Vulnerability assessment: definizione e vantaggi per le aziende
X
Vulnerability assessment: definizione e vantaggi per le aziende
Di : Alessandro Achilli1 Luglio 2025
Un’azienda dovrebbe prendere in considerazione la centralità del lavoro di vulnerability assessment: la valutazione delle criticità che ti permette di considerare e scoprire eventuali punti deboli in termini di cyber security. Vuoi proteggere reti, sistemi, database e applicazioni da attacchi informatici più o meno importanti?
I cyber criminali mettono in campo tutte le tecnologie e le attività di ingegneria sociale per fare breccia nella tua realtà. Devi sapere cosa tutelare e dove investire per aumentare la sicurezza della tua infrastruttura IT.
Unastrategia di cyber security deve ricorrere al vulnerability assessment: un’analisi per prevenire e difendersi da attacchi hacker. Continua a leggere per scoprire come e perché investire in questa direzione specifica.
Indice dei contenuti
Cos’è il vulnerability assessment, definizione
Il vulnerability assessment (spesso abbreviato con la sigla VA) è un processo che identifica, valuta e classifica le vulnerabilità presenti nei sistemi informatici di un’organizzazione o un’azienda. Nello specifico, è una procedura tecnica gestita da professionisti che può includere strumenti automatici e analisi manuali.
L’obiettivo del vulnerability assessment è quello di ottenere una copertura completa delle possibili debolezze. Quindi, le operazioni tendono a rilevare i punti deboli del sistema di sicurezza, valutare i potenziali danni in caso di attacco informatico e aiutare a individuare le operazioni per migliorare i sistemi difensivi in atto.
Quest’analisi approfondita permette di prevenire le minacce e continuare la propria attività online riducendo i rischi. È una pratica essenziale per tutte le aziende che desiderano mantenere un elevato livello di sicurezza informatica, prevenendo attacchi prima che possano causare danni economici o reputazionali.
Differenza con altri concetti della sicurezza IT
Gli esperti del settore, come ad esempio il Cyber Security Manager o il Chief Information Security Officer, sanno bene che il concetto di vulnerability assessment può essere confuso con altre attività necessarie per mettere al sicuro la struttura IT di un’azienda. Ecco qualche chiarimento che non puoi ignorare.
Vulnerability assessment o risk assessment
Il risk assessment analizza qualitativamente i rischi, considerando probabilità e impatto. Mentre il vulnerability assessment è un’analisi tecnica e quantitativa, mirata a rilevare le debolezze effettive dei sistemi.
Una volta identificati i punti deboli di un sistema, grazie alla valutazione e al risk assessment, li isoliamo e classifichiamo con perfetta panoramica dei problemi da risolvere. E delle criticità su cui agire. Questo è un processo indispensabile per un’azienda che vuole garantire sicurezza, evitare ogni intrusione e impedire che informazioni riservate e dati sensibili vengano rubati o sfruttati illecitamente.
Vulnerability assessment o penetration test
Spesso si tende a confondere vulnerability assessment e penetration test (pentest) ma noi sappiamo che non sono la stessa cosa. La differenza principale sta nel fatto che il vulnerability assessment si concentra sull’identificazione e la classificazione dei punti deboli. Il penetration test, invece, simula un attacco reale.
Questo per verificare se e come una vulnerabilità può essere sfruttata da un cyber criminale. In molte circostanze, queste attività vengono integrate nel VAPT (vale a dire vulnerability assessment and penetration testing).
I tipi di vulnerabilità: ecco le più comuni
Il lavoro che svolgono i tecnici e gli addetti alla sicurezza IT può essere rivolto a una serie di attività che abbracciano anche quelle del vulnerability assessment. Quali sono i punti che dobbiamo mettere sotto la lente d’ingrandimento?
Accessi non autorizzati – Compromissione attraverso l’acquisizione illegittima di privilegi di accesso. Può verificarsi a causa di bypass dei controlli di autenticazione, escalation di privilegi o sfruttamento di account compromessi.
Errori di configurazione – Impostazioni non sicure o errate di sistemi, applicazioni, servizi cloud, database e dispositivi di rete. Include configurazioni predefinite non modificate, servizi non necessari abilitati, crittografia insufficiente.
Furto di credenziali – Acquisizione di username, password, token di autenticazione, certificati digitali o altre informazioni di identificazione. Avviene attraverso phishing, keylogger, attacchi di forza bruta e social engineering.
Zero Day – Falle sconosciute ai vendor e non ancora corrette. Non esistono ancora patch o contromisure. Rappresentano il rischio più elevato poiché non ci sono difese specifiche disponibili (ecco un approfondimento da leggere).
Mancata sanitizzazione dei dati – Input non controllati che causano exploit. Questa carenza apre le porte ad attacchi insidiosi come SQL injection, XSS (Cross-Site Scripting), command injection, e LDAP injection.
Software non aggiornato – L’assenza di patch espone a rischi noti. La mancanza di patch management sistematico trasforma vulnerabilità correggibili in punti di ingresso facilmente sfruttabili dagli attaccanti criminali.
Ancora un punto fondamentale: quello del Remote Code Execution (RCE). Ovvero la possibilità per un attaccante di eseguire codice da remoto. A questo punto, però, potrebbe essere utile valutare anche un’altra strada per valutare la tipologia di vulnerabilità con dei criteri standard.
Cosa sono CVE, CWE e CVSS?
Sono dei sistemi per categorizzare e identificare le vulnerabilità. Il CVE, acronimo di Common Vulnerabilities and Exposures, è un glossario gestito dalla MITRE Corporation che cataloga le vulnerabilità note nel settore della sicurezza informatica. Ogni CVE ha un codice univoco nel formato CVE-ANNO-NUMERO (esempio CVE-2021-44228 per Log4Shell) e include una breve descrizione della vulnerabilità con la documentazione tecnica aggiuntiva.
Il CWE, ovvero Common Weakness Enumeration, classifica le cause comuni delle vulnerabilità, come errori di progettazione. Mentre il CVE identifica vulnerabilità specifiche, il CWE categorizza i tipi di problemi di sicurezza e descrive le cause delle vulnerabilità.
Tutto questo per semplificare l’identificazione dei nodi da risolvere ma anche lo sviluppo di contromisure. Infine abbiamo il CVSS (Common Vulnerability Scoring System) che assegna un punteggio da 0 a 10 alla gravità di ogni problema registrato in questo framework standardizzato.
Le fasi del vulnerability assessment
In base alla nostra esperienza nel settore della cyber security, e all’attività svolta per seguire la sicurezza IT aziendale, possiamo dire che un processo di vulnerability management efficace si articola in 4 passaggi.
Scansione delle vulnerabilità
Il primo step di un lavoro realmente efficace per scansionare le vulnerabilità interne. Con strumenti automatici si effettua una mappatura dei sistemi, alla ricerca di possibili punti in cui i malintenzionati possono fare breccia.
Analisi delle vulnerabilità
Seguiamo un approccio data driven, quindi le informazioni raccolte diventano la nostra base operativa. E vengono analizzate per capire l’impatto potenziale di ogni falla individuata nell’infrastruttura IT aziendale.
Prioritizzazione e correzione
Cosa fare come prima azione? Dove intervenire immediatamente e quanto possiamo attendere? Le vulnerabilità vengono classificate in base alla gravità (come il CVSS score) e si stabilisce un piano di remediation.
Gestione continua
Guai seri in vista se pensi di poter chiudere la pratica con un’azione una tantum. Il processo di vulnerability assessment viene ripetuto ciclicamente per identificare nuove vulnerabilità e garantire la sicurezza nel tempo.
Principali tipi di vulnerability assessment
Esistono diversi tipi di vulnerability scan, ognuno con un focus specifico. Infatti, non esiste un unico approccio e il processo può presentare caratteristiche differenti in base alla procedura scelta per eseguire il test.
Scansioni di rete (Network-based)
In questo caso l’attenzione è rivolta agli attacchi potenziali alla rete e ai dispositivi connessi, sia via cavo che Wi-Fi. Questo test è molto importante perché è la rete che subisce gli attacchi più frequenti e sofisticati. Questo tipo di test può essere esterno – e passare attraverso i server o i dispositivi di rete raggiungibili tramite Internet – o interno, accedendo fisicamente o grazie a connessioni remote.
Scansioni host-based
Si analizzano server e workstation alla ricerca di porte aperte, configurazioni errate e patch mancanti. Analisi più specifica rispetto al Network Vulnerability Assessment, può testare in modo accurato la cronologia delle patch
Scansioni applicative
Con questa soluzione è possibile mettere alla prova applicazioni web alla ricerca di vulnerabilità note come SQL injection, cross site scripting o attacco XSS e configurazioni errate. Apparentemente semplice, ha un raggio d’azione molto vasto.
Esaminando un sito web, i punti deboli che rischiano di compromettere la sicurezza possono avere varia natura e provenire dall’interno del software, dall’errore umano da parte dell’utente o dall’uso di componenti non aggiornati o non protetti.
Scansioni su database
Sono attività raffinate che mirano a rilevare debolezze nei sistemi di gestione dei dati, spesso bersaglio di attacchi insidiosi. Sono dei test che verificano la sicurezza di un database al fine di evitare SQL Injection.
Scansioni su rete wireless
Identificano access point non autorizzati e verificano che la rete wireless sia configurata in modo sicuro. Si valuta se l’infrastruttura è protetta e individua ogni possibile punto di accesso sfruttabile da malintenzionati. È una procedura molto importante perché le reti senza fili sono spesso trascurate.
Come eseguire un vulnerability assessment
Per fare una valutazione si utilizzano i famosi vulnerability scanner. Tra i migliori a pagamento troviamo Rapid7, Netsparker Security Scanner, Acunetix, Patch Manager Plus e Intruder; tra quelli gratuiti segnaliamo OpenVAS, Retina CS Community, BurpSuite, Nmap, Arachni e Nessus.
Per iniziare devi avere accesso a tutte le informazioni della rete, stilare un inventario dei dispositivi connessi o presenti in azienda. Quindi, è giusto individuare tutte le risorse hardware e software disponibili per iniziare.
Poi si può passare al test che, di solito, ha inizio dalla rete: con un’analisi LAN si esamina il perimetro e si verifica lo stato di sicurezza della connessione. Si individuano configurazioni pericolose, si analizzano i dispositivi connessi, si cercano eventuali file infetti e si accerta che le password non siano state violate.
Poi si prosegue esaminando gli host, i directory service e i DNS. Da qui si passa ai sistemi operativi e alle applicazioni, in modo da avere una visione chiara di quale potrebbe essere il raggio d’azione di un eventuale hacker.
Con un’analisi WAN si cercano accessi alla rete non autorizzati e si concentra l’attenzione su reti Wifi, VPN e collegamenti dall’esterno. Poi si passa all’analisi dei siti: si individuano falle che possono portare a cyber attacchi come phishing o social engineering, e si verifica che ci siano servizi indesiderati attivi.
Come valutare le vulnerabilità
Per portare a termine un buon lavoro di vulnerability assessment bisogna, senza indugi, saper valutare un possibile problema. In queste circostanze si considerano tre fattori chiave. Il primo è l’engagement, il coinvolgimento. Ovvero, quanto l’organizzazione è esposta al rischio e quali sono i relativi rischi.
Per approfondire questo punto si considerano diversi fattori come, ad esempio, l’ampiezza dei punti di ingresso disponibili. Maggiore è la superficie di attacco, più elevato è il livello di engagement. Poi abbiamo l’intento: la probabilità che un attaccante sia motivato a sfruttare specificamente quella vulnerabilità. Infine ci troviamo di fronte alla capability, vale a dire la capacità tecnica necessaria per l’exploit.
Come affrontare il problema
Abbiamo indicato i vari tipi di vulnerabilità che possiamo affrontare. Una volta individuato l’oggetto d’analisi, bisogna scegliere la modalità migliore per proseguire con il test. Esistono tre diversi approcci:
Black Box Testing: non si ha nessuna informazione sui sistemi di difesa adottati e non si conosce il codice sorgente. Si procede alla cieca. Richiede più tempo perché si deve prima capire quali sono l’architettura e il sistema dei servizi e il risultato è strettamente connesso all’abilità di chi sta compiendo il test.
Grey Box Testing: chi esegue l’analisi ha una conoscenza parziale della situazione. Si focalizzerà sulle aree di cui si hanno maggiori informazioni per cercare di lavorare al meglio sui test di vulnerabilità.
White Box Testing: chi esegue l’analisi ha una conoscenza approfondita della struttura da esaminare – dagli schemi di rete ai codici sorgente delle web application – e può così testare ogni dispositivo.
Scegliere il giusto target, e l’approccio più idoneo al contesto, è importante per tracciare delle linee guida precise. Ma, soprattutto, per capire chiaramente che direzione far prendere all’intero processo di test.
Patch management – Processo di identificazione, test e distribuzione degli aggiornamenti di sicurezza. Include la valutazione delle patch rilasciate dai vendor e la validazione in ambienti di test per verificare compatibilità e stabilità.
Segmentazione di rete – Divide l’infrastruttura di rete in zone isolate per limitare la propagazione laterale delle minacce. Utilizza firewall, VLAN, e controlli di accesso per creare perimetri di sicurezza, isolando sistemi critici da quelli meno sensibili.
Hardening dei sistemi – Riduzione della superficie di attacco attraverso la rimozione o disabilitazione di servizi, applicazioni, e funzionalità non necessarie. Include la configurazione sicura di sistemi operativi, applicazioni e dispositivi di rete.
Monitoraggio continuo – Sistemi di rilevamento che operano 24/7 per identificare anomalie, intrusioni e comportamenti sospetti. Utilizza SIEM (Security Information and Event Management) ed EDR (Endpoint Detection and Response).
Perché è così importante indicare questi punti all’interno della nostra guida per un vulnerability assessment. Seguire gli standard NIST aiuta le organizzazioni a costruire un framework di sicurezza solido.
Proteggi i tuoi sistemi con un vulnerability assessment professionale
Il nostro team può aiutarti a individuare e correggere le vulnerabilità critiche nei tuoi sistemi IT. Contattaci subito per ottenere una consulenza personalizzata o scopri il nostro servizio di vulnerability assessment.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durata
Descrizione
_GRECAPTCHA
5 months 27 days
This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA
5 months 27 days
This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Cookie
Durata
Descrizione
bcookie
2 years
LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie
2 years
LinkedIn sets this cookie to store performed actions on the website.
lang
session
LinkedIn sets this cookie to remember a user's language setting.
lidc
1 day
LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory
1 month
LinkedIn sets this cookie for LinkedIn Ads ID syncing.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Cookie
Durata
Descrizione
__kla_id
2 years
Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B
1 year 24 days
Used by Microsoft Advertising as a unique ID for visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Cookie
Durata
Descrizione
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1
1 minute
A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1
1 minute
A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au
3 months
Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress
30 minutes
Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen
30 minutes
Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample
2 minutes
Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample
2 minutes
Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest
session
To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id
1 year
This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Cookie
Durata
Descrizione
_fbp
3 months
This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp
3 months
This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK
10 minutes
The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr
3 months
Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr
3 months
Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID
1 year 24 days
Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie
15 minutes
The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId
never
This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests
never
This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
