Casi d'Uso

Nove scenari. Una sola appliance.

Ogni caso d'uso è un pain buyer mappato su un workflow Zero Hunt. Tre per pilastro; scenario, pain, soluzione, outcome, time-to-value. Con ancore — manda a un collega direttamente quello che corrisponde alla sua conversazione.

Pilastro 1 — Pentest Generativo

Validazione offensiva continua. Codice exploit AI generato per target.

Sostituisci il pentest annuale con validazione continua

⌛ ROI 30 giorni vs costo contractor annuale

Scenario: Paghi €50-150k/anno a un contractor di pentest e il report è obsoleto poche settimane dopo la consegna.
Pain: Il pentest manuale è una fotografia. Quando il PDF arriva, la superficie d'attacco è cambiata: nuovi IP sul perimetro, nuovi servizi, nuove credenziali. Il prossimo evento davanti al regolatore è tra sei o dodici mesi, e l'evidenza è già vecchia.
Come lo risolve Zero Hunt: Pianifica campagne continue sull'appliance — quotidiane, settimanali o triggerate dai cambiamenti (nuovo IP, nuovo servizio, nuova credenziale). Lo sciame a 10 agenti gira in autonomia; ogni finding è firmato e datato. I pentester senior continuano a guidare le campagne threat-led attraverso la Red Team Chat interattiva per i giudizi che gli umani fanno meglio.
Outcome: Sostituisce 1-2 FTE-equivalenti di ore contractor al mese. L'evidenza è fresca in ogni evento davanti al regolatore, non solo in audit. Il time-to-validate di un nuovo asset scende da "prossimo engagement" a "entro un'ora".

Approfondisce:Finanza · DORA Art. 25 →Utility · NIS2 →NIS2/DORA e la fine del pentest annuale →

Valida l'esposizione a un CVE critico in poche ore dall'annuncio

⌛ Ore, non trimestri, per ogni CVE critico

Scenario: Un CVE critico esce alle 22:00 (aggiunta CISA KEV, advisory vendor, segnalazione di mass-exploitation). Il tuo stack è sulla versione affected. E adesso?
Pain: La risposta standard è "aspetta il prossimo pentest schedulato", che può essere a trimestri di distanza. Patchare da solo dice che la versione è cambiata ma non se il percorso era davvero sfruttabile nel tuo ambiente. Senza prova, la domanda del CdA "siamo vulnerabili?" non ha una risposta difendibile.
Come lo risolve Zero Hunt: L'appliance ingerisce CISA KEV, NVD e advisory vendor di continuo (21 fonti intel). Quando esce un CVE rilevante, lo sciame a 10 agenti genera un exploit specifico per il tuo ambiente, lo esegue in sandbox contro il tuo inventario, e produce un artefatto firmato di proof-of-exploit (o proof-of-non-exploitability). Spesso prima dello standup del mattino.
Outcome: Il tempo dall'annuncio del CVE al verdetto difendibile sull'esposizione scende da trimestri a ore. La domanda del CdA riceve un sì/no con evidenza allegata, non una probabilità.

Approfondisce:Utility · NIS2 →Sanità →Caso CVE-2026-20182 + 31431 →

Esegui campagne TLPT threat-led allineate a TIBER-EU per DORA Art. 26

⌛ Ciclo TLPT trimestrale vs minimo 3 anni

Scenario: Sei un'entità DORA significativa (banca, assicurazione, istituto di pagamento) tenuta a fare pentest threat-led con metodologia documentata, evidenze firmate dall'input di threat intelligence fino alla chiusura.
Pain: Gli engagement contractor TLPT esterni costano €150-400k l'uno, lo scope si congela in procurement e l'audit trail metodologico si assembla a mano. Una seconda campagna nello stesso anno è rara anche se il threat landscape cambia materialmente.
Come lo risolve Zero Hunt: L'appliance esegue campagne TLPT TIBER-EU-compatibili informate da 21 feed di threat intel live. Le fasi metodologiche (TI provisioning → red team test → purple team → closure) sono tracciate nativamente; ogni artefatto è firmato ECDSA in sequenza, producendo una chain verificabile fino all'input di threat intel. Il requisito di evidenza RTS 2025 diventa una query, non un progetto.
Outcome: Evidenze TLPT-grade on demand, non una volta ogni 3 anni. Il costo per campagna collassa al tempo di compute. La conversazione di audit EBA/Banca d'Italia si sposta da "dov'è la documentazione?" a "quale finestra temporale?".

Approfondisce:Finanza · DORA Art. 26 →vs Pentera (TLPT) →Approfondimento DORA + NIS2 →

Pilastro 2 — AI Traffic Analysis

Detection wire-speed dell'attività che gli stack endpoint non vedono.

Cattura il ransomware durante la cifratura, non dopo

⌛ Secondi-to-detect vs ore-giorni

Scenario: Gestisci un ospedale, un manifatturiero o qualsiasi ambiente 24/7 dove la mediana Q1 2026 di time-to-impact è sotto le 48 ore e la fase di cifratura, una volta avviata, si esaurisce in 90 minuti.
Pain: I segnali endpoint si accendono in fase di cifratura ma è già tardi: i file sono bloccati, i backup gareggiano con la nota di riscatto e le 6 ore successive sono crisis communications. La cadenza batch del SIEM (finestre 15 minuti su query 24h) manca il burst per intero.
Come lo risolve Zero Hunt: Il Pilastro 2 è un modello deep-learning a 4 head sulla GPU dell'appliance con baseline 2.7+ Gbit/s. Rileva la signature comportamentale della cifratura in corso — fan-out rapido di scritture SMB/NFS, pattern laterali prevedibili, il traffico di privilege escalation che precede — mentre l'attività è in atto. L'output va al tuo SOAR in secondi; la connessione al file share può essere tagliata prima che la cifratura completi.
Outcome: La latency mediana di detection per la fase di cifratura scende da ore/giorni a secondi/minuti. La finestra di recuperabilità si apre prima che la cifratura completi.

Approfondisce:Sanità · target ransomware #1 →vs Cymulate (simulazione vs detection) →Ransomware senza cifratura 2026 →

Rileva l'esfiltrazione massiva mentre sta avvenendo

⌛ Detection durante il burst, non il mattino dopo

Scenario: Affronti il trend 2026: gli affiliati ransomware saltano completamente la cifratura e vanno dritti all'esfiltrazione massiva silenziosa, poi estorcono sulla minaccia di pubblicazione. L'endpoint vede letture legittime. Il SOC non vede nulla.
Pain: Il DLP basato su volume non vede l'esfiltrazione staged (l'attaccante mette in stage dentro al perimetro, poi sposta spalmato su ore via range CDN legittimi). L'ispezione TLS è in ritirata sotto HSTS preload + ESNI + QUIC. L'unico segnale durevole è l'egress di rete — ed è esattamente dove i difensori sono più deboli.
Come lo risolve Zero Hunt: Il modello ML deep-packet classifica i metadati di flusso (timing, fan-in/out, distribuzione byte, ASN di destinazione, hash JA3/JA4) mentre i pacchetti attraversano. Un host che passa da net-importer a net-exporter, un burst outbound sostenuto verso un ASN mai visto, un tunnel SD-WAN che porta 10× il volume usuale — tutti si illuminano durante il burst, in tempo per tagliare il link.
Outcome: La scoperta avviene durante la finestra di esfiltrazione, non il mattino dopo quando i dati sono fuori. I countdown regolatori (GDPR art. 33, NIS2 Title 13) partono dalla detection, non da "avrebbe dovuto sapere".

Approfondisce:Sanità · art. 33 GDPR →Finanza · DORA artt. 17-22 →Approfondimento ransomware solo-esfiltrazione →

Smaschera C2 cifrati su TLS, tunnel DNS e domain fronting

⌛ Minuti-to-detect su protocolli C2 nuovi

Scenario: Il tuo EDR è a firma. Il tuo NDR è a regole. Entrambi perdono il traffico command-and-control che mima il comportamento legittimo — beacon HTTPS, tunnel DNS-over-HTTPS, traffico frontato attraverso il tuo stesso CDN provider.
Pain: Gli affiliati AI-augmented riscrivono i protocolli C2 per campagna. Le firme statiche scadono al primo contatto. La detection a regole richiede un pattern noto. Il segnale reale — periodicità dei beacon, jitter, fan-out, anomalie di fingerprint certificato — non è visto da nessuno dei due livelli.
Come lo risolve Zero Hunt: Uno dei 4 inference head è dedicato all'identificazione del tipo d'attacco, addestrato su miliardi di sequenze PCAP etichettate inclusi i pattern di traffico C2 covert. Il modello classifica solo sui metadati di flusso — funziona bene su payload cifrati, niente ispezione TLS richiesta. Lo scoring JA3/JA4 prende i casi "sembra legittimo ma non lo è".
Outcome: I canali C2 emergono entro pochi minuti dall'attivazione, indipendentemente dalla famiglia di protocollo o dalla strategia di fronting. Il team di threat hunting riceve una shortlist ad alta confidenza invece di un milione di alert.

Approfondisce:Supply chain difesa →vs Cymulate →

Pilastro 3 — Compliance Automatica

Evidenze continue, firmate, pronte per il regolatore by construction.

Produci evidenze NIS2 Title 13 come sottoprodotto delle operations

⌛ Da multi-giorno per incidente a singola query

Scenario: Sei un'entità essenziale o importante ai sensi del decreto legislativo 138/2024 di recepimento NIS2. Ogni incidente rilevato fa scattare un early warning 24h + notifica 72h + report finale 1 mese. Il countdown parte da "avrebbe dovuto sapere".
Pain: Assemblare le evidenze Title 13 a mano è un esercizio di più giorni per incidente: ricostruzione timeline, mapping controlli, export firmato, conversione in formato regolatorio. L'auditor ACN si aspetta evidenze continue di misure efficaci, non snapshot annuali.
Come lo risolve Zero Hunt: Ogni azione — scan, finding, evento di traffico, remediation — è firmata ECDSA al momento della scrittura e auto-mappata sul control set del Title 13. Il Trust Center esporta un bundle pronto per il regolatore con un click. La timeline 24h / 72h / 1 mese diventa una query su record firmati, non una corsa contro il tempo.
Outcome: La compliance alla timeline di notifica diventa un workflow interrogabile. La conversazione con l'auditor passa da "mostrami la documentazione" a "seleziona un intervallo". La responsabilità personale ex decreto 138 ha difendibilità documentale by construction.

Approfondisce:Utility · NIS2 essenziali →PA italiana · decreto 138 →Approfondimento NIS2 + DORA →

Mappa i finding su 32 framework in un passaggio

⌛ ~70% di riduzione del lavoro duplicato cross-framework

Scenario: Affronti regimi di audit concorrenti — NIS2 + DORA + GDPR + ISO 27001 + PCI-DSS + SOC 2 — che condividono controlli sottostanti ma richiedono ognuno il proprio formato di evidenza.
Pain: I team GRC mantengono chain di evidenze parallele, una per framework. Lo stesso finding viene rimappato a mano 3-6 volte. La dedupica cross-framework è teorica; in pratica il lavoro è moltiplicato per il numero di regimi in scope.
Come lo risolve Zero Hunt: Il motore di compliance auto-mappa ogni finding sui 32 framework con dedupica di controlli cross-framework integrata. Lo scoring pesato per severity riflette il modello di materialità di ciascun regolatore. I report sono generati per framework dallo stesso record store firmato.
Outcome: Il lavoro ridondante di audit scende fino al 70%. Un finding soddisfa più framework senza re-mapping manuale. Le entità multi-regime passano da "costruisci evidenze per ogni audit" a "pubblica una slice del record store per audit".

Approfondisce:Finanza · multi-regime →PA italiana · NIS2 + AgID →

Export bundle auditor — firmato, verificabile, ripetibile

⌛ Export one-click vs assemblaggio multi-giorno

Scenario: Inizia il ciclo di audit. L'auditor chiede "tutte le evidenze legate al controllo X.Y.Z per il periodo Q1". Hai 5 giorni per assemblarlo dai log di SIEM, SOAR, EDR, GRC, ticketing.
Pain: L'assemblaggio manuale delle evidenze è il singolo time-sink più grande del GRC. L'autenticità viene messa in discussione (lo screenshot è stato manipolato?). La chain-of-custody è narrativa, non provabile. La riconciliazione cross-tool introduce errori che l'auditor poi scava.
Come lo risolve Zero Hunt: Il Trust Center esporta un bundle autonomo, firmato ECDSA, scoped a controlli + periodo + framework. Il bundle include finding, file di evidenza, eventi di traffico, log di remediation — ogni artefatto porta la firma originale del momento di scrittura. L'auditor verifica crittograficamente senza dover fidarsi della nostra infrastruttura.
Outcome: La preparazione audit collassa da giorni a un'unica azione di export. Le domande dell'auditor su autenticità / chain-of-custody trovano risposta con verifica crittografica invece che narrativa.

Approfondisce:Difesa · CMMC/TRANSEC →PA italiana · AgID/ACN →

Vedilo sul tuo ambiente

Scegli il caso più vicino al tuo pain attuale e definiamo una demo tecnica di 30 minuti su una slice registrata del tuo stack.

Richiedi una demo Esplora i verticali