Pentest esterno per uno studio legale

Settore

Servizi legali · studio di medie dimensioni · 30-60 professionisti · portafoglio con clienti corporate e cause sensibili.

Situazione iniziale

Su richiesta di un cliente corporate, lo studio doveva fornire evidenza di test di penetrazione recenti sui propri asset esposti a internet. L'infrastruttura combinava un portale clienti sviluppato su misura, un gestore documentale SaaS e servizi e-mail e di videoconferenza ereditati dalla prima ondata di digitalizzazione.

Approccio

Abbiamo condotto pentest esterno in modalità grey-box con scope limitato al portale clienti, all'infrastruttura di perimetro e ai sottodomini identificati. Sul layer web abbiamo applicato la metodologia basata su OWASP Top 10 e revisionato la configurazione TLS, l'esposizione dei servizi amministrativi e le politiche di gestione delle sessioni. Ogni rilievo è stato validato manualmente, classificato per CVSS e accompagnato da una raccomandazione specifica allo stack tecnologico del cliente.

Risultato

Abbiamo identificato 12 vulnerabilità valide (2 critiche, 4 alte, 6 medio-basse) e consegnato un piano di remediation prioritizzato con responsabile assegnato e tempistica stimata per ciascun rilievo. Lo studio ha chiuso entrambi i rilievi critici in 72 ore e completato il resto in sei settimane.

Insegnamento

Un pentest utile non è quello che trova più rilievi, ma quello che consegna un piano di remediation che l'organizzazione può effettivamente eseguire.

Tempo e impegno

3-4 settimane · 60-80 ore di consulenza · report tecnico + piano di remediation + riunione di chiusura.

Tag

Pentest · OWASP · Sicurezza web · CVSS · Remediation · Settore legale