Vulnerability Management o Gestione delle Vulnerabilità, termini e definizioni.

Qual è la differenza tra gestione della vulnerabilità, valutazione della vulnerabilità, scansione della vulnerabilità e test di penetrazione?
Ci sono diverse definizioni nel campo della gestione delle vulnerabilità (VM) che potrebbero generare confusione. Per fare chiarezza, ecco un riepilogo dei quattro termini principali e delle loro definizioni.

Gestione delle vulnerabilità – Vulnerability Management

La gestione delle vulnerabilità (VM) è il processo automatizzato e ininterrotto con cui si trovano, testano, analizzano e classificano le minacce per la sicurezza su reti, sistemi operativi e software in base al contesto; lo stesso processo prevede poi di rimediare alle vulnerabilità e di educare gli attori interessati a difendersi dalle violazioni della sicurezza. Si tratta di un ampio programma di scansioni continue, analisi, valutazioni, test e rimedi. Viene eseguito da un software di gestione delle vulnerabilità basato sul cloud, a volte come parte di security-as-a-service (SECaaS) o vulnerability-management-as-a-service (VMaaS). La gestione delle vulnerabilità come servizio (VMaaS) è un processo continuo e organizzato di individuazione, valutazione e correzione delle vulnerabilità in rete. VM è un termine ombrello che include gli altri elencati qui sotto.

Valutazione delle vulnerabilità – Vulnerability Assessment

La valutazione delle vulnerabilità è un’attività puntuale, istantanea rispetto alla natura continua della VM, che scopre i punti deboli della sicurezza all’interno dei sistemi operativi, del software e/o degli elementi hardware. Le valutazioni di vulnerabilità sono di solito un processo automatizzato che può durare giorni o anche settimane. In sostanza una valutazione è un compito che viene svolto una volta sola. Un’organizzazione che riceve le informazioni recuperate da una valutazione delle vulnerabilità probabilmente agirà in base ai risultati trovati. Per esempio, questa organizzazione potrebbe correlare le vulnerabilità identificate con la conoscenza della disponibilità di exploit, dell’architettura di sicurezza e delle minacce del mondo reale. È anche probabile che provi a bonificare alcune delle vulnerabilità identificate e che invii quelle ritenute più critiche al proprio team di sicurezza IT.

L’esecuzione di una valutazione una tantum seguita dall’adozione delle azioni di cui sopra sono attività critiche e sono elementi della VM tuttavia, se un’organizzazione si ferma a questo e non esegue valutazioni ricorrenti delle vulnerabilità, non si davvero parlare di gestione delle vulnerabilità. La VM è un’attività continua e ripetuta di valutazione delle vulnerabilità.

Scansione delle vulnerabilità – Vulnerability Scanning

La scansione delle vulnerabilità analizza tutte le risorse interne ed esterne, che possono essere on-premise, in cloud o ibride. La scansione fornisce le informazioni necessarie per valutare la condizione di sicurezza dei dispositivi collegati alle reti di un’organizzazione in tutto il mondo su un singolo IP o su base aziendale. La scansione deve includere hardware, reti e applicazioni per essere efficace. I tipi di scansione delle vulnerabilità sono:

  • esterno
  • interno
  • autorizzato
  • non autorizzato
  • completo
  • limitato

Le scansioni di vulnerabilità sono diverse dai test di penetrazione o “pen test”. I pen test sono ideati per utilizzare attivamente le debolezze, per dimostrare che sono sfruttabili. Le scansioni di vulnerabilità servono invece a identificare le vulnerabilità e a crearne consapevolezza così che possano essere mitigate.

Test di penetrazione – Penetration Testing

Il test di penetrazione, noto anche come hacking etico, è un’altra parte di una completa gestione delle vulnerabilità. A volte viene confuso con la scansione delle vulnerabilità, ma in realtà è un po’ diverso. La scansione è di solito automatizzata e ampia – trova tutte le vulnerabilità. Un penetration test, o pen test, è solitamente un singolo controllo, fatto da un professionista della sicurezza per trovare e sfruttare una specifica vulnerabilità del sistema. Mentre una scansione delle vulnerabilità trova le vulnerabilità, un pen test determina se una potenziale vulnerabilità è veramente sfruttabile e se potrebbe portare alla compromissione dei dati.

Aziende ed enti pubblici possono usare i risultati per esaminare il costo finanziario, delle risorse e della reputazione di una potenziale violazione e poi pianificare il rimedio. Il pen testing è a volte parte integrante di accordi di conformità come gli standard Payment Card Industry (PCI) che governano le elaborazioni dei pagamenti con carta di credito.


Vulnerabilità vs. Minacce vs. Rischi

La sicurezza della rete consiste nell’identificare e porre rimedio alle vulnerabilità della sicurezza, il cui successo dipende molto dalla valutazione dei rischi e dall’identificazione delle minacce. Molte discussioni sulla sicurezza usano i termini vulnerabilità, rischio e minaccia in modo intercambiabile. Ma nel mondo della cybersecurity hanno significati molto diversi.

Una vulnerabilità, in parole povere, è una lacuna nella sicurezza della rete di un’azienda. Queste falle nella sicurezza possono essere ovunque nella rete, dai server alle stazioni di lavoro, dagli smartphone ai dispositivi IoT. Si tratta di una debolezza nota che potrebbe essere sfruttata, la porta attraverso la quale l’attaccante può entrare. Le vulnerabilità più comuni includono i dati che non vengono sottoposti a backup, una configurazione cloud non sicura, standard lassisti/negligenti sull’accesso ai dati e piani di recupero dati deboli o inesistenti. Le scansioni di vulnerabilità identificano le vulnerabilità del sistema, rendendo una lacuna di sicurezza più facile da gestire.

Una minaccia è qualcosa che può sfruttare una vulnerabilità. È ciò da cui un’organizzazione si deve difendere. Una minaccia può essere intenzionale, come virus e malware, o non intenzionale, come la perdita di credenziali. Alcune delle principali minacce secondo il Data Breach Investigation Report (DBIR) di Verizon nel 2020 includono:

  • dos – denial of service
  • phishing
  • errata consegna di documenti ed e-mail
  • uso di credenziali rubate

In generale, le minacce possono essere suddivise in quattro gruppi: strutturate, non strutturate, interne ed esterne. Il panorama delle minacce è sempre in movimento, quindi può essere difficile sapere cosa sta arrivando. Ma un team di sicurezza IT forte può adottare misure come restare al corrente delle minacce esistenti e in evoluzione, impiegare un buon software di gestione delle vulnerabilità ed eseguire test di penetrazione basati su minacce note.

Il rischio è il possibile danno che potrebbe verificarsi quando una minaccia sfrutta una vulnerabilità. Un rischio potrebbe includere:

  • possibile perdita finanziaria
  • perdita o corruzione di dati
  • danni alla reputazione
  • problemi legali e di conformità


Ogni azienda dovrebbe conoscere il suo contesto di rischio, che costituisce la base di come affrontare le vulnerabilità di sicurezza note. Tutte le organizzazioni affrontano rischi di sicurezza informatica, ma la comprensione dei rischi specifici che un’azienda o un’impresa possono affrontare può aiutare a mettere in ordine di priorità i rimedi.

Un buon programma VM deve comprendere i rischi specifici di un cliente per trovare e rimediare alle vulnerabilità, il che riduce la possibilità di danni da minacce nuove ed esistenti.

Per approfondimenti: https://www.digitaldefense.com/

Per una valutazione: chiamate il numero 02 87366438.