Il rischio di subire un attacco informatico, in particolare per le aziende italiane, aumenta di anno in anno. Al di là dei dati puntuali, che tratteremo successivamente, è evidente anche nella percezione comune. Non stupisce che le normative più recenti, europee in particolare, richiedano una attenzione sempre maggiore nei confronti della protezione degli asset digitali, in particolare per quanto riguarda le azioni preventive. Il Vulnerability Assessment è una delle più importanti che un’azienda possa mettere in pratica per una efficace riduzione del rischio. Scopriamo perché.
L’importanza del Vulnerability Assessment in uno scenario sempre più ostile
IBM definisce il Vulnerability Assessment come “un processo sistematico utilizzato per identificare, valutare e segnalare i punti deboli della sicurezza nell'ecosistema digitale”. In altre parole, è uno strumento di prevenzione che, se utilizzato nel modo corretto, permette di identificare le vulnerabilità dei sistemi prima che queste possano essere utilizzate come vettori di attacco. Quello che dobbiamo sottolineare è come oggi l’importanza di questa attività sia ampiamente riconosciuta anche in ambito normativo, per esempio dalla Direttiva NIS2, e come impatti in modo significativo il livello di rischio per aziende di ogni settore e dimensione. In particolare per quanto riguarda l’Italia, che si colloca al quinto posto globale per costo complessivo medio dei data breach con 4,73 milioni di dollari, in una classifica guidata dagli USA con un costo di 9,36 milioni di dollari nel 2024. Una situazione grave, confermata anche dal Rapporto Clusit 2025 che vede un incremento degli attacchi verso le realtà del nostro paese pari al 15,2%. Il vulnerability assessment permette di ridurre questo rischio, secondo un principio tanto antico quanto valido: conoscere le proprie debolezze è il punto di partenza ideale per sanarle e prepararsi.
Ridurre il rischio grazie al Vulnerability Assessment
La finalità principale di un vulnerability assessment è quella di identificare le problematiche sulle quali intervenire per ridurre la superficie d’attacco. Anche se la definizione potrebbe indurre a pensare a un semplice “elenco” di interventi necessari, questa pratica è in realtà una attività strutturata, che prevede sia un assessment, cioè un asseveramento vero e proprio dei rischi, sia una successiva fase di analisi e progettazione della remediation. Vediamo più nel dettaglio come si articolano queste due fasi, tenendo presente che, naturalmente, si tratta di indicazioni di carattere generale che poi andranno declinate di volta in volta a seconda delle specificità e dei bisogni dell’azienda.
Definizione del contesto
La prima attività, di carattere decisionale, è stabilire quali elementi dell’infrastruttura analizzare. La scelta migliore possibile sarebbe coprire ogni area, dalle reti ai software passando per gli endpoint, ma anche in questo caso è necessario stabilire ordine e priorità degli interventi per garantire uno svolgimento ordinato e coordinato.
Inventario degli asset
Non è possibile controllare quello che non si sa di possedere o la cui ownership comunque non è chiara. Per poter procedere è quindi necessario mappare nel modo più approfondito possibile l’infrastruttura, sia quella propriamente detta (dispositivi, reti, software), sia tutto quello che ricade nell’ampio spettro del perimetro effimero: servizi in abbonamento, domini, tenant e così via. In questa fase tipicamente si fa uso anche di strumenti di discovery automatizzati che permettono di identificare anche eventuali strumenti aggiunti e non censiti, oltre all’entità dello shadow IT presente in azienda.
Scansione
Attraverso l’uso di strumenti automatizzati e con il contributo di specialisti del settore, si mettono a matrice gli asset noti e quelli scoperti nel passaggio precedente con i principali database di vulnerabilità note. In questo modo è possibile rilevare tutte le problematiche sulle quali esiste già letteratura: errori di configurazione, risorse esposte in modo indebito, software o hardware obsoleti, mancanza di aggiornamenti e così via.
Verifica e analisi dei risultati
I dati così ottenuti devono essere prima di tutto epurati dai falsi positivi, poi valutati per gravità, ovvero quanto sarebbe pericoloso uno sfruttamento di ogni debolezza emersa, e per probabilità di attacco, ovvero quanto di frequente ogni debolezza viene utilizzata. Questo servirà nella seconda fase per definire le priorità di intervento.
Riduzione dei rischi: l’importanza della pianificazione
Identificare i rischi è solo la parte iniziale del lavoro di vulnerability assessment: dal momento che non è possibile rimediare istantaneamente a tutti i problemi emersi, è necessario sia dare una priorità di intervento a ciascuna, sia stabilire un piano di remediation.
Per quanto riguarda la prioritizzazione delle vulnerabilità, una delle metodologie più semplici è la suddivisione in tre fasce di criticità: alta, media e bassa, ottenute misurando il potenziale impatto e le probabilità di sfruttamento. Va da sé che una vulnerabilità capace di esporre pubblicamente i dati aziendali ma che può essere sfruttata solo in condizioni estremamente specifiche potrebbe avere una priorità più bassa rispetto a una capace di permettere un accesso non autorizzato a una singola risorsa ma sfruttabile attraverso un semplice script o un attacco automatico.
Per quanto riguarda il piano di remediation, anche qui sono presenti alcune suddivisioni che, in termini generali, possono essere applicate nella maggior parte dei casi. Ricordiamo, a titolo di esempio:
- Patch management: gestione immediata degli aggiornamenti possibili di software e firmware e attivazione dell’aggiornamento automatico o pianificato dove possibile.
- Hardening dei sistemi: tutti gli interventi tecnici finalizzati a ridurre la superficie di attacco e migliorare la resilienza. Per esempio, rimozione o sostituzione dei sistemi obsoleti, razionalizzazione dei servizi, configurazione di firewall e segmentazione della rete.
- Potenziamento della sicurezza: implementazione di autenticazione multi-fattore, revisione e razionalizzazione di permessi e privilegi, implementazione del paradigma Zero Trust e così via
Ridurre il rischio con il vulnerability assessment: l’importanza della continuità
Uno degli errori più comuni è quello di considerare il vulnerability assessment come un’attività una tantum, che una volta adempiuta si esaurisce. In realtà, soprattutto considerando la dinamicità dei cambiamenti oggi, è indispensabile implementare attività di monitoraggio continuo che rientrino nelle attività ordinarie del comparto tecnico, affiancate da una reiterazione a scadenza fissa dei controlli estesi. Se è vero, infatti, che alcune soluzioni come l’implementazione degli aggiornamenti automatici o pianificati e il potenziamento della sicurezza riducono in modo permanente la superficie di attacco, è altrettanto vero che le nuove versioni potrebbero essere soggette a debolezze nuove e diverse e che in generale le modifiche all’infrastruttura, anche minori come l’inserimento di un nuovo endpoint, potrebbero dover essere controllate a loro volta.
Un alleato per la sicurezza aziendale
Implementare un programma strutturato di vulnerability assessment significa, insomma, adottare uno strumento di controllo e prevenzione efficace e potente. Se interpretato nel modo corretto esprime tutto il suo alto valore strategico, soprattutto alla luce dei rischi sempre più elevati a cui le aziende sono esposte visto il proliferare di minacce sempre più automatizzate, raffinate e tempestive. Garantirsi una rapida capacità di miglioramento ed evoluzione è, ad oggi, il più efficace strumento di prevenzione.
