Nel 2025, il tempo medio per sfruttare una vulnerabilità nota è sceso a 5 giorni dalla pubblicazione della CVE (fonte: Mandiant M-Trends 2025). Cinque giorni. Se non sai quali falle hai, qualcun altro le trova prima di te. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB), ha completato oltre 500 vulnerability assessment per 200+ aziende in Lombardia. Ecco come funziona un VA, perché ti serve e quanto costa davvero.
Cos'è un vulnerability assessment (e cosa non è)
Un vulnerability assessment è un processo sistematico per trovare le falle di sicurezza nella tua infrastruttura IT. Scanner automatici analizzano server, endpoint, dispositivi di rete, applicazioni web e configurazioni alla ricerca di vulnerabilità note. Il risultato è un report che ti dice: "hai queste 47 vulnerabilità, queste 3 sono critiche e vanno corrette subito, queste 15 sono medie, queste 29 sono basse".
Quello che un VA non fa: non tenta di sfruttare le vulnerabilità. Non simula un attacco. Non cerca di entrare nei tuoi sistemi. Quello è il penetration test, che è un'altra cosa — più costoso, più invasivo, più approfondito.
VA vs penetration test: quando serve cosa
| Aspetto | Vulnerability Assessment | Penetration Test |
|---|---|---|
| Obiettivo | Trovare tutte le vulnerabilità | Dimostrare l'impatto di un attacco |
| Ampiezza | Ampio: tutta l'infrastruttura | Profondo: target specifici |
| Approccio | Automatico (scanner) + analisi manuale | Manuale (ethical hacker) + tool |
| Invasività | Bassa — nessun tentativo di exploit | Alta — simula attacchi reali |
| Frequenza | Trimestrale o semestrale | Annuale |
| Costo PMI | 1.500-8.000 € | 5.000-25.000 € |
| Quando usarlo | Primo step, screening periodico | Dopo il VA, su sistemi critici |
Per una PMI, il consiglio pratico è: parti dal VA (meno invasivo, meno costoso), correggi le vulnerabilità critiche, poi fai un pentest annuale sui sistemi più esposti. Se non hai mai fatto un VA, è come andare dal dentista senza aver mai fatto una radiografia panoramica — non sai cosa c'è sotto.
La metodologia del vulnerability assessment
Un VA serio segue un processo in 5 fasi. Non è "lancio lo scanner e vedo cosa esce" — c'è un metodo.
Fase 1: Ricognizione (asset discovery)
Prima di cercare vulnerabilità, devi sapere cosa hai. Quanti server? Quanti endpoint? Quanti switch, router, access point? Quali applicazioni web? Quali servizi esposti su internet? Sembra banale, ma il 40% delle aziende non ha un inventario IT aggiornato. Se non sai di avere quel vecchio server Windows 2012 R2 nell'armadio del magazzino, non lo scansionerai mai — e un attaccante lo troverà prima di te.
Fase 2: Scansione delle vulnerabilità
Qui entrano in gioco gli scanner automatici. Il tool analizza ogni asset alla ricerca di: software obsoleto senza patch, configurazioni errate (porte aperte, servizi non necessari, password di default), certificati SSL/TLS scaduti o deboli, vulnerabilità note (CVE) nei software installati, mancanza di hardening. La scansione può essere interna (dalla rete aziendale, vede tutto) ed esterna (da internet, vede solo ciò che è esposto). Entrambe sono necessarie.
Fase 3: Analisi e classificazione CVSS
Lo scanner produce centinaia (a volte migliaia) di finding. Non tutte sono ugualmente importanti. La classificazione usa il CVSS (Common Vulnerability Scoring System), uno standard internazionale che assegna un punteggio da 0 a 10:
- Critica (9.0-10.0): sfruttabile da remoto, senza autenticazione, impatto totale. Correzione immediata.
- Alta (7.0-8.9): sfruttabile con condizioni minime. Correzione entro 7 giorni.
- Media (4.0-6.9): richiede accesso locale o autenticazione. Correzione entro 30 giorni.
- Bassa (0.1-3.9): impatto limitato. Correzione nel prossimo ciclo di manutenzione.
- Informativa (0.0): best practice non seguita, nessun rischio immediato.
Il CVSS base va contestualizzato: una vulnerabilità critica su un server isolato senza dati sensibili è meno urgente di una vulnerabilità media sul server di posta esposto su internet.
Fase 4: Report e prioritizzazione
Il report del VA non è un PDF da 300 pagine che nessuno legge. Un report utile ha: un executive summary per il management (2 pagine, rischio complessivo, top 5 criticità), un report tecnico per l'IT (ogni vulnerabilità con CVSS, descrizione, asset coinvolto, remediation), una matrice di priorità (cosa correggere per primo, secondo, terzo), e un piano di remediation con tempistiche realistiche.
Fase 5: Remediation e verifica
Trovare le vulnerabilità senza correggerle è inutile. La fase più importante è la remediation: applicare le patch, correggere le configurazioni, disabilitare i servizi non necessari, fare l'hardening dei server. Dopo la remediation, si fa una scansione di verifica per confermare che le vulnerabilità siano state effettivamente corrette.
Tool per vulnerability assessment
Gli scanner VA non sono tutti uguali. Ecco i principali usati dai professionisti e cosa offrono.
| Tool | Tipo | Target ideale | Costo indicativo |
|---|---|---|---|
| Tenable Nessus Pro | Commerciale | PMI e mid-market | ~3.500 €/anno |
| Qualys VMDR | Cloud SaaS | Mid-market e enterprise | Da 5.000 €/anno |
| OpenVAS / Greenbone | Open source | PMI con competenze interne | Gratuito (community) |
| Rapid7 InsightVM | Commerciale | Mid-market e enterprise | Da 4.000 €/anno |
| Microsoft Defender VM | Cloud integrato | Aziende M365/Azure | Incluso in M365 E5 |
Per una PMI che non ha competenze interne, la scelta migliore è affidarsi a un MSP come BullTech che gestisce lo scanner, analizza i risultati e si occupa della remediation. Avere Nessus installato senza saperlo usare è come avere un microscopio senza essere un medico.
Frequenza: ogni quanto fare un VA
La risposta breve: almeno ogni 6 mesi per l'infrastruttura completa. Ma ci sono situazioni che richiedono un VA straordinario:
- Dopo aver installato nuovi server o applicazioni
- Dopo una migrazione cloud (anche parziale)
- Dopo un cambio significativo nella configurazione di rete
- Dopo la pubblicazione di una vulnerabilità critica 0-day nei software che usi
- Prima di un audit di compliance (NIS2, ISO 27001, GDPR)
- Dopo un incidente di sicurezza (per verificare che non ci siano altre falle)
Le aziende più mature usano scanner in modalità continua: Qualys o Tenable girano in background e segnalano nuove vulnerabilità in tempo reale. Costa di più, ma elimina il rischio della finestra temporale tra un VA e l'altro.
VA e compliance: NIS2 e GDPR
Il vulnerability assessment non è solo una best practice — è un obbligo normativo in diversi contesti.
La NIS2 (articolo 21, misura 5) richiede esplicitamente la "gestione e divulgazione delle vulnerabilità". Questo significa avere un processo strutturato di vulnerability management: scansioni periodiche, classificazione, remediation tracciata. Non basta fare un VA una volta — devi dimostrare che lo fai regolarmente e che correggi quello che trovi.
Il GDPR (articolo 32) richiede "misure tecniche e organizzative adeguate" per proteggere i dati personali. Un VA dimostra che stai attivamente cercando e correggendo le falle. In caso di data breach, poter dimostrare che facevi VA trimestrali e avevi un processo di remediation attivo fa una differenza enorme davanti al Garante.
Costi di un vulnerability assessment aziendale
I costi dipendono dalla complessità dell'infrastruttura e dalla profondità dell'analisi. Ecco i tre livelli tipici per una PMI.
| Livello | Cosa include | Target | Costo |
|---|---|---|---|
| VA Base | Scansione esterna, top vulnerabilità, report executive | PMI fino a 50 endpoint | 1.500-3.000 € |
| VA Avanzato | Scansione interna + esterna, web app, configurazioni, report completo | PMI 50-150 endpoint | 3.000-8.000 € |
| VA Enterprise | Scansione completa, cloud, OT/IoT, compliance mapping, remediation plan | Aziende 150+ endpoint | 8.000-20.000 € |
BullTech include un VA base trimestrale nel servizio MSP per i clienti con contratto annuale. Per chi non ha un contratto MSP, offriamo VA one-shot con report e piano di remediation. Il VA è anche il primo step del nostro cybersecurity assessment completo.
I 5 errori più comuni nel vulnerability assessment
Dopo 500+ VA completati, vediamo sempre gli stessi errori. Eccoli, così puoi evitarli.
1. Scansionare solo dall'esterno
Il VA esterno vede solo ciò che è esposto su internet. Ma il 70% delle vulnerabilità critiche è interno: server non patchati, account con password deboli, condivisioni di rete aperte a tutti. Se fai solo il VA esterno, stai guardando solo la punta dell'iceberg.
2. Non contestualizzare i risultati
Lo scanner dice "vulnerabilità critica su porta 445". Ok, ma quel server è isolato in una VLAN senza accesso a internet e contiene solo dati di test? Il CVSS va contestualizzato con il rischio reale per il tuo business. Servono competenze umane per questo — lo scanner non può farlo da solo.
3. Fare il VA senza fare la remediation
Il report più dettagliato del mondo è inutile se resta nel cassetto. Il VA senza remediation è come fare le analisi del sangue e non andare dal medico con i risultati. Peggio: se hai un report che dimostra che conoscevi le vulnerabilità e non le hai corrette, in caso di breach la tua posizione legale peggiora.
4. Fare il VA una volta sola
Le vulnerabilità nuove escono ogni giorno. Nel 2025 sono state pubblicate oltre 30.000 CVE. Un VA fatto a gennaio è obsoleto a marzo. La sicurezza non è un progetto con una fine — è un processo continuo.
5. Usare solo tool automatici senza analisi umana
Gli scanner producono falsi positivi (vulnerabilità segnalate che non esistono realmente) e falsi negativi (vulnerabilità reali non rilevate). Un analista esperto filtra i falsi positivi, identifica pattern che lo scanner non vede e contestualizza i risultati. Il tool è lo strumento, l'analista è il medico.
Come BullTech gestisce il vulnerability assessment
Il nostro processo VA segue le 5 fasi descritte sopra, con alcune differenze che fanno la differenza:
- Asset discovery automatico: prima di scansionare, mappiamo tutta la rete. Spesso troviamo dispositivi che il cliente non sapeva di avere (il vecchio NAS del 2015, lo switch non gestito del piano terra, la stampante con firmware del 2018).
- Doppia scansione: sempre interna + esterna. Mai solo una delle due.
- Analisi contestualizzata: un nostro tecnico analizza ogni finding critico e alto, lo contestualizza con l'infrastruttura del cliente e assegna una priorità reale (non solo il CVSS).
- Report actionable: ogni vulnerabilità ha la remediation specifica per l'ambiente del cliente. Non "applica la patch" generico, ma "su SERVER-DC01, installa KB5034441 tramite WSUS".
- Remediation gestita: per i clienti MSP, ci occupiamo noi della remediation. Applichiamo le patch, correggiamo le configurazioni, facciamo la scansione di verifica. Il cliente non deve fare niente.
Vuoi sapere quali vulnerabilità ha la tua azienda?
BullTech offre un vulnerability assessment iniziale con report dettagliato e piano di remediation. Scopri le falle prima che le scopra qualcun altro. Chiamaci al 039 6099 023 o scrivici.