Ogni 24 ore vengono pubblicate circa 80 nuove CVE. Senza un approccio sistematico per identificare, prioritizzare e correggere le vulnerabilità, sta giocando alla roulette russa con la sua azienda. Il 60% delle violazioni coinvolge una vulnerabilità nota e non corretta.
La gestione delle vulnerabilità è il processo continuo e sistematico di identificazione, valutazione, prioritizzazione, correzione e verifica delle vulnerabilità di sicurezza negli asset IT di un'organizzazione. Non è una scansione una tantum — è un programma continuativo che riduce il rischio organizzativo nel tempo.
Le vulnerabilità comprendono diverse categorie:
Una valutazione delle vulnerabilità Le dice cosa non va (punto nel tempo). La gestione delle vulnerabilità garantisce che venga corretto — e rimanga corretto (programma continuativo con prioritizzazione, tracciamento, verifica e miglioramento).
Sanzioni normative: La NIS2 impone la gestione delle vulnerabilità — fino a 10 milioni di euro o il 2% del fatturato. Responsabilità per violazioni: Il GDPR richiede "misure tecniche appropriate". Ransomware: WannaCry, Log4Shell, MOVEit — tutti hanno sfruttato difetti noti e correggibili. Assicurazioni: Gli assicuratori cyber controllano la gestione delle patch e adeguano i premi o negano i sinistri.
Non può proteggere ciò che non conosce. Mantenga un inventario aggiornato di tutti gli asset IT e scansioni continuamente. Metriche chiave: copertura degli asset, frequenza di scansione, tempo dall'ultima scansione.
Non tutte le vulnerabilità sono uguali. Un punteggio CVSS critico non significa automaticamente rischio critico. Consideri sfruttabilità, criticità dell'asset, esposizione, controlli compensativi e contesto aziendale.
Le opzioni includono patching, modifiche di configurazione, controlli compensativi (WAF, virtual patching), accettazione formale del rischio o dismissione del sistema.
Una vulnerabilità "patchata" che in realtà non è stata corretta fornisce un falso senso di sicurezza. Ri-scansioni sempre, esegua test di regressione e validi le modifiche di configurazione dopo la correzione.
Serva più audience: team di sicurezza (dashboard tattiche), gestione IT (report strategici), dirigenti (rischio aziendale) e revisori (evidenze di conformità).
Volume: Decine di migliaia di risultati critici/elevati — impossibile correggerli tutti. Falsa urgenza: Molte CVE critiche non vengono mai sfruttate. Mancanza di contesto: Una vulnerabilità media su un sistema di pagamento può essere più rischiosa di una critica su un server di sviluppo isolato.
La gestione delle vulnerabilità basata sul rischio (RBVM) combina la gravità della vulnerabilità con threat intelligence (viene sfruttata?), criticità dell'asset (quanto è importante?), ed esposizione (esposta a internet?). Questo riduce il backlog azionabile dell'80–90%.
| Aspetto | CVSS | EPSS |
|---|---|---|
| Cosa misura | Gravità della vulnerabilità (0–10) | Probabilità di sfruttamento (0–100%) |
| Aggiornamenti | Prevalentemente statico | Giornaliero |
| Focus | Cosa potrebbe accadere | Cosa accadrà |
| Limitazione | Solo ~15% dei critici vengono sfruttati | Non considera il contesto dell'asset |
CVSS Alto + EPSS Alto → Critico, correzione immediata. CVSS Alto + EPSS Basso → Pianificato entro SLA standard. CVSS Basso + EPSS Alto → Elevato, indagare (potrebbe essere sottovalutato). CVSS Basso + EPSS Basso → Affrontare nella manutenzione regolare.
Scopra le sue vulnerabilità prima che lo facciano gli attaccanti. Scansione potenziata dall'IA con prioritizzazione basata sul rischio.
Avvii la Scansione Gratuita →| Framework | Requisito di Gestione Vulnerabilità | Sanzione |
|---|---|---|
| NIS2 | Articolo 21: "gestione e divulgazione delle vulnerabilità" come misura minima | Fino a 10 mln di € / 2% del fatturato |
| DORA | Gestione del rischio ICT, valutazioni regolari delle vulnerabilità | Applicazione specifica del settore |
| GDPR | Articolo 32: "misure tecniche appropriate" | Fino a 20 mln di € / 4% del fatturato |
| ISO 27001 | A.8.8: Gestione delle vulnerabilità tecniche | Rischio di certificazione |
| PCI DSS 4.0 | Scansioni ASV esterne trimestrali, scansione interna, pentesting annuale | Multe per non conformità PCI |
| Livello di Rischio | Esposto a Internet | Critico Interno | Standard Interno |
|---|---|---|---|
| Critico | 24 ore | 72 ore | 7 giorni |
| Alto | 7 giorni | 14 giorni | 30 giorni |
| Medio | 30 giorni | 60 giorni | 90 giorni |
| Basso | 90 giorni | 180 giorni | Prossima manutenzione |
KENSAI scansiona applicazioni web, API e infrastruttura con un database di oltre 332.000 CVE continuamente aggiornato. Identifica sia vulnerabilità note che configurazioni errate su tutta la superficie di attacco.
Va oltre il CVSS: incrocia threat intelligence attiva, considera dati reali di sfruttamento, riduce i falsi positivi attraverso analisi intelligente e fornisce prioritizzazione basata sul rischio così da concentrarsi su ciò che conta.
Ogni scansione genera report allineati con NIS2, GDPR, DORA e ISO 27001 — evidenze documentate di gestione e divulgazione delle vulnerabilità per revisori e regolatori.
Raccomandazioni di correzione azionabili per ogni risultato. Riduce il tempo e l'expertise richiesti per chiudere le vulnerabilità.
Professional: 990€/mese — ideale per aziende in crescita. Enterprise: 2.490€/mese — funzionalità avanzate e volumi di scansione superiori.
Il processo continuo di identificazione, valutazione, prioritizzazione, correzione e verifica delle vulnerabilità di sicurezza. A differenza delle valutazioni una tantum, è un programma continuativo con scoperta strutturata, prioritizzazione basata sul rischio e correzione tracciata con SLA definiti.
La RBVM prioritizza in base al rischio effettivo (threat intelligence + criticità dell'asset + esposizione) piuttosto che solo sulla gravità CVSS. Riduce il backlog azionabile dell'80–90% e concentra le risorse sulle vulnerabilità realmente pericolose.
Il CVSS valuta la gravità (statico, 0–10). L'EPSS predice la probabilità di sfruttamento (dinamico, aggiornato giornalmente). Usati insieme, forniscono sia il contesto di gravità che la probabilità di sfruttamento per una prioritizzazione superiore.
Critico/esposto a internet: almeno settimanale (preferibilmente giornaliero o continuo). Interno: minimo mensile. Dopo modifiche significative: sempre. La tendenza è verso la scansione continua.
L'Articolo 21 della NIS2 richiede esplicitamente "gestione e divulgazione delle vulnerabilità". Un programma conforme deve dimostrare scoperta sistematica, prioritizzazione basata sul rischio, SLA definiti, verifica, monitoraggio continuo e processi documentati.
Il MTTR per vulnerabilità critiche/ad alto rischio — misura direttamente quanto rapidamente chiude le finestre di esposizione più pericolose.
Prenda il controllo della gestione delle sue vulnerabilità. Scoperta, prioritizzazione e report di conformità potenziati dall'IA.
Avvii la Scansione Gratuita →La sicurezza non è opzionale.
🗡️ Il Team KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →