Applicare patch, aggiornare sistemi, intervenire sui firewall. In molte organizzazioni, la gestione delle vulnerabilità si limita a questo: un’attività puramente tecnica, quasi rituale. Una risposta comprensibile, ma che cela una pericolosa “miopia del perimetro”: si interviene sul sintomo, ignorando la causa. Il risultato è una falsa percezione di controllo, mentre restano esposte le vulnerabilità più insidiose, quelle radicate nei processi, nelle responsabilità non presidiate e nella cultura organizzativa.
Dal modello tradizionale alla complessità attuale
Per anni, il patch management ha seguito un modello lineare e prevedibile. In reti statiche, con perimetri ben definiti, strumenti come WSUS o MECM (ex SCCM) consentivano di centralizzare e distribuire gli aggiornamenti con un controllo accettabile, seppur sostanzialmente circoscritto agli ambienti Microsoft.
Oggi lo scenario è completamente diverso. Il perimetro si è dissolto in una superficie d’attacco in continua espansione: applicazioni di terze parti, servizi cloud, dispositivi IoT, infrastrutture ibride, workstation remote. A tutto ciò si aggiunge il cosiddetto security debt – l’accumulo silenzioso di vulnerabilità irrisolte che, stratificandosi nel tempo, si trasforma in un rischio sistemico. In questo quadro, i modelli tradizionali non sono più strumenti di governo del rischio: tutt’al più, gestiscono l’ordinario. E l’ordinario non basta più.
Da distribuire patch a gestire il rischio
La transizione che permette di superare la “miopia del perimetro” non è tecnologica, ma concettuale: è il passaggio dal Patch Management al Vulnerability Management. Il primo risponde a una domanda operativa – come distribuire gli aggiornamenti; il secondo a domande strategiche:perché intervenire, dove farlo e, soprattutto, su quali vulnerabilità, definendo le priorità in funzione del rischio reale per il business.
Confondere i due piani ha conseguenze concrete e spesso sottovalutate. Intere categorie di asset – stampanti di rete, switch, dispositivi OT e IoT – restano fuori dai radar: non censiti, non aggiornati, sistematicamente ignorati dai processi di patching tradizionali. Non perché siano irrilevanti, ma perché semplicemente sono invisibili a quei processi. Una gestione matura del rischio deve invece mappare ogni asset esposto, a prescindere dalla sua complessità di governo. Non si può proteggere ciò che non si conosce.
Gli asset dimenticati: OT, IoT e dispositivi non governati
ll motivo di queste lacune è, prima di tutto, organizzativo. Sistemi IoT, Telecamere IP, badge reader, sensori, sistemi OT e industriali vengono spesso acquisiti da funzioni non-IT – facility management, operations, produzione – senza mai transitare dai processi di validazione della sicurezza. Entrano in rete senza policy di aggiornamento e senza un owner definito: non è negligenza tecnica, è un deficit di governance che gli strumenti convenzionali non intercettano.
A complicare il quadro, molti di questi dispositivi non possono essere sottoposti a scansioni attive senza rischiare interruzioni operative, cosa che li rende strutturalmente incompatibili con il patch management tradizionale. La risposta è l’asset discovery continuo e passivo: strumenti capaci di mappare ogni componente connesso e valutarne il profilo di rischio senza interferire con l’operatività. Non si tratta solo di visibilità tecnica, bensì di sapere cosa è connesso, da dove viene e chi ne è responsabile.
L’utente: non l’anello debole, ma l’alleato più trascurato
L’errore umano è spesso citato come la causa principale delle violazioni di sicurezza. È una lettura parziale e pericolosamente comoda. Senza processi chiari e alternative operative sicure, qualsiasi dipendente privilegerà la produttività sull’aderenza ai protocolli: non per superficialità, ma per pura necessità. Il problema non è l’utente: è il contesto in cui opera.
Un programma di Vulnerability Management maturo ribalta questa prospettiva. Invece di trattare l’utente come un rischio da contenere, lo integra nell’assetto difensivo: gli traduce i rischi in termini comprensibili, fornendo gli strumenti adeguati al fine di operare in sicurezza. Un utente consapevole e supportato non è l’anello debole della catena, è, invece, uno dei sensori più distribuiti e preziosi dell’intera strategia di difesa.
Cinque pilastri di un Vulnerability Management moderno
La risposta alla “miopia del perimetro” non è un singolo strumento: è un programma strutturato. Un Vulnerability Management moderno si articola su cinque pilastri collegati tra loro.
1. Asset Inventory Continuo
Tutto ciò che è stato argomentato fin qui presuppone una condizione tecnica di base: un inventario dinamico e costantemente aggiornato di ogni asset connesso – endpoint, sistemi non governati, dispositivi OT/IoT e Shadow IT. Senza questa fondazione, qualsiasi processo a valle è costruito sul vuoto.
2. Prioritizzazione basata sul rischio
La severità teorica assegnata da CVSS non basta. La priorità deve nascere dal contesto: correlando la vulnerabilità con la sua reale sfruttabilità, il peso dell’asset colpito e i dati di threat intelligence. L’approccio più efficace integra i dati di scansione (VM) con quelli dei sistemi di protezione endpoint (EDR) e con le informazioni su vulnerabilità già attivamente sfruttate (KEV –Known Exploited Vulnerabilities) o ad alto potenziale di exploit imminente (EPSS – Exploit Prediction Scoring System). Il risultato: l’enorme mole di vulnerabilità si riduce a una lista gestibile di rischi concreti e prioritari.
3. Hardening e baseline di configurazione
Una patch su un sistema mal configurato è poco più di un cerotto. L’hardening sistematico e l’adozione di baseline di configurazione sicure – le cosiddette golden image aziendali – agiscono alla radice, rendendo ogni sistema strutturalmente più difficile da compromettere, indipendentemente dalle vulnerabilità note.
4. Remediation con ownership chiara
Ogni vulnerabilità rilevata deve diventare un’attività tracciabile: assegnata a un responsabile preciso, con uno SLA definito e un processo di chiusura monitorato. Senza ownership, la remediation resta un’intenzione.
5. Metriche e reporting continuo
I dati tecnici devono diventare linguaggio comprensibile per il management. KPI come il tempo medio di risoluzione (MTTR) e il rispetto degli SLA traducono le performance operative in indicatori di rischio concreti, base indispensabile per decisioni strategiche e allocazione consapevole delle risorse. E una piattaforma unificata di vulnerability management che centralizza, arricchisce e priorizza le vulnerabilità in base al rischio reale, permette ai team di sicurezza di focalizzarsi su ciò che conta davvero.
Conclusione: oltre la singola patch
Guardare oltre la singola patch significa riconoscere che le soluzioni tecniche, da sole, non bastano a governare sfide di natura strategica. Le tecnologie odierne offrono livelli di automazione e visibilità impensabili fino a pochi anni fa – ma restano abilitatori: strumenti potenti nelle mani di chi ha già definito il quadro entro cui usarli. La sicurezza reale nasce dall’integrare i cinque pilastri descritti – inventario, prioritizzazione, hardening, remediation e metriche – in un programma coerente, sostenuto da una cultura della responsabilità condivisa a ogni livello dell’organizzazione: dai team tecnici fino all’utente finale.
Un programma di Vulnerability Management efficace non è un progetto con un inizio e una fine. È una scelta di governance: il riflesso della maturità con cui un’azienda decide di affrontare il rischio in modo sistematico, invece di rincorrerlo vulnerabilità per vulnerabilità. Applicare patch è necessario. Governare il rischio è un’altra cosa.
A cura di Francesco Diblasio – Head of Managed Security Services (SECaaS) di aDvens
