01
CMDB obsoleti · shadow IT
La maggior parte delle org ha 20-40% di asset internet-facing che il CMDB non conosce. Shadow IT, M&A, sviluppatori esterni, marketing.
Quello che il vostro CMDB non vede.
External Attack Surface Management: discovery outside-in della superficie d'attacco esterna come la vede un attaccante. Asset internet-facing, vulnerabilità sfruttabili, shadow IT, M&A non integrati, cloud misconfiguration, leak di credenziali. Le esposizioni rilevate vengono prioritizzate con threat intelligence (CISA KEV, EPSS, attori attivi) — non un elenco di CVE teoriche, ma una lista di rischi concreti.
Standard · framework
NIST CSF
CISA KEV
EPSS
MITRE ATT&CK
Disciplina · sources
Certificate Transparency
Passive DNS
OSINT
Internet scanning
Il problema
Il VM scansiona quello che sa. L'attaccante trova il resto.
Il vulnerability management tradizionale è inside-out: scansiona ciò che il CMDB conosce. Ma l'attaccante non parte dal CMDB · parte da Shodan, Censys, certificate transparency, OSINT. EASM colma il gap · discovery outside-in, come l'attaccante.
02
CVE list senza priorità
Migliaia di CVE l'anno · solo alcune actively exploited. Senza correlazione con KEV, EPSS e attori attivi, il team patch ovunque o da nessuna parte.
03
Cloud & secret leak invisibili
Bucket S3 pubblici, secret in GitHub, environment variable in endpoint debug · fuori dal radar del VM tradizionale, ma fully visible all'attaccante.
La distinzione che cambia tutto
VM inside-out vs EASM outside-in.
Stessa disciplina (vulnerability), prospettiva opposta. EASM completa il VM tradizionale · non lo sostituisce.
VM tradizionale · inside-out
- Scansiona ciò che il CMDB conosce
- Richiede agent o credenziali
- Mappa l'inventory dichiarata
- Priorità: CVSS score puro
- Frequenza: settimanale o mensile
Necessario, non sufficiente
EASM Fortgale · outside-in
- Discovery senza CMDB · trova lo shadow IT
- Nessun agent, nessuna credenziale, nessuna integrazione
- Mappa l'inventory reale (CMDB + tutto il resto)
- Priorità: CISA KEV + EPSS + attori attivi
- Frequenza: rescan completo 24h, critical 4-6h
Complementare · actor-aware
Il metodo · 4 step
Da OSINT a regola di priorità.
Quattro fasi documentate · dal discovery outside-in alla regola di priorità tarata sugli attori attivi contro il vostro settore.
- 01Mapping del perimetro come lo vede l'attaccante
Discovery outside-in
Discovery completamente outside-in: nessun agent, nessuna credenziale, nessun accesso interno. Sources: certificate transparency log (CT), passive DNS, internet-wide scanning, ASN profiling, OSINT, registrar feed.
- 02Dall'asset al banner
Enumeration e fingerprinting
Per ogni asset rilevato: enumeration di porte, servizi, banner, software versioning, certificati TLS, header HTTP, redirect chain. Identificazione precisa dello stack tecnologico (Apache vs Nginx, IIS, Tomcat, application server, framework).
- 03Da CVE generica a CVE che vi colpisce
Prioritization con CTI
Le vulnerabilità rilevate vengono correlate con CISA KEV (Known Exploited Vulnerabilities), EPSS score, e gli attori attivi tracciati dalla CTI Fortgale. Solo ciò che è realmente sfruttato contro il vostro settore sale in priorità.
- 04Da scan one-shot a sorveglianza continua
Continuous monitoring & delta alert
Rescan completo ogni 24 ore. Asset critici (VPN, Citrix, MOVEit, Fortinet) ogni 4-6 ore. Alert real-time sui delta: nuovi asset esposti, certificato in scadenza, banner version cambiato, nuova KEV per il vostro stack.
Categorie di discovery
Cinque categorie di esposizione · coverage completa.
Le cinque famiglie di esposizioni che l'EASM Fortgale mappa in continuo · ciascuna con metodologia e fonti dedicate.
Categoria 01
Asset Discovery
Dominio · subdomain · IP · ASN · certificati
Discovery di tutti gli asset internet-facing dell'organizzazione: domini e subdomain (root + acquisizioni + brand), IP range (ASN-owned + cloud-hosted), certificati, endpoint API. La maggior parte delle org scopre 20-40% di asset che non sapeva di avere.
- Certificate Transparency Monitoring continuo dei CT log per certificati emessi su domini di proprietà · trova subdomain non dichiarati prima che siano attivi.
- Passive DNS Database storico delle risoluzioni DNS · permette di trovare subdomain dismessi ma ancora rispondenti.
- ASN profiling Mapping degli ASN di proprietà o utilizzati · identifica asset cloud-hosted (AWS, Azure, GCP) e on-prem.
- Brand & acquisition tracking Domini acquistati post-M&A, domini brand-protection, typosquatting domain di proprietà.
- Endpoint API & GraphQL Discovery di endpoint API esposti, GraphQL introspection abilitata, OpenAPI/Swagger esposti.
Categoria 02
Vulnerability Intelligence
CISA KEV · EPSS · exploitation in-the-wild
Le vulnerabilità da sole non sono priorità. La priorità è data dalla correlazione con exploitation reale: gruppi ransomware attivi, mass exploitation campaign, attori target del settore.
- CISA KEV catalog Tracking del catalogo CISA delle vulnerabilità attivamente sfruttate · alert immediato se appare un CVE del vostro stack.
- EPSS score Exploit Prediction Scoring System · probabilità di sfruttamento nei prossimi 30 giorni · combinato con CVSS per scoring composito.
- Mass exploitation campaign Tracking di campagne mass exploitation (Cl0p MOVEit, Akira Cisco ASA, Black Basta Citrix) · alert se siete potenziali target.
- 0-day & N-day in vendita Listing di exploit in vendita su marketplace · correlazione con CVE del vostro stack.
- Patch lag tracking Per asset visibili pubblicamente: detection se la patch è in ritardo rispetto al rilascio · pressure point per remediation.
Categoria 03
Shadow IT & M&A discovery
Asset non in CMDB · post-acquisizione · ex-dipendenti
Lo shadow IT è l'asset più pericoloso: nessuno lo conosce, nessuno lo presidia, nessuno lo aggiorna. Discovery automatica via brand keyword, executive name, IP correlation.
- M&A inheritance Asset di società acquisite non ancora integrati nel perimetro principale · spesso con stack obsoleto e senza monitoring.
- Ex-employee / sviluppatori Asset hosted in tenant personali (AWS, Heroku, Vercel, Netlify) durante sviluppo · spesso dimenticati post-dipendente.
- Marketing & vendor-controlled Microsite, landing page, campagne marketing pubblicate fuori dal perimetro IT principale.
- Test / staging esposti Ambienti di test o staging accidentalmente pubblicati su internet (spesso senza autenticazione).
- Acquisizioni di brand Domini acquistati per brand-protection · spesso non manutenuti · vettore di typosquatting.
Categoria 04
Cloud Misconfiguration
S3 · Azure Blob · GCS · Kubernetes · Docker · CI/CD
Le cloud misconfiguration sono oggi una delle prime cause di data breach. Discovery di bucket pubblici, API server esposti, container registry, secret in repository pubblici.
- S3 / Azure Blob / GCS Bucket pubblici di proprietà o gestiti da fornitori · sample del contenuto per stimare la sensibilità (PII, codice, backup).
- Kubernetes API exposed kube-apiserver, etcd, kubelet pubblicamente accessibili · uno dei vettori più sfruttati 2024-2026.
- Docker registry & Helm Container registry esposti · permettono pull di immagini · spesso con credenziali in environment variable.
- CI/CD pipeline esposte Jenkins, GitLab CI, GitHub Actions runner pubblicamente accessibili · spesso con accesso al codice e ai secret.
- Cloudflare worker · Vercel · Netlify Deployment serverless pubblici · spesso con secret in environment, API key in codice client-side.
Categoria 05
Credential & Secret leak
GitHub · Pastebin · infostealer · environment leak
I secret (API key, password, certificate, .env) finiscono in repository pubblici, paste site, infostealer dump. Discovery continua per identificare leak prima dello sfruttamento.
- GitHub / GitLab leak Scanning continuo di public repo per secret riconducibili al cliente (API key, AWS credentials, .env, private key).
- Paste site & gist Pastebin, GhostBin, Gist, RentryCo · monitoring per leak di codice o credenziali.
- Infostealer dump correlation Correlazione con i log infostealer indicizzati nel dark web monitoring (capability 05) per credenziali aziendali esposte.
- Environment variable leak Detection di endpoint che espongono inadvertently variables di environment (es. /env, /debug, /actuator).
- Mobile app reverse-engineering Analisi di mobile app dell'azienda · estrazione di API key, endpoint privati, certificate pinning bypass.
Tra le più tracciate
Sette esposizioni che fanno la differenza.
Un estratto delle esposizioni più rilevanti per il rischio reale 2024-2026 · ciascuna correlata con gruppi di attori che le sfruttano attivamente.
VPN/Edge exposed · 2024-2026 · top
Citrix NetScaler exposed
CVE-2023-3519 · CVE-2024-8534 · CVE chains
- Tipo
- Edge device · VPN/load balancer
- Coverage
- Banner version · build · admin panel · session injection
Top vettore di intrusione 2024-2026. Tracking continuo delle versioni di Citrix NetScaler/ADC esposte · alert su versioni vulnerable a CVE attivamente sfruttate da Black Basta, LockBit, RansomHub. Admin panel exposed = critical.
KEV-listedTop exploit 2024-26Mass exploitationPre-ransomware
Risk · Critical Verifica esposizione →
VPN/Edge · 2023-attivo · KEV
Ivanti Connect Secure
CVE-2023-46805 · CVE-2024-21887 · CVE-2024-22024
- Tipo
- Edge device · SSL VPN
- Coverage
- Version detection · auth bypass · template injection
Mass exploitation 2024 ha fatto vittime in tutti i settori. Tracking di versioni vulnerable, build ID, configurazione admin panel.
KEV-listedMass exploitedAPT + cybercrime
Risk · Critical Verifica esposizione →
VPN · 2024-attivo · KEV
Fortinet FortiOS exposed
CVE-2024-21762 · CVE-2024-23113 · CVE chains
- Tipo
- Firewall · SSL VPN
- Coverage
- Build · admin panel · vulnerable CVE chain
CVE chain attivamente sfruttate da Akira, BlackBasta e gruppi APT. Tracking di FortiOS/FortiGate esposti con versioni vulnerable o configurazioni admin pubbliche.
KEV-listedVPN exploitationAkira target
Risk · Critical Verifica esposizione →
File transfer · 2023-attivo
MOVEit Transfer exposed
Cl0p mass exploitation pattern · CVE-2023-34362
- Tipo
- File transfer · SQL injection
- Coverage
- Version detection · admin path · public URL
Vettore della mass exploitation Cl0p 2023 · ha colpito centinaia di organizzazioni. Tracking di MOVEit Transfer ancora esposti pubblicamente.
Cl0p targetSQL injectionMass exploited
Risk · High Verifica esposizione →
Cloud misconfig · ongoing
Public S3 / Azure Blob
AWS S3 / Azure Blob / GCS storage
- Tipo
- Cloud storage misconfiguration
- Coverage
- Bucket discovery · public access · content sampling
Tracking continuo di bucket cloud pubblicamente accessibili di proprietà del cliente o gestiti da fornitori. Sample del contenuto (no download) per stimare sensibilità.
CloudData exposureSupplier risk
Risk · High Verifica esposizione →
CMS · 2024-attivo
WordPress vulnerable plugin
WordPress + plugin (Elementor, WPBakery, Yoast, …)
- Tipo
- CMS · plugin chain exploitation
- Coverage
- Plugin version · vulnerable known CVE · admin path
Tracking continuo di WordPress sites di proprietà del cliente o controllati (marketing, brand site). Plugin vulnerable spesso vettore di defacement, SEO poisoning, malvertising.
WordPressPlugin chainDefacement risk
Risk · Medium Verifica esposizione →
Hypervisor · 2024-attivo
VMware vCenter / ESXi
CVE-2024-38812 · CVE-2024-37085 · auth bypass
- Tipo
- Hypervisor · management plane exposed
- Coverage
- Version detection · auth bypass paths
Hypervisor esposti pubblicamente sono vettore privilegiato di ransomware (LockBit, RansomHub, Akira hanno encryptor ESXi dedicato). Tracking real-time.
ESXi encryptorCritical exposurePre-ransomware
Risk · Critical Verifica esposizione →
Severity · metodologia
Priorità calcolate · non CVSS puro.
Ogni esposizione riceve un severity calcolato come funzione di CVSS · KEV-listed · EPSS · attori attivi · criticità dell'asset. Non un numero da 0 a 10, ma una decisione di patching priority.
Critical
Patching immediato
CVE in CISA KEV attivamente sfruttata da gruppi target del vostro settore · su asset critico esposto (VPN, Citrix, hypervisor, file transfer). Alert immediato.
High
Alert webhook
CVE KEV-listed ma non ancora osservata contro il vostro settore · OPPURE asset critico esposto con configurazione debole · OPPURE EPSS score > 50%. Alert webhook.
Medium
Weekly digest
CVE published ma non KEV-listed · EPSS score basso · asset non critico · esposizione di basso impatto. Incluso in weekly digest.
Info
Solo dashboard
Discovery di nuovo asset · cambio non-critical (es. nuovo subdomain marketing) · informational only. Disponibile in dashboard, non genera alert.
L'output
Come viene consegnato l'EASM.
Quattro canali in base al ruolo: dashboard per il CISO, alert webhook per il SOC, weekly report per il management, validation manuale per i casi critical.
01
Dashboard EASM
Console web con vista in tempo reale di tutti gli asset rilevati, esposizioni, CVE prioritizzate, delta sulle ultime 24h. Filtering per criticità, categoria, business unit.
02
Alert webhook critical
Push immediato per esposizioni Critical (nuova KEV sul vostro stack, asset critico esposto, secret leak) via webhook, email, SMS. SLA < 15 minuti.
03
Weekly risk report
Report settimanale via email per CISO: delta asset, nuove esposizioni, KEV nuove rilevanti, riepilogo per BU, raccomandazioni di remediation prioritized.
04
Validation pentest-aided
Per esposizioni critical, validazione manuale da parte degli analisti Fortgale (testing manuale di sfruttabilità, no automated exploitation) · supporto al patching.
Onestà tecnica
Quando non serve attivare l'EASM.
Se la superficie esterna è minima · no IPv4 pubblici, no SaaS, no cloud distribuito, no M&A frequenti, no sviluppatori esterni · il VM tradizionale interno copre la maggior parte del rischio. EASM è giustificato quando ci sono perimetri non integrati.
EASM diventa critico quando: cloud distribuito (multi-cloud, multi-tenant, multi-region), M&A frequenti, supplier ecosystem ampio, shadow IT non governato, brand visibile (e-commerce, applicazioni B2C), settore target di mass exploitation campaign (manifatturiero, finanza, sanità).
Non siete sicuri? Parliamone. Se non vi serve, ve lo diciamo.
Integrazione
EASM come radar avanzato della difesa.
Le esposizioni rilevate alimentano detection, threat intelligence e roadmap di rimediazione · non restano in un report PDF.
SOC · detection
Esposizioni → regole SOC
Asset critico esposto = regola di monitoring rinforzata nel SOC · access pattern monitorati, anomalous traffic alert prioritario.
Scopri il SOC →MDR · prioritization
KEV → priorità MDR
L'MDR usa la lista KEV-aware EASM per prioritizzare le indagini · meno tempo perso su CVE teoriche, focus su asset effettivamente esposti.
Scopri MDR →CTI · capability 02
Combinato con il feed
Il feed STIX/TAXII riceve un layer aggiuntivo: gli IOC degli attori che sfruttano le vostre esposizioni specifiche, non gli IOC generici.
Scopri TI Feed →CTI · capability sister
Le altre 6 capability del CTI
Threat Actor Profiling · TI Feed · Advisory · Executive Briefing · Deep & Dark Web · Brand Intelligence. ASM è la capability 06 di 7.
Vedi tutte →Da portare al CDA
Tre slide · la superficie reale.
EASM produce dati che il CISO può portare al CDA per giustificare investimenti e priorità di rimediazione · in linguaggio business.
01 · La superficie
Quanti asset internet-facing avete realmente (vs quanti in CMDB) · quanto shadow IT è stato scoperto · quanti M&A asset non integrati.
02 · L'esposizione
Quante CVE actively-exploited vi riguardano · quanti asset critici esposti pubblicamente · quanti secret leakati negli ultimi 12 mesi.
03 · La remediation
Quanti incidenti evitati grazie al pre-warning · quanti asset rimossi/protetti · costo evitato stimato vs costo del servizio.
Il pack «3 slide CDA» è incluso nei deliverable EASM premium · disponibile on-demand.
FAQ
Domande frequenti sull'EASM.
Cos'è EASM e in cosa è diverso da Vulnerability Management tradizionale?
EASM (External Attack Surface Management) è discovery outside-in: scopre la superficie d'attacco esterna dell'organizzazione come la vedrebbe un attaccante, senza necessità di agent o integrazioni interne. Il VM tradizionale è inside-out: scansiona ciò che il CMDB già conosce. EASM trova ciò che il CMDB non sa (shadow IT, asset post-M&A, sviluppatori esterni, asset ex-dipendenti).
Come integra Fortgale la threat intelligence nell'EASM?
Le vulnerabilità rilevate vengono correlate con CISA KEV (Known Exploited Vulnerabilities), EPSS score, e gli attori attivi tracciati dalla CTI Fortgale. Esempio: una CVE Citrix NetScaler "critica" su CVSS 9.8 ma senza exploitation osservata ha priorità più bassa di una CVE Fortinet "high" attivamente sfruttata da gruppi ransomware.
EASM scopre asset cloud (S3, Azure, GCP)?
Sì. Discovery di S3 bucket pubblici, Azure Blob Storage e GCP Storage esposti, Kubernetes API server pubblici, Docker registry, secrets in repository pubblici (GitHub, GitLab), endpoint API SaaS non autenticati. Coverage estesa anche a Cloudflare worker, Vercel, Netlify deployment.
Serve qualche integrazione lato cliente?
No. EASM è completamente outside-in: opera dalle fonti pubbliche (certificate transparency, passive DNS, internet scan, OSINT) senza agent, senza credenziali, senza accesso ai sistemi interni. Onboarding tipico: dominio root, lista subdomain note, lista IP range, lista nomi e brand. Il resto lo trova Fortgale.
Quante volte viene rescannerizzata la superficie?
Discovery completo: 24 ore. Asset critici (es. VPN, Citrix, MOVEit): ogni 4-6 ore. Alert real-time su delta significativi: nuovi asset esposti, certificato in scadenza, banner version changed, nuova CVE actively-exploited che coinvolge lo stack del cliente.
Quando NON ha senso attivare l'EASM?
Se la superficie esterna è minima (no IPv4 pubblici, no SaaS, no cloud, no e-commerce, no dirigenti esposti), il VM tradizionale interno è sufficiente. Se invece avete cloud distribuito, M&A frequenti, supplier ecosystem ampio, shadow IT non governato · EASM produce valore immediato in 1-2 settimane.
Inizia con l'ASM
Cosa esponete oggi che non sapete?
Richiedete un assessment gratuito di 30 giorni · scansione completa della superficie esterna, prioritization KEV-aware, report con esposizioni reali rilevate. Senza impegno.