Oggi siamo lieti di annunciare un importante passo avanti nella nostra offerta di Cybersecurity: L 'AI-Augmented Pentesting delle applicazioni web, realizzato da Bureau Veritas Cybersecurity in collaborazione con XBOW.

Il modello è semplice: L'AI esegue test su scala, i nostri esperti eseguono test dove il giudizio è più importante, e la combinazione offre risultati che nessuno dei due può ottenere da solo.

Questo nuovo servizio "human-in-the-lead" rappresenta la prossima evoluzione della nostra lunga esperienza nei penetration testing. Rafforza ciò che Bureau Veritas ha sempre rappresentato: garanzia di fiducia, giudizio di esperti e governance rigorosa, ora ampliata con la scala e la velocità dell'esplorazione autonoma e guidata dall'AI.

Perché Bureau Veritas sta guidando questo cambiamento

Per decenni, Bureau Veritas Cybersecurity ha aiutato le organizzazioni a proteggere i loro sistemi digitali attraverso penetration testing profondi e guidati da persone, basati sull'esperienza, la governance e il principio dei quattro occhi. Poiché le applicazioni web e le API sono cresciute drasticamente in complessità, abbiamo riconosciuto la necessità di evolvere: non sostituendo le competenze umane, ma estendendole.

Le applicazioni oggi cambiano più velocemente di quanto i cicli di pentesting tradizionali possano tenere il passo. Le superfici d'attacco si espandono. Gli attori delle minacce utilizzano l'automazione e l'AI per aumentare la loro portata. Le organizzazioni sono sotto pressione per ottenere più garanzie nella stessa finestra di test.

L'AI-Augmented Pentesting è la nostra risposta strategica: un modello progettato e guidato da Bureau Veritas, in cui l'AI amplifica la capacità umana anziché sostituirla.

Perché l'AI-Augmented Pentesting?

Con l'evoluzione delle architetture applicative, i team di sicurezza si trovano ad affrontare sfide che gli approcci tradizionali o di sola AI non possono risolvere da soli:

1. Difficoltà di valutazione della qualità del pentesting

Il pentesting soffre di quello che gli economisti chiamano "mercato dei limoni", dove gli acquirenti non riescono a distinguere in modo affidabile i test approfonditi dal lavoro adeguato ma superficiale, sia esso tradizionale o guidato dall'AI. I marchi di qualità convalidano le organizzazioni e le certificazioni convalidano gli individui, ma non possono garantire la creatività, la profondità e la completezza di un singolo pentest.

2. Il pentesting time-boxed non può mai essere esaustivo.

Anche i pentestisti più esperti devono stabilire le priorità e il triage: quali aree sembrano più promettenti. C'è semplicemente una superficie maggiore di quella che un essere umano può esplorare in un lasso di tempo prestabilito. Si tratta di giudizi professionali, ma anche di compromessi.

3. Il divario di qualità del pentesting AI

Gli strumenti di pentesting di sola AI variano molto in termini di qualità. Alcuni producono risultati non convalidati o allucinati e richiedono un notevole sforzo umano per essere valutati. Senza la supervisione di un esperto di sicurezza, separare il segnale dal rumore è quasi impossibile.

L'AI-Augmented Pentesting affronta tutte e tre le sfide, in modo sicuro, responsabile e sotto la supervisione di un esperto di Bureau Veritas.

Un modello ibrido progettato da esperti

L'AI-Augmented Pentesting integra due punti di forza complementari. I nostri esperti guidano ogni impegno, dallo scoping ai test, fino alla consulenza:

Esplorazione guidata dall'AI (Scala)

Alimentato dagli agenti autonomi di XBOW, il modello offre:

- Esplorazione sistematica di migliaia di endpoint

- Copertura di flussi di lavoro in più fasi

- Zero falsi positivi grazie alla validazione basata sull'evidenza

- Una linea di base coerente per le classi di vulnerabilità conosciute

Competenza umana (giudizio)

Con l'AI che fornisce la scala, i pentester esperti di Bureau Veritas apportano un giudizio indipendente dove è più importante:

• Test guidati dal contesto: modellazione delle minacce, analisi della logica aziendale, abuso del flusso di lavoro, difetti di autorizzazione e percorsi di attacco creativi che richiedono la comprensione della sua organizzazione e del modo in cui viene utilizzata la sua applicazione. I nostri pentester identificano queste e altre vulnerabilità in modo indipendente.
  
• Investigazione di piste promettenti: L'impegno di XBOW per zero falsi positivi significa che ogni scoperta segnalata viene confermata con un exploit funzionante. Le piste promettenti che non soddisfano la soglia di evidenza vengono esaminate dai nostri esperti, convertendole in risultati confermati o escludendole sistematicamente.
  
• Reporting attuabile: collegare le scoperte in catene di attacchi che dimostrano l'impatto reale, con la prioritizzazione del rischio e la guida alla riparazione nel suo contesto organizzativo.

Non si tratta di AI che sostituisce i tester umani. Si tratta di AI che aumenta l'esperienza di Bureau Veritas. I clienti beneficiano della scala e della velocità dei test AI combinati con l'esperienza, il giudizio e la governance che definiscono l'approccio di Bureau Veritas all'assicurazione.

Perché questa partnership è importante

Bureau Veritas Cybersecurity

"I nostri pentester hanno sempre eccelso nel lavoro che richiede il giudizio umano: capire come funziona l'applicazione, come si comportano gli utenti e dove possono verificarsi abusi nel mondo reale. L'AI ora gestisce i test ripetitivi a livello di parametri su scala, il che significa che i nostri esperti dedicano più tempo al lavoro di alto valore. Raccolgono le piste promettenti che l'AI ha segnalato ma non ha potuto confermare o non ha potuto perseguire in modo sicuro, e si concentrano sul giudizio, sulla creatività e sulla comprensione organizzativa che trasformano le scoperte in un impatto sul mondo reale. Il tempo risparmiato e quello speso meglio si traducono in risultati migliori per i nostri clienti".

- Paul Pols, CTO, Bureau Veritas Cybersecurity Europa

Bureau Veritas Cybersecurity

"Questa partnership ci permette di offrire ai nostri clienti qualcosa di veramente nuovo: una visibilità più ampia sulle loro applicazioni, supportata da competenze umane che forniscono informazioni rilevanti per il business. È un modo orientato al futuro per aumentare la sicurezza senza aumentare i costi".

- Erwin Jansen, Direttore Generale di Bureau Veritas Cybersecurity Europa

XBOW

"Siamo entusiasti di collaborare con Bureau Veritas per scalare i security testing nella loro base clienti europea. L'AI ha cambiato il gioco per gli aggressori. Questa partnership consente ai difensori di tenere il passo".

- Oege de Moor, CEO, XBOW

"Con XBOW, ogni agente diventa un nuovo membro del team di sicurezza. Insieme a Bureau Veritas, aiutiamo sempre più aziende a soddisfare le esigenze dell'era dell'AI".

- Mike Henroid, Responsabile GSI e MSSP, XBOW

Vantaggi chiave per le organizzazioni

Scala senza compromessi

L'AI copre una parte maggiore della superficie d'attacco, consentendo ai nostri esperti di concentrarsi sui test di alto valore.

✔ Ogni scoperta convalidata, ogni pista investigata

Ogni scoperta segnalata è accompagnata da prove. L'AI conferma ogni scoperta con un exploit funzionante. I nostri pentester indagano le piste promettenti che non soddisfano tale soglia e identificano in modo indipendente le vulnerabilità attraverso un pentesting contestuale dell'applicazione.

Adozione governata dell'AI nella sicurezza offensiva

Adotta l'IA nella sicurezza offensiva attraverso un modello human-in-the-lead con il suo partner esperto di fiducia. Supervisione umana per tutto il tempo, ambito definito, validazione non distruttiva, registri di audit completi e revisione senior secondo il principio dei quattro occhi. Tutti i dati sensibili alla sicurezza e l'inferenza del modello di AI sono conservati e processati nell'UE.

A chi si rivolge il Pentesting Aumentato dall'AI

Questo nuovo servizio è pensato per le organizzazioni che:

• Gestiscono applicazioni web e API complesse
  
• Cercano una garanzia più ampia con budget fissi
  
• Desiderano un percorso governato da esperti per l'adozione dell'AI.

Per gli ambiti in cui i test integrati con l'AI non sono adatti, come le reti interne, OT/IoT, la telefonia mobile o l'infrastruttura cloud completa, Bureau Veritas continua ad offrire servizi di pentesting tradizionale consolidati e di alta qualità.

Per saperne di più o per iniziare

Per scoprire come l'AI-Augmented Pentesting può rafforzare il suo programma di sicurezza delle applicazioni, ci contatti all'indirizzo cybersecurity@bureauveritas.com o visiti la pagina dei servizi.

📞 Europa: +31 (0) 88 888 31 00
📞 Stati Uniti: +1 877 839 7598

Bureau Veritas Cybersecurity × XBOW
Scala AI. Giudizio umano. Risultati assicurati.