Il punto di vista di Cyber Academy
La gestione delle vulnerabilità è il ciclo di individuazione, prioritizzazione, remediation e verifica delle vulnerabilità nel proprio ambiente. Gli scanner segnalano migliaia di problemi; la disciplina risiede nella prioritizzazione (criticità dell'asset + disponibilità dell'exploit + esposizione al business) piuttosto che nella scansione. CVE, CVSS e KEV sono il vocabolario di riferimento.
Un ciclo, non una scansione
La gestione delle vulnerabilità è spesso ridotta all'«avviare lo scanner», ma la scansione è la parte facile. La disciplina è un ciclo che si ripete: mantenere un inventario accurato di ciò che si possiede, individuare le debolezze su quegli asset, dare priorità alla manciata che conta davvero, porvi rimedio e verificare che la correzione abbia tenuto. Uno scanner moderno ti consegnerà migliaia di rilevamenti su un parco di medie dimensioni. Trattare quell'elenco come una coda di attività è il modo in cui i team si esauriscono mentre la loro esposizione reale resta aperta. Il valore sta nell'imbuto, dalle migliaia di rilevamenti grezzi fino al piccolo insieme su cui agisci questa settimana.
Dipende anche da qualcosa che la maggior parte dei team sottovaluta: conoscere il proprio parco. Una vulnerabilità su un server esposto a Internet che esegue un'applicazione aziendale critica è un problema diverso dallo stesso difetto su una macchina di test isolata. Senza inventario degli asset e titolarità, la prioritizzazione non ha nulla su cui poggiare, ed è per questo che il ciclo inizia con la scoperta e l'identificazione piuttosto che con la scansione in sé.
Il vocabolario: CVE, CVSS e KEV
Tre punti di riferimento sostengono gran parte della conversazione sulla prioritizzazione, e i professionisti li usano in combinazione piuttosto che da soli.
| Termine | Che cos'è | Cosa ti indica |
|---|---|---|
| CVE | Un identificatore univoco per una vulnerabilità divulgata pubblicamente | Un nome comune affinché tutti parlino dello stesso difetto attraverso strumenti e avvisi di sicurezza. |
| CVSS | Un quadro di punteggio che valuta la gravità | Quanto è grave il difetto in teoria, in base all'impatto e alle caratteristiche di sfruttabilità. Un punto di partenza, non un verdetto. |
| KEV | Un catalogo di vulnerabilità note per essere sfruttate in circolazione | Se gli attaccanti la stanno effettivamente usando ora, il che aumenta nettamente la priorità nel mondo reale. |
L'errore comune è ordinare per punteggio CVSS e procedere dall'alto verso il basso. Un CVSS elevato su un asset che nessuno può raggiungere conta meno di un difetto di gravità media presente in un catalogo di vulnerabilità note per essere sfruttate su un sistema esposto. I programmi maturi combinano la gravità teorica con segnali reali: esiste un exploit funzionante, la vulnerabilità è attivamente sfruttata, e quanto è esposto e critico l'asset interessato. È quella combinazione, non il punteggio grezzo, a guidare la coda.
La prioritizzazione è tutto il lavoro
L'inquadramento onesto è che la prioritizzazione è il prodotto della gestione delle vulnerabilità. Gli input sono la criticità dell'asset, la disponibilità di un exploit e l'esposizione del business, e l'output è una decisione difendibile su cosa viene corretto per primo e cosa attende. È qui che la funzione si guadagna il proprio valore, perché nessun team può né dovrebbe porre rimedio a tutto in una volta.
- Criticità dell'asset: cosa fa il sistema per il business e cosa può raggiungere se compromesso.
- Disponibilità di un exploit: se esiste un exploit funzionante e se il difetto viene usato in circolazione.
- Esposizione del business: l'asset è esposto a Internet, quali dati contiene, e quali controlli compensativi si trovano già a monte.
Dove si colloca nella governance
La gestione delle vulnerabilità è raramente facoltativa una volta che ci si trova all'interno di un quadro riconosciuto. Un SGSI ISO/IEC 27001 prevede un processo definito per gestire le vulnerabilità tecniche, e gli auditor chiederanno di vedere il ciclo in funzione, non solo una licenza dello scanner.
Il NIST Cybersecurity Framework considera l'identificazione e la gestione delle vulnerabilità come centrali per le funzioni Identify e Protect, e normative come NIS2 e DORA presuppongono che le organizzazioni individuino e correggano attivamente le debolezze invece di attendere che un incidente le riveli. In ogni caso, la prova che un valutatore desidera ha la stessa forma: come scopri, come dai priorità, gli SLA secondo cui poni rimedio, e le metriche che dimostrano che il ciclo si sta chiudendo.
Frequently asked questions
01Qual è la differenza tra gestione delle vulnerabilità e gestione delle patch?
La gestione delle vulnerabilità è il ciclo completo di scoperta, prioritizzazione, rimedio e verifica delle debolezze nel tuo parco. La gestione delle patch è il processo operativo più ristretto di applicazione di una correzione pubblicata secondo uno SLA definito, con verifica. L'applicazione di patch è una via di rimedio comune all'interno della gestione delle vulnerabilità, ma non l'unica.
02Dovrei semplicemente correggere prima i punteggi CVSS più alti?
No. Il CVSS valuta la gravità teorica ma ignora se il difetto è raggiungibile, sfruttato in circolazione o presente su un asset critico. Un ordine migliore combina il CVSS con la disponibilità di un exploit, lo stato di vulnerabilità nota per essere sfruttata e la tua stessa criticità ed esposizione degli asset.
03Cosa sono CVE, CVSS e KEV?
CVE è l'identificatore comune di una specifica vulnerabilità divulgata. CVSS è un quadro che assegna un punteggio a quanto è grave una vulnerabilità. KEV è un catalogo di vulnerabilità note per essere attivamente sfruttate, il che ne aumenta nettamente la priorità nel mondo reale.
04Perché l'inventario degli asset fa parte della gestione delle vulnerabilità?
Non puoi dare priorità a ciò che non puoi vedere. Lo stesso difetto è banale su una macchina di test isolata e urgente su un server critico per il business ed esposto. Un inventario e una titolarità accurati sono ciò che ti permette di trasformare un elenco piatto di rilevamenti in un ordine di rimedio difendibile.
05La gestione delle vulnerabilità è obbligatoria per la conformità?
Di fatto sì, nella maggior parte dei quadri. ISO/IEC 27001 prevede un processo gestito per le vulnerabilità tecniche, il NIST CSF lo integra nelle funzioni Identify e Protect, e normative come NIS2 e DORA presuppongono che tu individui e corregga attivamente le debolezze. I valutatori cercano il ciclo, gli SLA e le metriche, non solo un report di scansione.