La Valutazione delle Vulnerabilità e il Test di Penetrazione (VAPT) di Gordon combina la scansione automatizzata delle vulnerabilità con test di penetrazione condotti da analisti certificati in un unico servizio disponibile continuamente, eliminando il divario tra valutazioni programmate ed esposizione continua.
Il servizio inizia con la scoperta automatizzata e la scansione delle vulnerabilità attraverso le superfici di attacco esterne e interne di un'organizzazione, inclusi infrastruttura di rete, applicazioni web, API, ambienti cloud e endpoint. Le vulnerabilità scoperte vengono validate per rimuovere i falsi positivi prima che i risultati vengano presentati, in modo che ogni risultato nel rapporto rifletta un problema confermato e sfruttabile piuttosto che un output grezzo dello scanner.
I tester di penetrazione certificati conducono quindi test di sfruttamento manuale contro obiettivi definiti, simulando le tattiche, tecniche e procedure utilizzate negli attacchi reali, inclusi l'escalation dei privilegi, il movimento laterale, il bypass dell'autenticazione, i difetti di iniezione e le vulnerabilità della logica aziendale che gli strumenti automatizzati non possono rilevare. I test coprono ambiti di infrastruttura di rete esterna, rete interna, applicazione web, API e cloud, configurabili per ogni ingaggio.
Ogni valutazione produce due formati di rapporto dagli stessi risultati: un rapporto tecnico con catene di exploit complete, asset interessati, punteggi CVSS e guida alla rimedio passo-passo per i team di sicurezza e ingegneria; e un riassunto esecutivo in linguaggio semplice per i leader e le parti interessate alla conformità, con una valutazione del rischio, una dichiarazione di impatto aziendale e un ordine di priorità per la rimedio. Entrambi sono consegnati entro l'SLA concordato, senza richiedere al cliente di riformattare o tradurre i risultati.
Le valutazioni completate mappano i risultati ai requisiti di SOC 2, ISO 27001, PCI DSS, HIPAA, NIST CSF e Cyber Essentials. I clienti ricevono un retest di verifica della rimedio senza costi aggiuntivi per confermare le correzioni prima di chiudere l'ingaggio. Tutti gli ambiti, la pianificazione, la reportistica e le richieste di retest sono gestiti tramite un portale self-service, senza coordinamento basato su email.
