Quando si parla di sicurezza informatica, spesso si pensa alle vulnerabilità come a “buchi” da chiudere con una patch. In realtà, la gestione delle vulnerabilità – o Vulnerability Management – è un processo molto più ampio, che richiede metodo, priorità e visione.
Spesso vediamo organizzazioni di tutte le dimensioni affidarsi a soluzioni tecnologiche come tool di Vulnerability Assessment, convinte che sia una soluzione adeguata e sufficiente a tenere sotto controllo la propria superficie di attacco. Tuttavia, affidarsi a un software di scansione non è sufficiente: significa raccogliere un elenco di problemi, senza avere gli strumenti per capire quali rappresentino un vero rischio per l’organizzazione.
Il volume di vulnerabilità note cresce ogni anno. Nel 2015, quindi 10 anni fa, sono state registrate poco più di 6.400 nuove voci, nel 2024 oltre 40.000.1 Rispetto al 2023, l’incremento registrato è del 38%.2
L’andamento nel tempo, come si può vedere nel grafico riportato, dimostra una attenzione in costante crescita da parte dei gruppi di sviluppo e dei ricercatori indipendenti che con sempre maggiore enfasi correggono difetti, individuano falle e riconoscono problemi di sicurezza in una moltitudine di prodotti software, più o meno diffusi.
I dati del 2025, esclusi dal grafico perchè ancora parziali, dimostrano chiaramente che il trend non ha alcuna intenzione di cambiare. Alla fine del secondo trimestre 2025, le CVE registrate erano già 23.710, mentre nello stesso periodo del 2024 ammontavano a 20.413, registrando un aumento del 14%.
È quindi evidente che nessun team IT può correggere tutto con la stessa urgenza. Non tutte le vulnerabilità hanno lo stesso impatto: alcune rimangono teoriche, mentre altre vengono sfruttate attivamente dai criminali informatici, diventando la porta d’ingresso per attacchi su larga scala. È proprio qui che entra in gioco la necessità di distinguere tra ciò che è potenzialmente pericoloso da ciò che è realmente sfruttato.
Dal 2021 la CISA (Cybersecurity and Infrastructure Security Agency) mantiene il Known Exploited Vulnerabilities Catalog (KEV), un elenco ufficiale delle vulnerabilità che risultano confermate come sfruttate “in the wild”. Non si tratta di tutte le CVE pubblicate, ma di quel sottoinsieme ristretto che rappresenta il cuore delle minacce reali.
Il KEV non è solo un archivio: è uno strumento pratico, aggiornato costantemente grazie al contributo di agenzie governative, community di ricercatori e threat intelligence globale. Al momento conta poco più di 1.400 voci, una frazione minima rispetto alle decine di migliaia di CVE pubblicate ogni anno, ma con un denominatore comune: sono già state utilizzate dagli attaccanti.
Questo significa che, se una vulnerabilità compare nel KEV e interessa sistemi o tecnologie presenti in azienda, la sua priorità deve essere assoluta. È qui che un processo di Vulnerability Management maturo trova una bussola affidabile per trasformare un elenco di falle in una lista gestibile di azioni urgenti.
Abbiamo accennato al fatto che la cybersecurity è uno sforzo collettivo: “it takes a village”, direbbero i nostri colleghi anglofoni. Anche nel campo del vulnerability management questo principio vale pienamente.
Oltre al lavoro del CISA con il suo KEV Catalog, esistono altre iniziative che arricchiscono e completano la prospettiva. Tra queste, VulnCheck mette a disposizione un database di oltre 4.000 vulnerabilità confermate come sfruttate, più ampio rispetto a quello CISA, e lo arricchisce con un dato prezioso: la mappatura con exploit pubblicamente reperibili in repository come GitHub. Questa informazione, resa disponibile tramite API, consente di valutare immediatamente il livello di rischio operativo.
Non si tratta di un caso isolato. Realtà istituzionali come MITRE, con il framework ATT&CK, forniscono da anni tassonomie e modelli di riferimento per comprendere come gli attaccanti operano nella pratica.
Inoltre anche i vari vendor di soluzioni di Vulnerability Assessment, come ad esempio Qualys, hanno riconosciuto la stessa esigenza ed hanno approntato delle valutazioni diverse dalla sola CVSS, realizzando sistemi di valutazione di rischio della vulnerabilità che entrano nel merito di quanto sia sfruttabile o meno una determinata falla oppure se impatta un asset critico o meno.
Integrare fonti aperte e complementari – dal KEV del CISA ai dati di VulnCheck, fino ai framework MITRE – permette di costruire una vista più precisa e realistica. È questa differenza a trasformare un elenco astratto di vulnerabilità in una mappa operativa delle priorità, capace di guidare decisioni concrete e tempestive.
Un ulteriore elemento di complessità è rappresentato dal cambiamento del perimetro aziendale. Oggi non esistono solo server e postazioni interne: le identità digitali, i servizi cloud e le piattaforme SaaS fanno parte a pieno titolo dell’infrastruttura e sono spesso i bersagli preferiti, senza considerare in questo momento anche i dispositivi personali autorizzati ad accedere ai dati aziendali.
Senza una visione d’insieme, il rischio è di trascurare proprio gli asset più esposti.
Nella nostra esperienza, le organizzazioni incontrano sempre gli stessi ostacoli:
inventari di sistemi incompleti o statici – Se non si ha contezza di cosa proteggere (endpoint, server, OT, IoT, container, Servizi SaaS) il risultato sarà sempre incerto, rendendo impossibile adottare una strategia che vada oltre la reazione agli eventi già accaduti;
processi di aggiornamento disomogenei, con responsabilità non chiaramente definite – Anche l’adozione del più raffinato dei Vulnerability Management System senza un adeguato triage, una forte ownership e degli SLA (Service Level Agreement, ossia tempi di intervento concordati) definiti con il Senior Management, potrà solo produrre un elenco di cose da fare, spesso fine a sé stesso.
L’assenza di un loop operativo che definisca al meglio chi deve fare cosa, entro quando, non permette di ottenere interessanti KPI (Key Performance Indicators) come MTTR (Mean Time To Repair) per le vulnerabilità.
Soprattutto, manca un approccio che sappia distinguere tra ciò che è urgente e ciò che può attendere. In questo contesto, la sola valutazione CVSS (Common Vulnerability Scoring System) non è sufficiente: non tutte le vulnerabilità critiche lo sono per tutti gli ambienti in cui vengono rilevate. Contesto e sfruttabilità contano molto più del numero.
Fare un “censimento” periodico delle vulnerabilità è utile, ma se non si traduce in un percorso strutturato – con priorità, responsabilità e metriche – resta un esercizio sterile.
Per gestire le vulnerabilità in modo efficace proponiamo un approccio integrato, che combina due prospettive complementari.
La combinazione delle due prospettive permette di ridurre il rumore di fondo, focalizzarsi sulle minacce reali e ottimizzare le risorse disponibili.
Un processo maturo non si limita alla tecnologia, ma richiede una governance chiara, politiche che fissino priorità e tempi di intervento, e un monitoraggio costante dei risultati.
Nel pratico, noi di Impresoft 4ward agiamo da orchestratore e filtro:
È questa la “colla” che trasforma i dati in decisioni e gli elenchi in risultati concreti.
Per misurare il livello di maturità della vostra organizzazione, ecco alcune domande che vale la pena porsi:
La gestione delle vulnerabilità non è un’attività tecnica isolata, ma un tassello fondamentale della resilienza aziendale. Richiede metodo, capacità di prioritizzazione e un quadro chiaro delle responsabilità.
Siamo consapevoli che tutto questo richieda risorse, competenze e persone dedicate. Inoltre, non sempre gli asset da proteggere sono sotto il pieno controllo dell’organizzazione: molto spesso il Vulnerability Management viene affidato a terzi, oppure coinvolge sistemi e dispositivi forniti da partner o fornitori che non sempre applicano con prontezza aggiornamenti e patch.
In questi casi, un approccio maturo non si ferma davanti all’impossibilità di installare una correzione, ma valuta soluzioni di mitigazione alternative: segmentazioni di rete, revisioni architetturali, segregazioni di sistemi critici e controlli compensativi che riducano la superficie di attacco. Perché questo funzioni, è però indispensabile il supporto dell’organizzazione e la definizione di un processo condiviso, capace di conciliare esigenze operative e sicurezza.
È in questo equilibrio tra tecnologia, governance e collaborazione con la supply chain che si costruisce la vera resilienza.
Allo stesso tempo, il nostro servizio di Vulnerability Management rappresenta il trampolino di lancio verso una visione più ampia della sicurezza: da qui possiamo innestare servizi di network security, soluzioni di Governance, Risk & Compliance (GRC) e programmi di formazione dedicati al personale. L’integrazione di questi ambiti consente di trasformare un’attività tattica in una strategia olistica e completa, capace di ridurre il rischio e rafforzare la sicurezza complessiva in maniera duratura.
Se anche nella vostra organizzazione vi riconoscete in questi scenari, è il momento di trasformare la gestione delle vulnerabilità in un processo misurabile ed efficace, riducendo il carico operativo e rafforzando la resilienza complessiva – non solo dei vostri sistemi, ma dell’intero ecosistema di cui fate parte. Contattateci per valutare insieme lo stato attuale e definire un piano di miglioramento concreto.
1 https://www.cve.org/about/metrics
2 https://jerrygamblin.com/2025/01/05/2024-cve-data-review/