rischi di convergenza OT/IT per prodotti connessi applicabili a CRA. Esposizione delle reti di sensori, rilevamento delle interfacce SCADA, valutazione della sicurezza delle piattaforme di gestione cloud e della sicurezza del calcolo edge.
Esposizione dei sistemi di archiviazione elettronica delle cartelle cliniche, valutazione dei rischi per i dati dei pazienti. Mappatura dei requisiti del settore sanitario NIS2, sicurezza delle piattaforme di telemedicina e valutazione degli endpoint di integrazione.
Valutazione della prontezza alla conformità DORA, valutazione della postura di sicurezza delle API. Analisi dell'infrastruttura dei pagamenti, esposizione della banca mobile e mappatura dei rischi dei fornitori terzi.
Prontezza alla conformità MiCA per fornitori di servizi di asset crittografici, exchange e operatori di wallet custodiali. Intelligenza sugli indirizzi blockchain con screening delle sanzioni OFAC, analisi dell'esposizione dei wallet, valutazione del rischio token e verifica del Proof of Reserves. Copre gli ecosistemi BTC, ETH, XRP, SOL e token ERC-20.
L'analisi standard copre la superficie esterna di attacco core descritta sopra. Per le organizzazioni con requisiti regolamentari, operativi o settoriali specifici, l'ambito dell'incarico può essere esteso con attività aggiuntive di ricognizione e verifica – selezionate per corrispondere alla postura al rischio e agli obblighi di conformità dell'organizzazione.
Scoperta di piattaforme di ragionamento auto-ospitate, framework di agenti, server del Model Context Protocol e interfacce pubbliche di inferenza che costituiscono sempre più la superficie esterna di attacco delle organizzazioni moderne. Include la rilevazione dell'esposizione, la postura di autenticazione degli interfacce di gestione e l'incrocio con classi di vulnerabilità note per motori di inferenza e piattaforme di orchestrazione.
Analisi del rischio delle dipendenze JavaScript con arricchimento CVE, validazione della Subresource Integrity su risorse di terze parti, attribuzione di domini CDN scaduti (un percorso documentato di acquisizione per proprietà di marca a lunga vita) e valutazione della postura di sicurezza delle piattaforme SaaS di terze parti per l'ecosistema dei fornitori visibile dalla vostra superficie esterna.
Analisi della cronologia dell'infrastruttura attraverso modelli di modifica DNS e BGP, evoluzione del contenuto archiviato, deriva nel tempo delle impronte digitali dei servizi e correlazione tra certificati TLS correnti e storici. Rileva schemi operativi e decisioni infrastrutturali che gli scanner di stato attuale non riescono ad osservare.
Identificazione di tenant SaaS non autorizzati operanti sotto il perimetro identitario dell'organizzazione, motori auto-ospitati operanti al di fuori della governance aziendale e infrastrutture orfane mantenute oltre la loro vita operativa – classi di asset che generano incidenti poiché attualmente non sono di proprietà di alcun soggetto.
Test validati per vulnerabilità di iniezione (SQL, falsificazione della richiesta del server, template, comandi) su endpoint in ambito, eseguiti esclusivamente su autorizzazione scritta formale. Questa attività sposta l'incarico da ricognizione passiva a valutazione attiva e richiede un Accordo di Ambito firmato in anticipo.
Scoperta di portafogli multi-chain (BTC, ETH, XRP, SOL, ERC-20), screening automatico delle sanzioni OFAC SDN contro le liste del Tesoro USA, analisi cronologica approfondita del portafoglio, attribuzione agli exchange, valutazione del rischio dei token e scoperta degli endpoint DeFi (nodi RPC esposti, chiavi API del provider perdute, rilevamento del portafoglio amministrativo). Per organizzazioni del settore crypto-asset o quelle che devono verificare l'esposizione blockchain dei contraenti nell'ambito di verifiche di conformità o obblighi di due diligence.
Ogni scoperta identificata correlata a una tecnica e sottotecnica MITRE ATT&CK specifica, con identificazione delle lacune di copertura e raccomandazioni per la priorità di progettazione della rilevazione. Integra direttamente nella roadmap di progettazione della rilevazione delle organizzazioni che operano un Centro Operativo Sicurezza o capacità equivalente.
Organizzazioni che richiedono comunemente un ambito esteso: contrattisti di tecnologia difensiva e a doppio uso, Organizzazioni di Sviluppo e Produzione Contrattuale (CDMO), operatori di infrastrutture critiche nazionali, infrastrutture di mercato finanziario, ambienti di convergenza tra Operational Technology e Industrial IT, istituti di ricerca che gestiscono dati regolamentati.
Inoltra il dominio della tua organizzazione per un External Exposure Summary gratuito — fornito entro 48 ore.
Seleziona il tipo di valutazione e fornisci il dominio primario della tua organizzazione. Tutte le sottomissioni vengono trattate come riservate.