Fortress Offensive Security

Gestión de vulnerabilidades

Priorización y seguimiento continuo

Descubrimiento, priorización y seguimiento continuo alineado a riesgo y cumplimiento.

Gestión de vulnerabilidades

Descubrimiento, priorización y seguimiento continuo alineado a riesgo y cumplimiento.

Análisis de Infraestructura y Perímetro

Descubrimiento y evaluación continua de activos de red y perímetro expuesto.

  • Perímetro
  • Segmentación
  • Activos expuestos

Inventario + evaluación periódica

runbook · infra-perimeter

fortress@engagement:~$ perimeter_scan --ranges agreed_scope
assets: 128 · exposed_services: 6
inventory: updated + prioritized
cadence per SOW

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Rangos IP, firewalls, balanceadores y servicios expuestos en alcance acordado.
Entregables típicos
Inventario actualizado, mapa de exposición y priorización para remediación.
Supuestos / modalidad
Combinable con ASM y pentest infra; cadencia definida en el SOW.

Evaluación de Líneas Base de Configuración

Comparar configuraciones reales contra baselines endurecidas y marcos de referencia.

  • Hardening
  • Drift
  • Cumplimiento técnico

Baseline CIS / hardening guides

runbook · config-baseline

fortress@engagement:~$ baseline_check --cis level=1
drift_detected: 23 hosts · critical: 4
report: alignment_plan attached
read-only configuration pull

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Servidores, endpoints y dispositivos de red en alcance; políticas internas cuando existan.
Entregables típicos
Informe de desviaciones, severidad por activo y plan de alineación.
Supuestos / modalidad
Lectura de configuración; sin cambios en producción.

Priorización Basada en Riesgo

Ordenar hallazgos y vulnerabilidades según contexto de negocio, explotabilidad y exposición.

  • CVSS contextual
  • Activos críticos
  • SLA de remediación

Modelo de riesgo acordado

runbook · risk-prioritization

fortress@engagement:~$ risk_rank --sources scan,pentest,audit
backlog: 340 → top_20 by business_tier
matrix: sla_recommendations documented
workshop + existing data

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Backlog de vulnerabilidades o hallazgos de múltiples fuentes (scan, pentest, auditoría).
Entregables típicos
Matriz priorizada, criterios documentados y recomendaciones de SLA por tier.
Supuestos / modalidad
Workshop + datos existentes; actualizable trimestralmente.

Escaneos de Cumplimiento Regulatorio y ASV

Escaneos ASV y validaciones alineadas a marcos regulatorios (PCI DSS y similares).

  • PCI ASV
  • Cumplimiento
  • Evidencia

ASV + evidencia para auditoría

runbook · compliance-asv

fortress@engagement:~$ asv_scan --scope pci_perimeter
failures: 3 · asv_status: conditional
evidence_pack: audit_ready
regulatory cadence per SOW

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Perímetro y sistemas en alcance del marco regulatorio acordado.
Entregables típicos
Informe ASV cuando aplique, evidencia de remediación y soporte para auditoría.
Supuestos / modalidad
Cadencia según requisito regulatorio; retest de remediación incluido si está en SOW.

Validación de Remediación y Seguimiento

Verificar cierre de hallazgos y mantener trazabilidad hasta el retest formal.

  • Retest
  • Evidencia de cierre
  • Trazabilidad

Validación + seguimiento documentado

runbook · remediation-validation

fortress@engagement:~$ validate_fix --finding F-2026-0142
status: CLOSED · evidence: attached
retest_slot: scheduled per SOW
traceability until formal retest

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Hallazgos acordados de pentest, scan o auditoría previa; ventanas de verificación.
Entregables típicos
Estado por hallazgo, evidencia de cierre o persistencia, informe de retest cuando aplique.
Supuestos / modalidad
Coordinado con ventanas de cambio; alcance congelado por ciclo de validación.
Solicitar briefing