Ogni giorno vengono scoperte circa 60 nuove vulnerabilita nel software che usiamo quotidianamente. Alcune sono irrilevanti, altre permettono a un attaccante di prendere il controllo completo del sistema. Il vulnerability assessment (VA) e il processo sistematico per identificare, classificare e prioritizzare queste debolezze nella tua infrastruttura.
A differenza del penetration test, che simula un attaccante reale, il VA e un'analisi piu ampia e automatizzata. Copre un perimetro maggiore in meno tempo e a costi inferiori. Per la NIS2, e una delle misure fondamentali di gestione del rischio.
Come funziona un vulnerability assessment
- Discovery — identificazione di tutti gli asset nella rete: server, PC, dispositivi di rete, IoT
- Scanning — scansione automatica degli asset alla ricerca di vulnerabilita note (CVE)
- Analisi — classificazione delle vulnerabilita per severita (CVSS score) e contesto aziendale
- Prioritizzazione — focus sulle vulnerabilita che rappresentano il rischio maggiore per il business
- Remediation — applicazione delle patch, aggiornamenti, modifiche di configurazione
- Verifica — re-scan per confermare che le vulnerabilita siano state corrette
Strumenti per il vulnerability assessment
Il mercato offre numerosi strumenti, dai gratuiti ai enterprise:
| Strumento | Tipo | Ideale per |
|---|---|---|
| Nessus | Commerciale | PMI e grandi aziende, il piu diffuso |
| Qualys | Cloud SaaS | Grandi organizzazioni, compliance integrata |
| OpenVAS | Open source | PMI con competenze interne, budget ridotto |
| Rapid7 InsightVM | Commerciale | Ambienti ibridi cloud/on-premise |
| Microsoft Defender VM | Integrato | Ambienti Microsoft, gia incluso in molte licenze |
VA vs Penetration Test: quando usare cosa
Il vulnerability assessment e il penetration test non si sostituiscono, si completano. Il VA e come un check-up medico regolare: ampio, sistematico, relativamente economico. Il pentest e come un test di stress: mirato, approfondito, piu costoso. Per la NIS2, l'ideale e un VA mensile/trimestrale combinato con un pentest annuale.
Gestione delle vulnerabilita: il ciclo continuo
Un VA non e un evento una tantum — e un processo continuo. Ogni mese vengono scoperte nuove vulnerabilita, ogni aggiornamento software ne introduce di potenziali, ogni nuova installazione amplia la superficie di attacco. Serve un programma di vulnerability management con scansioni regolari, SLA di remediation (24 ore per le critiche, 7 giorni per le alte, 30 per le medie) e reporting al management.
Errori comuni nel vulnerability assessment
- Scansione parziale — non scansionare tutti gli asset, inclusi quelli shadow IT
- Non prioritizzare — trattare tutte le vulnerabilita con la stessa urgenza e paralizzante
- Non rimediare — fare il VA e poi ignorare i risultati
- Non contestualizzare — una vulnerabilita critica su un sistema isolato e meno urgente di una media su un sistema esposto a internet
- Scansioni troppo rare — una scansione annuale e inutile, serve almeno trimestrale
Il vulnerability assessment e la base della gestione proattiva della sicurezza. Senza sapere dove sei debole, non puoi difenderti efficacemente. E con la NIS2, non puoi nemmeno dimostrare compliance.