Attack Readiness

Saps el que veuen els atacants
abans que trobin la teva xarxa.

Una simulació d'atac controlada sobre tot el que és accessible des de l'exterior. La teva superfície d'atac externa completament mapeada i provada per hackers ètics certificats.

Sol·licita un pentest 24/7 Línia d'Incidents

Què és un pentest extern?

Saps que els teus sistemes són accessibles des de l'exterior. Tens serveis exposats a internet que necessiten protecció. Reps una imatge confirmada del que un atacant pot fer realment amb ells. Un pentest extern simula la perspectiva d'un atacant sense coneixement previ ni accés intern. Descobreixes quins sistemes són accessibles, quines vulnerabilitats són explotables i quines cadenes d'atac estan obertes. Reps un informe amb troballes concretes, evidència d'explotació i passos de remediació directes.

Sobre aquest servei

Pentest Extern: la perspectiva de l'atacant com a fonament

La teva superfície d'atac externa és el que un atacant veu primer. Cada servei públicament accessible, des del teu lloc web fins a la teva passarel·la VPN, és un punt d'entrada potencial. Un pentest extern simula la perspectiva d'un atacant extern que intenta entrar sense coneixement previ ni accés intern.

L'equip comença amb OSINT: quina informació sobre la teva organització és troble en línia? Subdominis, adreces de correu electrònic, opcions tecnològiques, credencials filtrades. A continuació, tots els serveis públicament accessible es proven sistemàticament per detectar vulnerabilitats. No només CVEs conegudes, sinó també configuracions incorrectes, autenticació feble, filtracions d'informació i errors de lògica.

El que distingeix un pentest extern de DEFION és l'enfocament en les cadenes d'atac. Una vulnerabilitat individual pot semblar de baix risc, però combinada amb altres troballes el camí cap a la compromissió total pot estar obert. L'equip pensa com un atacant: no en vulnerabilitats aïllades, sinó en escenaris.

Per què és important

Tres riscos que minen la teva seguretat externa

  • Els atacants escanegen contínuament els teus sistemes públics

    Els escàners automatitzats funcionen 24/7 i troben els teus sistemes en minuts. Un únic punt d'entrada explotable pot conduir a la compromissió total dels sistemes interns.

  • Shadow IT i sistemes oblidats amplien la teva superfície d'atac

    Entorns de proves oblidats, serveis al núvol mal configurats i subdominis no documentats queden exposats sense que ho sàpigues. L'OSINT recupera més del que la majoria d'equips d'IT esperen.

  • Les vulnerabilitats aïllades es combinen en cadenes d'atac

    Una vulnerabilitat CVSS 5.0 sembla de baix risc de forma aïllada. Combinada amb una filtració d'informació i autenticació feble es converteix en la porta d'entrada a la teva xarxa. Els escaneigs automatitzats no veuen aquesta combinació.

Què es prova

Abast del pentest extern

Llocs web i aplicacions web accessible públicament
Passarel·les VPN i solucions d'accés remot
Configuració DNS i transferències de zona
Rangs d'IP públics i ports oberts
APIs accessibles externament
Interfícies d'administració remota (RDP, SSH, panells d'admin)
Infraestructura de correu (SPF, DKIM, DMARC, relay obert)
Configuració SSL/TLS i gestió de certificats
Exposicions relacionades amb el núvol (buckets S3, Azure Blob Storage)
Metodologia

Com realitza DEFION un pentest extern

01

Inici i definició d'abast

Inventari d'actius externs, dominis i rangs d'IP. Es documenten regles, restriccions i planificació.

02

OSINT i reconeixement

Recollida d'informació passiva i activa. Enumeració de subdominis, credencials filtrades, fingerprinting tecnològic.

03

Anàlisi d'amenaces

A partir de la informació recollida s'identifiquen els vectors d'atac més probables.

04

Explotació

Proves actives de CVEs, configuracions incorrectes, credencials febles, atacs de força bruta i errors d'aplicacions web. Les troballes s'encadenen en rutes d'atac.

05

Post-explotació

Determinació del que un atacant pot assolir després de l'accés inicial. Es documenten moviment lateral, escalada de privilegis i exfiltració de dades.

06

Informe i presentació

Informe amb resum executiu, detalls tècnics, puntuacions CVSS i passos de remediació. Presentació amb el teu equip.

Què reps

Lliurables

  • Resum executiu adequat per a direcció i consell
  • Informe tècnic per vulnerabilitat: descripció, evidència (captures, PoC), puntuació CVSS i passos de remediació
  • Visió general de la superfície d'atac externa
  • Presentació de l'informe (virtual o presencial)
  • Registres, captures i sortida d'eines com annexos
  • Opcional: nova prova després de la remediació
Públic objectiu

Per a qui és un pentest extern?

Un pentest extern és rellevant per a qualsevol organització amb sistemes accessibles públicament. No només tens un risc tècnic, sinó també una obligació de compliment si prestas serveis digitals a clients o socis.

  • Organitzacions amb portals orientats al client, botigues en línia o plataformes SaaS
  • Empreses que necessiten demostrar compliment ISO 27001, SOC 2 o NIS2
  • Equips d'IT i seguretat que busquen validació independent de la seva seguretat externa
  • Organitzacions que recentment han migrat al núvol o han llançat nous serveis
  • Empreses després d'una fusió o adquisició on el panorama extern ha canviat
Preguntes freqüents

FAQ

Quina diferència hi ha entre un pentest extern i un escaneig de vulnerabilitats?
Un escaneig executa comprovacions automatitzades i informa sobre vulnerabilitats conegudes en funció dels números de versió. Un pentest extern va molt més lluny: l'equip intenta explotar vulnerabilitats, encadena troballes en rutes d'atac i prova errors de lògica i configuració que els escàners no detecten. És la diferència entre una llista de verificació i un atac simulat.
Com es defineix l'abast d'un pentest extern?
Durant l'inici del projecte inventariem junts tots els actius externs: dominis, rangs d'IP, aplicacions web, passarel·les VPN i altres serveis accessibles públicament. En base a això elaborem un document d'abast amb límits i acords clars.
Puc excloure sistemes específics?
Sí. Durant la definició de l'abast definim exactament quins sistemes s'inclouen i quins no. Si certs sistemes són massa fràgils o estan fora de l'abast, ho documentem a les Regles d'Engajament.
Quan rebré l'informe?
Normalment dins dels 5 dies hàbils posteriors a la finalització de la prova. Les troballes crítiques es comuniquen immediatament, perquè no hagis d'esperar a l'informe final.
En qué es diferencia un pentest extern del red teaming?
Un pentest extern es centra en identificar el major nombre possible de vulnerabilitats en la teva superfície d'atac externa. El red teaming simula un atac complet amb un objectiu específic i inclou enginyeria social i accés físic. El pentest extern és més ampli en cobertura però més limitat en tècniques d'atac.
Pentest Intern

Més informació →
Pentest d'Aplicacions Web

Més informació →
Avaluació de Seguretat al Núvol

Més informació →
Red Teaming

Més informació →

Preparat per provar la teva superfície d'atac externa?

Explica'ns el que vols provar. Junts definim l'abast correcte i comencem en qüestió de dies.

Sol·licita un pentest 24/7 Resposta a Incidents