Cos'è una valutazione delle vulnerabilità?

Autori

Tom Krantz

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think

Cos'è una valutazione delle vulnerabilità?

Una valutazione delle vulnerabilità, a volte denominata test di vulnerabilità, è un processo sistematico utilizzato per identificare, valutare e segnalare i punti deboli della sicurezza nell'ambiente digitale di un'organizzazione. 
 

Questi punti deboli (noti come vulnerabilità) possono essere riscontrati a livello di software, hardware, configurazioni o processi. Possono esporre i sistemi a minacce informatiche, tra cui accessi non autorizzati o violazioni dei dati

Le valutazioni delle vulnerabilità sono fondamentali per la  gestione delle vulnerabilità, un sottodominio della gestione del rischio IT che consente alle organizzazioni di scoprire, assegnare priorità e risolvere continuamente le vulnerabilità di sicurezza all'interno dell'infrastruttura IT. 

Per illustrare il concetto, immaginiamo le valutazioni delle vulnerabilità come le regolari ispezioni di un edificio:

L'edificio è dotato di numerose porte, finestre, prese d'aria e punti di accesso, ognuno dei quali rappresenta un elemento di un ambiente IT. Sebbene un accesso non autorizzato possa verificarsi attraverso uno di questi elementi, le ispezioni regolari aiutano a identificare se i meccanismi di sicurezza (ad es. serrature, telecamere e allarmi) funzionano o necessitano di attenzione.

Questa è l'essenza di una valutazione delle vulnerabilità: consapevolezza in tempo reale dei potenziali punti deboli della sicurezza, supportata dall'azione.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Perché le valutazioni delle vulnerabilità sono importanti?

Con la crescente complessità dei sistemi IT, le organizzazioni si trovano ad affrontare un'infrastruttura di rete in espansione composta da endpoint, applicazioni web, reti wireless e risorse basate su cloud . Questa superficie di attacco sempre più ampia offre agli hacker e ai criminali informatici maggiori opportunità per scoprire i punti di ingresso. 

Le valutazioni di routine delle vulnerabilità possono aiutare i team di sicurezza a identificare e gestire queste potenziali lacune prima che vengano utilizzate, il che può portare a violazioni dei dati, esposizione di informazioni di identificazione personale (PII) e perdita della fiducia dei clienti.

Le conseguenze vanno oltre i dati rubati. Nel 2025, il costo medio globale di una violazione dei dati ha raggiunto i 4,44 milioni di dollari. Valutando proattivamente i sistemi alla ricerca delle vulnerabilità del software e di altri rischi per la sicurezza, le organizzazioni possono:

Allinearsi agli standard di conformità

Gli standard includono il Payment Card Industry Data Security Standard (PCI DSS) e la National Institute of Standards and Technology Special Publication 800-53 (NIST SP 800-53). Questi richiedono esplicitamente una scansione regolare delle vulnerabilità e la documentazione delle vulnerabilità identificate. L'implementazione di un processo strutturato di valutazione delle vulnerabilità aiuta le organizzazioni a dimostrare la conformità al PCI e ad altri framework, riducendo al contempo il rischio di sanzioni o problemi durante gli audit.
Gestisci in modo proattivo le minacce informatiche

Le valutazioni delle vulnerabilità sono una componente chiave della gestione proattiva delle minacce. Identificando le vulnerabilità della sicurezza prima che vengano utilizzate dai criminali informatici, le organizzazioni possono ridurre la gravità degli attacchi migliorando al contempo la gestione del rischio e la risposta agli incidenti. Ciò è particolarmente importante in ambienti che supportano il lavoro da remoto, i cloud service e le infrastrutture di rete complesse.
Velocizza le attività di correzione e mitigazione

Una valutazione efficace delle vulnerabilità ne supporta la correzione tempestiva inserendo le vulnerabilità prioritarie direttamente nei workflow dell'IT. L'integrazione con i sistemi di gestione delle patch e la chiara assegnazione delle attività correttive consentono ai team di sicurezza di colmare rapidamente le lacune, prima che i criminali informatici abbiano la possibilità di approfittarne. 
Aumenta la fiducia degli stakeholder

Clienti, partner e autorità di regolamentazione si aspettano che le organizzazioni proteggano i dati sensibili. Valutando e migliorando continuamente il livello di sicurezza dell'organizzazione, le aziende possono dimostrare il proprio impegno a salvaguardare le informazioni sensibili e a mantenere l'integrità operativa. 

Il ruolo delle valutazioni nella gestione delle vulnerabilità

Le valutazioni delle vulnerabilità rappresentano solitamente il primo passo di una più ampia strategia di gestione delle vulnerabilità. Identificando configurazioni errate, sistemi obsoleti e punti di accesso non sicuri, le valutazioni delle vulnerabilità gettano le basi per un maggiore livello di sicurezza. 

Mentre la fase di valutazione iniziale si concentra sulla scoperta e l'analisi dei punti deboli della sicurezza, l'intero ciclo di vita si estende alla definizione delle priorità, alla risoluzione, alla verifica e alla rendicontazione. 

Un tipico ciclo di vita della gestione delle vulnerabilità comprende le seguenti fasi: 

  • Scoperta e valutazione delle vulnerabilità
  • Analisi delle vulnerabilità e definizione delle priorità
  • Risoluzione delle vulnerabilità
  • Verifica e monitoraggio
  • Reporting e miglioramento

Scoperta e valutazione delle vulnerabilità

Il processo inizia identificando gli asset IT, come workstation, endpoint e app, per stabilire cosa debba essere protetto. Una volta effettuata la mappatura, i team addetti alla sicurezza utilizzano strumenti automatizzati o uno scanner delle vulnerabilità per cercare i punti deboli, quali interfacce esposte o sistemi operativi obsoleti.

Analisi e definizione delle priorità delle vulnerabilità

Le vulnerabilità identificate vengono analizzate per determinarne il potenziale impatto, la pertinenza e la sfruttabilità. Gli esperti di sicurezza possono utilizzare database delle vulnerabilità, intelligence open source e feed di threat intelligence che forniscono dati in tempo reale su modelli di attacco noti e criminali informatici attivi.

Risoluzione delle vulnerabilità

I team di cybersecurity collaborano con l'IT per risolvere le vulnerabilità utilizzando uno dei seguenti tre approcci: correzione, mitigazione o accettazione. La correzione può comportare la gestione delle patch o gli aggiornamenti della configurazione. Se non è possibile correggere immediatamente, le strategie di mitigazione, come l'implementazione di firewall o l'isolamento dei sistemi interessati, possono ridurre i rischi. Nei casi a basso rischio, le organizzazioni possono documentare e accettare il problema quale parte del loro più ampio programma di  gestione del rischio.

Verifica e monitoraggio

Dopo la mitigazione o la correzione, i team di risposta effettuano test di vulnerabilità per confermare le correzioni e valutare il livello di sicurezza. Il monitoraggio continuo aiuta a rilevare le nuove vulnerabilità e la deriva della configurazione, consentendo di rispondere in tempo reale all'evoluzione degli ambienti.

Reporting e miglioramento

I team di sicurezza documentano i risultati attraverso un report che include gli strumenti di scansione utilizzati, le vulnerabilità identificate, i risultati e il rischio residuo. Le metriche chiave possono includere il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR), che possono essere condivisi con gli stakeholder per orientare le decisioni future di gestione del rischio.

Tipi di valutazione delle vulnerabilità

Esistono diversi tipi di valutazioni delle vulnerabilità che variano in base all'obiettivo della valutazione:

  • Basato sulla rete: valuta la sicurezza della rete analizzando l'infrastruttura di rete interna ed esterna alla ricerca di punti deboli in termini di sicurezza. Le vulnerabilità più comuni includono porte aperte, protocolli non sicuri ed endpoint esposti.

  • Basato sull'host: si concentra sui singoli sistemi, come le workstation e i sistemi operativi. Questo metodo può rilevare le vulnerabilità del software, le applicazioni non autorizzate e le configurazioni errate che potrebbero aggirare le difese perimetrali.

  • Scansione delle applicazioni: esamina le applicazioni web alla ricerca di vulnerabilità come meccanismi di autenticazione non funzionanti o gestione impropria degli input, utilizzabili da minacce come SQL injection o cross-site scripting (XSS). Queste scansioni aiutano a proteggere le app che gestiscono informazioni sensibili.

  • Valutazione della rete wireless: identifica i rischi associati alle reti wireless, tra cui punti di accesso non autorizzati, impostazioni di crittografia deboli o scarsa segmentazione della rete.

  • Valutazione del database: analizza i database alla ricerca di vulnerabilità di sicurezza che potrebbero esporre dati sensibili. I problemi più comuni includono credenziali predefinite, controlli degli accessi scadenti, motori di database obsoleti e autorizzazioni utente eccessive.

Strumenti e tecniche di valutazione delle vulnerabilità

Le valutazioni efficaci delle vulnerabilità utilizzano una combinazione di strumenti automatici, threat intelligence e analisi umana. Sebbene l'automazione acceleri la scoperta, i team di sicurezza qualificati svolgono un ruolo chiave nell'interpretazione dei risultati, nel filtraggio dei falsi positivi e nel garantire interventi correttivi accurati. 

Al centro della maggior parte delle valutazioni ci sono gli scanner delle vulnerabilità, ovvero strumenti che valutano i sistemi alla ricerca di vulnerabilità note. Gli strumenti di scansione estraggono dati da database delle vulnerabilità aggiornati. Usano anche tecniche come l'analisi comportamentale e i controlli della configurazione per rilevare problemi su endpoint, app, sistemi operativi e infrastrutture di rete.

Le organizzazioni spesso si affidano a un mix di strumenti open source e di livello aziendale, interni o di fornitori esterni, a seconda della complessità del proprio ambiente. 

Gli strumenti e le piattaforme più utilizzati includono:

Strumenti di gestione delle patch

Utilizzati per automatizzare la correzione, gli strumenti di gestione delle patch applicano aggiornamenti o patch di sicurezza su sistemi distribuiti. Se integrati con strumenti di valutazione delle vulnerabilità come le piattaforme di asset discovery, aiutano a garantire che i sistemi ad alto rischio vengano affrontati per primi in base alla logica delle priorità.
Framework di test delle applicazioni

Progettati per le applicazioni web, questi strumenti simulano attacchi come SQL injection o XSS per scoprire i difetti utilizzabili da parte dei criminali informatici. Molti supportano anche i test di autenticazione, la convalida delle sessioni e i controlli di configurazione per le application program interface (API).
Piattaforme di threat intelligence

Queste piattaforme forniscono un contesto prezioso collegando le vulnerabilità identificate con gli exploit attivi utilizzati dai criminali informatici o dalle campagne di phishing. Di conseguenza, i team acquisiscono una migliore comprensione di quali minacce rappresentano il rischio più immediato.
Strumenti di gestione della superficie di attacco

Strumenti come le piattaforme di gestione della superficie di attacco esterna (EASM) mantengono una visibilità continua sugli asset esterni. Contrassegnando i punti di accesso, le app o i servizi basati su cloud che non rientrano nei cicli di scansione programmati, forniscono una visione in tempo reale dell'evoluzione dei rischi per la sicurezza.
Utility open source

Leggeri e personalizzabili, gli strumenti open source offrono flessibilità per scansioni specializzate, analisi più approfondite delle vulnerabilità o integrazioni personalizzate. Sebbene convenienti, spesso richiedono un maggiore impegno manuale per la manutenzione e la configurazione.

Valutazione delle vulnerabilità e test di penetrazione a confronto

Le valutazioni delle vulnerabilità e i test di penetrazione sono parte integrante dei test di sicurezza, sebbene abbiano scopi diversi. Tornando all'analogia precedente, le valutazioni delle vulnerabilità sono come le regolari ispezioni di un edificio in cui le organizzazioni identificano e catalogano le lacune di sicurezza esistenti. Questo approccio offre una visione ampia e continua dei rischi per la sicurezza di un'azienda.

I test di penetrazione, al contrario, sono più mirati. È come assumere uno scassinatore che cerchi attivamente di entrare nell'edificio. Simula un attacco reale per approfittare delle vulnerabilità e valutare l'efficacia dei controlli di sicurezza.

In pratica, le organizzazioni possono utilizzare le valutazioni della vulnerabilità come parte integrante di un più ampio programma di gestione della vulnerabilità. Possono quindi programmare i test di penetrazione a intervalli chiave, ad esempio prima del lancio del prodotto o dopo importanti modifiche al sistema, per convalidare le difese e scoprire rischi più profondi.

Sfide nella valutazione delle vulnerabilità

Le organizzazioni devono spesso affrontare delle sfide operative e tecniche che limitano l'efficacia delle valutazioni delle vulnerabilità, tra cui:

Elevato volume di risultati

In ambienti grandi o complessi, le scansioni delle vulnerabilità spesso identificano migliaia di vulnerabilità, molte delle quali possono essere a basso rischio, duplicate o già mitigate attraverso altri controlli. Senza un sistema chiaro per la definizione delle priorità, i team di sicurezza possono essere sopraffatti, ritardando le attività di riparazione o trascurando le minacce critiche.

Falsi positivi e stress da avvisi

Gli strumenti automatici segnalano spesso problemi che presentano rischi minimi o nulli nel mondo reale. Questi falsi positivi contribuiscono ad aumentare lo stress da avvisi, facendo perdere tempo prezioso e indebolendo la fiducia nel processo di valutazione. Via via che i team dedicano maggiori sforzi alla convalida dei risultati, rimangono meno risorse per la mitigazione effettiva.

Punti ciechi e visibilità limitata

Le valutazioni della vulnerabilità si basano su un inventario completo degli asset. Purtroppo, lo shadow IT, gli endpoint non gestiti e le app di terze parti potrebbero non essere sottoposti alle normali scansioni, lasciando lacune a livello di visibilità. Questi punti ciechi possono diventare obiettivi ideali per i criminali informatici, soprattutto quando i punti di accesso passano inosservati per lunghi periodi.

Disconnessioni operative

Anche le vulnerabilità chiaramente identificate possono subire ritardi nella riparazione a causa della disconnessione dei team di sicurezza e delle operazioni IT. Quando gli aggiornamenti dipendono da team che operano in silo, i rischi possono persistere più a lungo del necessario.
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity