resposta a incidents

Realitzar un pentest

Descobreix on és realment vulnerable la teva organització

  • Provat manualment - sense falsos positius

  • Caixa gris estàndard, experiència OT disponible

  • Retest inclòs després de la correcció


Els informes de compliment diuen què és correcte sobre el paper. Un pentest mostra què pot fer un atacant en la pràctica.

DEFION realitza proves de penetració per a organitzacions on la parada, la pèrdua de dades o el dany a la reputació no són una opció. Independent, sense bloqueig de proveïdor, per hackers ètics sènior amb anys d'experiència pràctica.

envia'ns un correu electrònicPrograma una entrevista inicial ara

Una sola vulnerabilitat és suficient

Els atacants no busquen totes les debilitats. Busquen una sola entrada.

Moltes organitzacions confien en el compliment, les eines o els controls interns - i descobreixen massa tard que la resistència real és diferent de la que es pensava. Un pentest fa visible aquesta diferència, abans que algú altre ho faci.

Un pentest de DEFION t'ofereix informació sobre:

  • Quines vulnerabilitats hi ha i com es poden explotar concretament
  • Quins camins d'atac pot seguir un atacant - incloent atacs combinats
  • Quin impacte té en la teva operativa, dades i reputació
  • Quines accions de millora mereixen prioritat per als equips de seguretat, TI i desenvolupament

envia'ns un correu electrònicTruca a un especialista

El nostre enfocament: manual, metòdic, orientat al context

Les eines automatitzades troben patrons coneguts. Els nostres especialistes troben el que les eines no detecten. Les proves de penetració DEFION es realitzen principalment de manera manual. Els nostres hackers ètics utilitzen experiència, lògica i creativitat per oferir una imatge realista de les vulnerabilitats que un atacant realment podria explotar. Tota la sortida de les eines automàtiques es verifica manualment: no hi ha falsos positius en el vostre informe.

El nostre estàndard és grey-box: provem des del rol tant d'un usuari no autenticat com d'un usuari autenticat. Això proporciona la imatge més realista de la vostra superfície d'atac. Les troballes es contrasten amb els estàndards establerts de l'OWASP Top-10 i les directrius de l'NCSC, complementades amb l'experiència pròpia d'investigació que DEFION ha acumulat en més de vint anys de proves de penetració. Així, teniu la garantia que sempre es comproven totes les vulnerabilitats conegudes.

Què us aporta concretament una prova de penetració DEFION

  • Simulació d'atac realista per hackers ètics experimentats
  • Coneixement de les vulnerabilitats i com es poden combinar o explotar
  • Priorització de riscos basada en el vostre context empresarial específic i l'impacte
  • Informe tant a nivell tècnic com de gestió — sense soroll innecessari
  • Accions de millora concretes, aplicables directament pels vostres equips
  • Possibilitat de re-prova després de la correcció — per assegurar que està tancat
Guy 1

Més de 20 anys de proves de penetració a la pràctica

DEFION (originat de Computest Security i Incide) realitza proves de penetració per a organitzacions en sectors crítics des de fa més de dues dècades. Aquesta experiència es reflecteix en cada prova, no només en el mètode, sinó en el judici de l'especialista darrere del teclat.

Els nostres hackers ètics disposen de certificacions reconegudes com OSCP, OSWE i OSEP. Tots els especialistes tenen un Certificat de Bona Conducta (VOG) i estan subjectes a una estricta confidencialitat.

500
PROVES DE PENETRACIÓ
ANUALMENT
OBJECTIU
SATISFETS
CLIENTS
EXPERIMENTATS
ÈTICS
HACKERS

Quin pentest s'adapta a la vostra situació?

Depenent del vostre paisatge IT i objectius, realitzem diferents tipus de proves:

Pentest d'aplicacions web

Prova exhaustiva d'aplicacions web i API segons OWASP i CVSS. Grey-box com a estàndard, black- o whitebox a petició. Per a organitzacions amb portals de clients, productes SaaS o entorns web crítics.

Pentest intern

Simulació d'un atacant que ja està dins - a través d'un empleat, proveïdor o dispositiu compromès. L'Active Directory s'avalua pel que fa a l'estructura de permisos, la presència de contrasenyes febles i les possibilitats de moviment lateral. A més, realitzem una avaluació de l'entorn Microsoft 365 (configuració, drets d'accés i possible exposició de dades), les xarxes WiFi i els espais de treball virtuals com Citrix i thin clients, i l'enduriment de les estacions de treball i portàtils basat en les millors pràctiques.

Pentest extern

Simulació d'atac des de la perspectiva d'un atacant extern. Què és visible des d'internet, quins serveis són accessible de manera no intencionada, i què pot aconseguir un atacant amb això? Inclou Anàlisi de Credencials Filtrades - són encara útils les contrasenyes dels vostres empleats de filtracions de dades anteriors?

Pentest OT

Simulació controlada d'atac en entorns industrials i de control de processos. DEFION ha adaptat específicament la metodologia de prova per a entorns OT - per minimitzar l'impacte en la disponibilitat i el correcte funcionament. Abans de la prova, DEFION discuteix tots els riscos amb el vostre equip. Els escenaris de prova s'ajusten a la vostra arquitectura específica: segmentació de xarxa, autenticació, accés de proveïdors i components segurs.

Avaluació de seguretat al núvol

Avaluació del vostre entorn al núvol en gestió d'identitat i accés, seguretat de xarxa, configuració d'emmagatzematge, monitoratge de seguretat i compliment normatiu. Inclou consulta amb el vostre administrador del núvol per contextualitzar els resultats.

Compromís de Red Team

Simulació d'atac avançada i basada en escenaris enfocada a la vostra capacitat completa de detecció i resposta. No només vulnerabilitats tècniques — també persones, processos i accés físic.

Durant la presa de contacte determinem conjuntament quin enfocament és adequat.

Objects

Com funciona un pentest a DEFION

  1. Abast i presa de contacte: Definim conjuntament objectius, sistemes i condicions. L'especialista en seguretat elabora un pla de proves amb l'abast exacte, adreces IP, URL i perspectiva d'atac.

  2. Fase de prova — Simulació d'atac manual per un hacker ètic experimentat. Metòdic i controlat — dins l'abast acordat, amb atenció a la continuïtat operativa.

  3. Informe i priorització — Informe clar amb troballes a nivell tècnic i de gestió. Riscos prioritzats segons l'impacte en el negoci. No una llista genèrica — sinó coneixements aplicables directament.

  4. Discussió de l'informe — Explicació personalitzada de les troballes per l'especialista executant. Perquè el vostre equip entengui què s'ha trobat i què cal abordar primer.

  5. Validació — Després de la correcció, tornem a provar les mitigacions. Perquè tingueu la certesa que la vulnerabilitat s'ha solucionat realment.

"Amb DEFION hem fet un gran avanç. La sensació de control és més gran. Els especialistes són molt tècnics i apassionats pel seu camp. Això es reflecteix clarament en els seus serveis." FuturumShop, client de comerç electrònic

AFAS defensat activament per DEFION
"Gràcies a DEFION, ens beneficiem de coneixements actualitzats sobre les amenaces de seguretat contemporànies i els mitjans per evitar riscos. Tenim tranquil·litat sabent que comptem amb el suport complet del seu equip les 24 hores del dia, els 7 dies de la setmana."
Jeroen van Stokkum
Responsable TIC
Llegeix la història
AFAS defensat activament per DEFION
Avy col·labora amb DEFION per protegir dades sensibles de drons
“El sector i els socis amb els quals treballem mantenen alts estàndards de seguretat. Protegir la privadesa de les persones a les imatges i la sensibilitat de la informació que recullen els drons, com ara sobre objectes en infraestructures crítiques, requereix que la nostra seguretat sigui hermètica. Amb Defion, treballem amb un soci professional que ens pot donar suport al nivell adequat. La col·laboració també encaixa perfectament dins la nostra estratègia per oferir tecnologia de drons fiable i segura als clients europeus.”
Llegeix la història
NAD Water Control col·labora amb DEFION per garantir el compliment de NIS2 per a OT
“Els nous requisits de NIS2 per als sistemes OT augmenten l'enfocament en la seguretat. Amb Defion, sabem que tenim l'expertesa adequada a casa per mantenir els nostres sistemes segurs. La col·laboració va ser fàcil i agradable; els especialistes realment es van asseure al nostre costat en lloc d'enfront nostre. Gràcies a la seva obertura i expertesa, treballem junts cap al mateix objectiu: la seguretat òptima. Això ens dóna la confiança per afrontar el futur.”
Llegeix la història
FuturumShop impulsa la resiliència cibernètica amb DEFION com a soci de seguretat de servei complet
“Si mires on érem fa deu anys, hem fet un progrés enorme. La sensació de control és més gran. Amb Security Assurance i MDR hem establert processos i mecanismes de control que ens permeten limitar l'impacte d'un atac potencial. La col·laboració també serveix com un recordatori constant per mantenir el focus en la seguretat i establir les prioritats adequades en aquesta àrea. Ens manté alerta i atents. A més, els especialistes de Defion són altament tècnics i apassionats pel seu camp. Això es reflecteix clarament en els seus serveis.”
Llegeix la història
El valor afegit dels pentests de DEFION segons els nostres clients

Per a quines organitzacions realitzem pentests?

Els nostres pentests es realitzen per a tot tipus d'organitzacions en diversos sectors:

  • Amb entorns IT crítics per al negoci
  • En sectors altament regulats, com infraestructura crítica, finances i administració pública
  • Amb equips propis de desenvolupament
  • Que volen certesa en lloc de suposicions
Voleu saber on és realment vulnerable la vostra organització? Poseu-vos en contacte amb nosaltres directament.
Comp 1

Preguntes freqüents

Quina diferència hi ha entre un pentest i una avaluació de vulnerabilitats?

Una avaluació de vulnerabilitats identifica vulnerabilitats de manera àmplia. Un pentest va més enllà: els nostres hackers ètics intenten explotar realment les vulnerabilitats per determinar què pot aconseguir un atacant. Tots dos tenen el seu valor: durant la presa de contacte us aconsellem quin enfocament s'adapta millor.

Quina diferència hi ha entre grey-box, black-box i white-box?

En black-box el tester comença sense coneixements previs — com un atacant extern. En white-box el tester té accés complet a la documentació i al codi font. Grey-box està entre mig i generalment ofereix la imatge més realista i eficient. DEFION tria per defecte grey-box, tret que la vostra situació demani una altra cosa.

Quant dura un pentest?

Un pentest enfocat a aplicacions web sol durar entre 3 i 5 dies. Un pentest intern ampliat o un compromís de red team pot durar diverses setmanes. Ajustem el temps segons la vostra planificació i objectius.

Es pot utilitzar un pentest per a NIS2 o ISO 27001?

Sí. Un pentest proporciona proves tècniques demostrables del vostre nivell de seguretat, rellevant tant per al compliment de NIS2 com per a la certificació ISO 27001 i els requisits DORA.

DEFION també realitza pentests OT?

Sí, amb una metodologia adaptada que té en compte específicament la disponibilitat i vulnerabilitat dels sistemes industrials. Sempre discutim prèviament els riscos amb el vostre equip.

Quant costa un pentest?

El cost depèn de l'abast, tipus de prova i complexitat. Contacteu-nos per a una indicació personalitzada — normalment podem oferir una primera estimació en un dia laborable.

Una primera estimació en un dia laborable

Programa una conversa sobre l'abast

Serveis relacionats

Converteix la vigilància 24/7 en una veritable capacitat de resposta

Parla amb el nostre equip i descobreix com una resposta ràpida i dirigida per experts canvia la teva equació de seguretat.

Contacta amb nosaltres