Vulnerability Management: perché non basta contare le falle
Vulnerability Management: perché non basta contare le falle

Vulnerability Management: perché non basta contare le falle

Autore: Matteo Graci

Quando si parla di sicurezza informatica, spesso si pensa alle vulnerabilità come a “buchi” da chiudere con una patch. In realtà, la gestione delle vulnerabilità – o Vulnerability Management – è un processo molto più ampio, che richiede metodo, priorità e visione. 

Spesso vediamo organizzazioni di tutte le dimensioni affidarsi a soluzioni tecnologiche come tool di Vulnerability Assessment, convinte che sia una soluzione adeguata e sufficiente a tenere sotto controllo la propria superficie di attacco. Tuttavia, affidarsi a un software di scansione non è sufficiente: significa raccogliere un elenco di problemi, senza avere gli strumenti per capire quali rappresentino un vero rischio per l’organizzazione. 

Il contesto: un problema in crescita 

Il volume di vulnerabilità note cresce ogni anno. Nel 2015, quindi 10 anni fa, sono state registrate poco più di 6.400 nuove voci, nel 2024 oltre 40.000. Rispetto al 2023, l’incremento registrato è del 38%.2 

L’andamento nel tempo, come si può vedere nel grafico riportato, dimostra una attenzione in costante crescita da parte dei gruppi di sviluppo e dei ricercatori indipendenti che con sempre maggiore enfasi correggono difetti, individuano falle e riconoscono problemi di sicurezza in una moltitudine di prodotti software, più o meno diffusi. Grafico 1, Elemento del grafico

I dati del 2025, esclusi dal grafico perchè ancora parziali, dimostrano chiaramente che il trend non ha alcuna intenzione di cambiare. Alla fine del secondo trimestre 2025, le CVE registrate erano già 23.710, mentre nello stesso periodo del 2024 ammontavano a 20.413, registrando un aumento del 14%. 

È quindi evidente che nessun team IT può correggere tutto con la stessa urgenza. Non tutte le vulnerabilità hanno lo stesso impatto: alcune rimangono teoriche, mentre altre vengono sfruttate attivamente dai criminali informatici, diventando la porta d’ingresso per attacchi su larga scala. È proprio qui che entra in gioco la necessità di distinguere tra ciò che è potenzialmente pericoloso da ciò che è realmente sfruttato. 

Dal 2021 la CISA (Cybersecurity and Infrastructure Security Agency) mantiene il Known Exploited Vulnerabilities Catalog (KEV), un elenco ufficiale delle vulnerabilità che risultano confermate come sfruttate “in the wild”. Non si tratta di tutte le CVE pubblicate, ma di quel sottoinsieme ristretto che rappresenta il cuore delle minacce reali. 

Il KEV non è solo un archivio: è uno strumento pratico, aggiornato costantemente grazie al contributo di agenzie governative, community di ricercatori e threat intelligence globale. Al momento conta poco più di 1.400 voci, una frazione minima rispetto alle decine di migliaia di CVE pubblicate ogni anno, ma con un denominatore comune: sono già state utilizzate dagli attaccanti. 

Questo significa che, se una vulnerabilità compare nel KEV e interessa sistemi o tecnologie presenti in azienda, la sua priorità deve essere assoluta. È qui che un processo di Vulnerability Management maturo trova una bussola affidabile per trasformare un elenco di falle in una lista gestibile di azioni urgenti. Grafico 1, Elemento del grafico

La forza della community internazionale 

Abbiamo accennato al fatto che la cybersecurity è uno sforzo collettivo: “it takes a village”, direbbero i nostri colleghi anglofoni. Anche nel campo del vulnerability management questo principio vale pienamente. 

Oltre al lavoro del CISA con il suo KEV Catalog, esistono altre iniziative che arricchiscono e completano la prospettiva. Tra queste, VulnCheck mette a disposizione un database di oltre 4.000 vulnerabilità confermate come sfruttate, più ampio rispetto a quello CISA, e lo arricchisce con un dato prezioso: la mappatura con exploit pubblicamente reperibili in repository come GitHub. Questa informazione, resa disponibile tramite API, consente di valutare immediatamente il livello di rischio operativo.  

Non si tratta di un caso isolato. Realtà istituzionali come MITRE, con il framework ATT&CK, forniscono da anni tassonomie e modelli di riferimento per comprendere come gli attaccanti operano nella pratica. 

Inoltre anche i vari vendor di soluzioni di Vulnerability Assessment, come ad esempio Qualys, hanno riconosciuto la stessa esigenza ed hanno approntato delle valutazioni diverse dalla sola CVSS, realizzando sistemi di valutazione di rischio della vulnerabilità che entrano nel merito di quanto sia sfruttabile o meno una determinata falla oppure se impatta un asset critico o meno. 

Integrare fonti aperte e complementari – dal KEV del CISA ai dati di VulnCheck, fino ai framework MITRE – permette di costruire una vista più precisa e realistica. È questa differenza a trasformare un elenco astratto di vulnerabilità in una mappa operativa delle priorità, capace di guidare decisioni concrete e tempestive. Grafico 1, Elemento del grafico

Il perimetro dell’organizzazione 

Un ulteriore elemento di complessità è rappresentato dal cambiamento del perimetro aziendale. Oggi non esistono solo server e postazioni interne: le identità digitali, i servizi cloud e le piattaforme SaaS fanno parte a pieno titolo dell’infrastruttura e sono spesso i bersagli preferiti, senza considerare in questo momento anche i dispositivi personali autorizzati ad accedere ai dati aziendali.  

Senza una visione d’insieme, il rischio è di trascurare proprio gli asset più esposti. 

Gli errori più comuni 

Nella nostra esperienza, le organizzazioni incontrano sempre gli stessi ostacoli:  

inventari di sistemi incompleti o statici – Se non si ha contezza di cosa proteggere (endpoint, server, OT, IoT, container, Servizi SaaS) il risultato sarà sempre incerto, rendendo impossibile adottare una strategia che vada oltre la reazione agli eventi già accaduti; 

processi di aggiornamento disomogenei, con responsabilità non chiaramente definite – Anche l’adozione del più raffinato dei Vulnerability Management System senza un adeguato triage, una forte ownership e degli SLA (Service Level Agreement, ossia tempi di intervento concordati) definiti con il Senior Management, potrà solo produrre un elenco di cose da fare, spesso fine a sé stesso.  
L’assenza di un loop operativo che definisca al meglio chi deve fare cosa, entro quando, non permette di ottenere interessanti KPI (Key Performance Indicators) come MTTR (Mean Time To Repair) per le vulnerabilità. 

Soprattutto, manca un approccio che sappia distinguere tra ciò che è urgente e ciò che può attendere. In questo contesto, la sola valutazione CVSS (Common Vulnerability Scoring System) non è sufficiente: non tutte le vulnerabilità critiche lo sono per tutti gli ambienti in cui vengono rilevate. Contesto e sfruttabilità contano molto più del numero. 

Fare un “censimento” periodico delle vulnerabilità è utile, ma se non si traduce in un percorso strutturato – con priorità, responsabilità e metriche – resta un esercizio sterile. 

Un approccio bilanciato 

Per gestire le vulnerabilità in modo efficace proponiamo un approccio integrato, che combina due prospettive complementari. 

  • Dall’alto verso il basso (Top-Down): partiamo da ciò che accade nel mondo reale, osservando quali tecnologie e quali falle vengono sfruttate attivamente negli attacchi. Se queste tecnologie sono presenti anche in azienda, hanno priorità assoluta. In questo modo, l’attenzione si concentra subito sui rischi più concreti.  
    Incrociando il database KEV con le nostre fonti di intelligence e la vostra telemetria, possiamo capire quali tecnologie sono prese di mira in questo momento, e dove vanno messe le risorse. 
  • Dal basso verso l’alto (Bottom-Up): lavoriamo sull’inventario degli asset aziendali, mantenendolo aggiornato e dinamico. Gli strumenti di scansione e di gestione delle patch vengono integrati in un processo che non si limita a segnalare i problemi, ma li risolve entro tempi stabiliti e misurabili. 

La combinazione delle due prospettive permette di ridurre il rumore di fondo, focalizzarsi sulle minacce reali e ottimizzare le risorse disponibili. 

Perché servono governance e processo 

Un processo maturo non si limita alla tecnologia, ma richiede una governance chiara, politiche che fissino priorità e tempi di intervento, e un monitoraggio costante dei risultati. 

Nel pratico, noi di Impresoft 4ward agiamo da orchestratore e filtro:  

  • La prioritizzazione avviene osservando diversi segnali: Valutazione CVSS della vulnerabilità, presenza nei database KEV e conferma di esposizione determinano se una vulnerabilità ha una elevata probabilità di sfruttamento, ma il tutto viene rivalutato se non esiste potenziale impatto sul business. 
  • La gestione delle identità e degli accessi non può essere trascurata, e siamo in grado di intervenire anche nella formazione del personale, perché molte exploitation hanno successo a causa di identità deboli, non solo per patch non applicate. 
  • Postura dei servizi Cloud e SaaS sono un elemento fondamentale, perché semplici errori di configurazione possono avere un impatto molto più grave di Vulnerabilità che comportano Remote Code Execution provate solo in condizioni di laboratorio. 
  • Metriche reali che consentono una valutazione puntuale dello stato operativo: Percentuale di asset coperti, tempo di esposizione al rischio, tempo medio di remediation sono solo alcuni valori che possiamo produrre per misurare le performance. 

È questa la “colla” che trasforma i dati in decisioni e gli elenchi in risultati concreti. 

Alcune domande utili per capire dove siete posizionati oggi 

Per misurare il livello di maturità della vostra organizzazione, ecco alcune domande che vale la pena porsi: 

  • Quando è stato fatto l’ultimo Vulnerability Assessment sui sistemi esposti? 
  • Avete compreso anche i servizi SaaS ed i tenant Azure/AWS/GCP? 
  • Quante vulnerabilità KEV avete rilevato?  
  • Quanto tempo avete impiegato a correggerle? 
  • Se avete avuto eccezioni, per quanto tempo le avete tenute aperte e chi ne ha la responsabilità? 
  • Quante delle vulnerabilità oggetto del processo di patch management sono effettivamente esposte o raggiungibili da un attaccante? 

Conclusioni 

La gestione delle vulnerabilità non è un’attività tecnica isolata, ma un tassello fondamentale della resilienza aziendale. Richiede metodo, capacità di prioritizzazione e un quadro chiaro delle responsabilità. 

Siamo consapevoli che tutto questo richieda risorse, competenze e persone dedicate. Inoltre, non sempre gli asset da proteggere sono sotto il pieno controllo dell’organizzazione: molto spesso il Vulnerability Management viene affidato a terzi, oppure coinvolge sistemi e dispositivi forniti da partner o fornitori che non sempre applicano con prontezza aggiornamenti e patch. 

In questi casi, un approccio maturo non si ferma davanti all’impossibilità di installare una correzione, ma valuta soluzioni di mitigazione alternative: segmentazioni di rete, revisioni architetturali, segregazioni di sistemi critici e controlli compensativi che riducano la superficie di attacco. Perché questo funzioni, è però indispensabile il supporto dell’organizzazione e la definizione di un processo condiviso, capace di conciliare esigenze operative e sicurezza. 

È in questo equilibrio tra tecnologia, governance e collaborazione con la supply chain che si costruisce la vera resilienza. 

Allo stesso tempo, il nostro servizio di Vulnerability Management rappresenta il trampolino di lancio verso una visione più ampia della sicurezza: da qui possiamo innestare servizi di network security, soluzioni di Governance, Risk & Compliance (GRC) e programmi di formazione dedicati al personale. L’integrazione di questi ambiti consente di trasformare un’attività tattica in una strategia olistica e completa, capace di ridurre il rischio e rafforzare la sicurezza complessiva in maniera duratura. 

Se anche nella vostra organizzazione vi riconoscete in questi scenari, è il momento di trasformare la gestione delle vulnerabilità in un processo misurabile ed efficace, riducendo il carico operativo e rafforzando la resilienza complessiva – non solo dei vostri sistemi, ma dell’intero ecosistema di cui fate parte. Contattateci per valutare insieme lo stato attuale e definire un piano di miglioramento concreto. 

1 https://www.cve.org/about/metrics 
2 https://jerrygamblin.com/2025/01/05/2024-cve-data-review/

 

Vuoi saperne di più? Scopri subito come vincere la sfida al cambiamento  

Matteo Graci

Matteo Graci

Website

Matteo Graci - Senior Solutions Advisor di Impresoft 4ward - con più di 20 anni di esperienza nella Cybersecurity, ha lavorato nell’ambito della consulenza, con forte orientamento alla compliance e alla protezione delle infrastrutture critiche. Dal penetration testing, alla formazione, fino alla consulenza manageriale di alto livello, Matteo è un vero e proprio specialista della Cybersecurity a 360°.