Pentest per Energia e Utility (OT/SCADA)
Sicurezza offensiva in ambienti OT, SCADA, smart grid e infrastruttura critica energetica.
Perché ora
Il dolore reale
Generatori, trasmissione e distribuzione sono nella lista dei target prioritari per attori statuali. Un attacco a SCADA può lasciare una città al buio — e la regolamentazione ONS/ANEEL non perdona chi viene colto impreparato.
Regolamentazione applicabile
/superficie-di-attacco
Vettori che testiamo in energia e utility
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
SCADA / DCS
Audit di Modbus, DNP3, IEC 60870-5, OPC-UA. Segmentazione Purdue Level 2/3.
RTU e PLC
Analisi di firmware, autenticazione debole, default credentials, comunicazione in chiaro.
Smart meter
AMI, comunicazione PLC/RF, manipolazione di lettura, frode di fine-misurazione.
Sottostazione digitale
IEC 61850, GOOSE, Sampled Values, segregazione di bus.
Ingegneria sociale via OT
Phishing mirato a operatori e ingegneri di campo.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Team formato in IEC 62443 e SP 800-82.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — Energia e Utility
Toccate produzione OT?
Non senza ambiente di omologazione. Lavoriamo prima su replica/simulatore e tocchiamo produzione solo con finestra approvata dall'ingegneria di operazione.
Coprite ONS/ANEEL?
Sì. Copriamo le procedure di rete e la REH 22/2022 di ANEEL per il settore elettrico.
/contatti
Pronto per un pentest serio in energia e utility?
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.