Il vulnerability assessment (VA) è un’attività di analisi che serve a individuare le vulnerabilità presenti in una rete, in un sistema o in un’applicazione aziendale. Il suo obiettivo principale è rilevare i punti deboli (come software non aggiornati, configurazioni errate o credenziali mal gestite) e fornire indicazioni per ridurre il rischio di attacchi informatici.
“Grazie al Vulnerability Assessment è possibile identificare e correggere le debolezze prima che vengano sfruttate, anticipando le mosse degli attaccanti e riducendo i rischi concreti per l’azienda” ha spiegato Jessica Barsà Security Specialist di smeup.
Il vulnerability assessment può essere applicato in diversi contesti:
- Perimetro esterno → analisi dei sistemi esposti su Internet, configurazioni, protezioni.
- Esposizione online → verifica di documenti e informazioni sensibili accessibili pubblicamente, dati presenti nel deep/dark web o in data breach.
- Perimetro interno → analisi della rete aziendale, dispositivi (PC, server, firewall), gestione di credenziali e permessi.
- Livello applicativo → vulnerabilità di web app o portali aziendali.
“Un particolare da dover tenere in considerazione è quello di non confondere il vulnerability assessment al Penetration Test. Il Penetretion Test è infatti un’attività di simulazione controllata di un attacco informatico: degli esperti, chiamati ethical hacker o penetration tester, cercano di sfruttare le vulnerabilità di un sistema, rete o applicazione, come farebbe un vero attaccante, ma in modo autorizzato e sicuro” ha puntualizzato Jessica Barsà.
Come realizzare un Vulnerability assessment efficace
Il vulnerability assessment è un processo che si articola in 4 diverse fasi: inizialmente è necessario identificare il perimetro da analizzare. Poi si procede alla scansione e alla rilevazione delle vulnerabilità in essere, alle quali deve essere attribuito un grado di priorità in base al rischio effettivo. Infine si stabiliscono le azioni correttive per minimizzare i rischi di una violazione.
“Teoricamente bisognerebbe effettuare il vulnerability assessment almeno1-2 volte l’anno, ma l’evoluzione repentina delle minacce spingono verso un nuovo approccio: il continuous scanning. Grazie ad un monitoraggio costante è possibile rilevare tempestivamente nuove vulnerabilità, ridurre al minimo il tempo di esposizione ed intervenire immediatamente” ha puntualizzato Jessica Barsà.
Il vulnerability assessment è obbligatorio?
Pur non essendo menzionando esplicitamente nelle normative come la recente NIS2, il vulnerability assessment, risponde alle richieste di valutazioni regolari delle vulnerabilità, integrate nella gestione della sicurezza. Per questo un VA periodico e tracciato è una pratica idonea per dimostrare la gestione del rischio e supportare la conformità.
“Il vulnerability assessment serve a mappare i punti deboli, ma non deve restare solo un documento: occorre intervenire attivamente e mantenere il processo continuo, poiché le vulnerabilità cambiano di giorno in giorno” ha concluso Jessica Barsà.
