Differenza tra valutazione di vulnerabilità e penetration test?

La valutazione identifica e prioritizza sistematicamente debolezze conosciute su un'ampia superficie d'attacco, generalmente con scanner automatizzati. Il penetration test è un'esercitazione focalizzata e orientata agli obiettivi dove hacker etici sfruttano attivamente vulnerabilità per dimostrare l'impatto reale. Le valutazioni sono ampie e frequenti; i pentest, profondi e periodici.

Come funziona lo scoring CVSS?

CVSS v3.1 produce punteggi da 0.0 a 10.0 basati su metriche Base, Temporali e Ambientali. Range: Basso (0.1–3.9), Medio (4.0–6.9), Alto (7.0–8.9), Critico (9.0–10.0).

EPSS (Exploit Prediction Scoring System) stima la probabilità (0–100%) che una vulnerabilità venga sfruttata nei prossimi 30 giorni in base a dati reali di exploit. CVSS misura la severità; EPSS la probabilità di sfruttamento. La combinazione prioritizza meglio del solo CVSS.

Con quale frequenza valutare le vulnerabilità?

Lo standard moderno è la scansione continua, asset critici monitorati giornalmente, scansioni di rete settimanali o mensili. PCI DSS richiede scansioni esterne trimestrali da un ASV. La maggior parte delle industrie regolamentate richiede minimo scansioni interne mensili.

Guida alla Valutazione delle Vulnerabilità

Perché È Importante

Le aziende moderne gestiscono migliaia di asset in cloud, on-premises, mobile e IoT. Ognuno può ospitare vulnerabilità conosciute (CVE), configurazioni errate o impostazioni di default insicure. Senza un programma sistematico, le organizzazioni sono cieche di fronte alle debolezze che gli attaccanti troveranno.

L'incidente Equifax 2017 sfruttò una vulnerabilità Apache Struts non patchata divulgata due mesi prima. Log4Shell (CVE-2021-44228) ha dato esecuzione remota su milioni di sistemi. La valutazione di vulnerabilità è prerequisito per la gestione del rischio.

Il Processo

Ciclo di Vulnerability Assessment

Asset Discovery

Scansione

Validazione

Priorizzazione

Remediation

Verifica

1. Asset Discovery

Non si può proteggere ciò che non si conosce. Combina network discovery, telemetria agenti, API cloud, integrazione CMDB e gestione superficie d'attacco esterna.

2. Scansione

La scansione autenticata produce risultati molto migliori.

Tipo	Copertura	Strumenti
Rete	Porte, servizi, CVE OS	Nessus, Qualys, OpenVAS
Web	OWASP Top 10	Burp Suite, ZAP
Container	CVE immagini	Trivy, Grype, Snyk
IaC	Terraform, CloudFormation	Checkov, tfsec
SCA	Dipendenze software	Dependabot, Snyk

3. Validazione

Gli scanner producono falsi positivi. Valida i finding critici manualmente o tramite correlazione.

4. Priorizzazione

priorizzazione.txt

Text

Rischio = CVSS × EPSS × Criticità × Esposizione

Indicatori critici:
- CVE in CISA KEV
- EPSS > 50%
- Asset esposto a Internet
- Dati sensibili
- Nessun controllo compensativo

5. Remediation

Patch, modifiche di configurazione, controlli compensativi o accettazione documentata del rischio. SLA: Critico 7 giorni, Alto 30 giorni, Medio 90 giorni.

6. Verifica

Re-scan per confermare. MTTR come KPI chiave.

Standard e Fonti

CVE (MITRE), NVD, CWE
CISA KEV
EPSS

Migliori Pratiche

Scansione continua anziché trimestrale.
Scansioni autenticate dove possibile.
Priorizzazione basata sul rischio (CVSS + EPSS + contesto).
CISA KEV come priorità immediata.
Integrazione con ticketing per SLA.
Misurare MTTR.

Concetti Correlati

Nel Bootcamp

Come insegniamo Valutazione delle Vulnerabilità

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Valutazione delle Vulnerabilità. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 8: Operazioni di Sicurezza Avanzate

Argomenti correlati che padroneggerai:Risposta agli IncidentiDFIRThreat HuntingVolatility

Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso

Blog

Guide alla carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione aziendale

Assumi i nostri talenti

Valutazione delle Vulnerabilità