
Un Vulnerability Assessment Report, come si può facilmente intuire, è il documento riepilogativo derivante da una procedura di Vulnerability Assessment.
Al suo interno sono illustrate tutte le vulnerabilità del sistema preso in esame, organizzate per:
- tipologia
- categoria
- e criticità
Ma come si redige esattamente un Vulnerability Assessment Report e come vengono organizzate le informazioni al suo interno?
In questo articolo entreremo nel dettaglio della questione, esaminando nel dettagli le caratteristiche di un documento molto prezioso per la sicurezza informatica delle aziende.
Indice degli argomenti
Una vulnerabilità è un punto debole sfruttabile nella sicurezza del tuo sito web, applicazione o network.
Secondo uno studio degli ultimi anni, il 46% di tutti i siti web presenta vulnerabilità critiche, mentre l’87% a medio rischio.
Tali criticità possono essere originate da diversi fattori, come:
- errori nell’implementazione del codice sorgente
- utilizzo di software obsoleti
- o impiego di plug-in infetti di terze parti
Da non dimenticare che l’exploit di una falla, può consentire un accesso privilegiato per gli aggressori all’interno del sistema IT.
L’hacker potrà così
- rubare dati
- hackerare i dispositivi
- o negare l’accesso ai servizi (DoS)
Ciò si tradurrà inevitabilmente in una perdita di tempo, denaro, reputazione e affidabilità.
Il Vulnerability Assessment Report, come anticipato in apertura, è il documento riepilogativo sui risultati di un Vulnerability Assesment.
Per tale ragione, sarà bene analizzare brevemente in cosa consista un Vulnerability Assessment.
Com’è noto, il Vulnerability Assessment consiste in un’analisi automatizzata delle vulnerabilità di sistema.
E’ un protocollo di sicurezza che si avvale di appositi tool, noti come vulnerability scan, cui è demandato il compito di:
- identificare
- classificare
- e segnalare
eventuali vulnerabilità sussistenti in un sito o applicativo web, così come in una rete o un dispositivo.
La procedura del Vulnerability Assessment viene notoriamente divisa in quattro fasi specifiche:
Identificazione delle infrastrutture critiche
Durante la fase preliminare, si evidenziano tutte le aree altamente critiche del network. Così facendo si concentrano tutte le risorse sulle infrastrutture potenzialmente più vulnerabili, come:
- server di archiviazione di dati sensibili
- sistemi in esecuzione sulla rete
- nonché di tutti gli endpoint direttamente esposti ai pericoli del web
Scansione delle vulnerabilità
Fulcro dell’intero iter, è questo lo step in cui vengono materialmente scansionate tutte le potenziali falle nei sistemi in esame.
Pulizia dei dati
Non tutte le vulnerabilità riscontrate sono tali. L’analisi, infatti, potrebbe aver generato tanti falsi positivi quanti falsi negativi.
Per tale ragione, in questa fase si attua una vera e propria cernita dei dati, così da lasciar spazio soltanto a quelli affettivamente attendibili.
Preparazione del Vulnerability Assessment Report
Dai risultati ottenuti, viene infine redatto il Vulnerability Assessment Report. Al suo interno vengono riportate informazioni analitiche circa le vulnerabilità rintracciate, quali:
- tipologia
- gravità e punteggio del rischio (CVE)
- le possibili soluzioni
Avendo acquisito una chiara overview sull’intero processo di Vulnerability Assessment, possiamo ora analizzare in dettaglio caratteristiche e vantaggi di un Vulnerability Assessment Report.
Un Vulnerability Assessment Report è un documento (di solito un file pdf) che registra tutte le vulnerabilità trovate nei sistemi durante una scansione.
Il rapporto fornisce un elenco delle criticità indicizzate per gravità insieme ai suggerimenti per la correzione delle stesse.
Questo documento aiuta fondamentalmente nel
- comprendere il livello di sicurezza complessivo del sistema preso in esame
- e costruire una strategia per una corretta gestione delle falle ivi presenti
Un Vulnerability Assessment report è generalmente diviso in 3 sezioni:
- riepilogo esecutivo,
- dettagli delle vulnerabilità
- e dettagli della scansione
Analizziamone singolarmente i contenuti.
Riepilogo esecutivo
Come suggerisce il nome, il riepilogo esecutivo ha lo scopo di creare una comprensione di alto livello della situazione di vulnerabilità di un’organizzazione.
Questa parte parla delle
- criticità
- del loro punteggio CVSS (Sistema di Valutazione delle Vulnerabilità Comuni),
- dell’impatto che potrebbero avere sul business
- e che entità di rischio rappresentano nel sistema in cui si trovano
Dettagli delle vulnerabilità
In questa sezione, ciascuna delle vulnerabilità rilevate è spiegata con dettagli tecnici insieme a suggerimenti per risolverli.
Per lo sviluppatore, si tratta della parte più importante del report perché gli consente di escogitare e pianificare una strategia di rimedio.
Dettagli della scansione
I Vulnerability Assessment coinvolgono centinaia di tipologie di test. Ed è per tale ragione che nel documento viene specificato
- quale tipologia di test è stata condotta
- a che categoria appartiene
- e se è stata eseguita manualmente o in maniera automatizzata
Tutte queste informazioni, oltre all’utilità pratica, risultano essenziali affinché lo stesso VA venga convalidato.
La regola aurea nella redazione di un VAR è il rispetto di criteri quali: chiarezza e concisione, senza per questo omettere informazioni cruciali.
Ecco sei elementi-chiave che compongano un Vulnerability Assessment Report.
Sommario
Nel sommario sono contenute informazioni essenziali, quali:
- intervallo di date della valutazione
- scopo e portata della valutazione
- stato generale e riepilogo dei risultati relativi al rischio per il cliente
- disclaimer
Risultati dello scan
In questa sezione è contenuta una spiegazione esaustiva sui risultati della scansione. Ad esempio, si vengono riportati ragguagli circa il modo in cui sono state classificate e ordinate le vulnerabilità, cui si aggiunge una panoramica dei tipi di report forniti.
Metodologia
Questo paragrafo illustra
- strumenti utilizzati
- scopo specifico di ogni scansione
- ambiente in cui è stato svolto il test
Risultati
A quest’altezza, vengono specificati quali sistemi sono stati effettivamente scansionato e quali no, nonché le motivazioni di tale distinguo.
Valutazione del rischio
Qui viene mostrato l’indice di rischio di tutte le vulnerabilità identificate, classificate come
- critica
- alta
- media
- o bassa
cui si aggiungono
- dettagli sul nome di eventuali plug-in
- descrizione
- nonché possibili soluzioni al problema
Raccomandazioni
Qui è possibile trovare l’elenco completo delle azioni da intraprendere per far fronte alla vulnerabilità. Il tutto corredato da raccomandazioni sulle policy di sicurezza e sulle configurazioni da rispettare.
L’obiettivo principale del Vulnerability Assessment è quello di fornire un’idea chiara dei punti deboli potenzialmente sfruttabili dagli aggressori.
Ed è proprio grazie al Vulnerability Assessment Report che organizzazioni ed esperti cybersecurity possono avere un quadro chiaro e complessivo sul livello di sicurezza di un sistema.
Eccone nel dettaglio gli ulteriori vantaggi:
- Gestione efficiente delle vulnerabilità: classificando le criticità in base al rischio, il VAR aiuta a dare la giusta priorità negli interventi di correzione. In questo modo è possibile concentrare le risorse dove più necessario e ottenere, quindi, il massimo dal processo.
- Gestione della conformità: il report permette di identificare le aree di sicurezza su cui investire per raggiungere i livelli di conformità definiti dalle normative.
- Costruire la fiducia: un rapporto di vulnerabilità evidenzia quanto sia sicura l’infrastruttura IT di un’azienda. E una fotografia positiva può rappresentare un ottimo strumento di fidelizzazione del cliente
- Ridurre i premi assicurativi: molte aziende assicurano i loro siti web contro gli attacchi informatici. Come si potrà intuire, gli oneri assicurativi sono significativamente inferiori per le aziende che conducono regolari scansioni di vulnerabilità ottenendo risultati positivi
- Correzioni delle vulnerabilità: il Vulnerability Assessment Report, come già evidenziato, è corredato di suggerimenti su come correggere ogni vulnerabilità riscontrata. In sostanza, questi fungono da linee-guida per sviluppatori e tecnici nella risoluzione delle problematiche.
Il successo di un vulnerability assessment consiste nell’effettiva correzione dei problemi riscontrati durante la scansione.
Un VAR veramente attuabile aiuta un’organizzazione a lavorare con facilità sulle proprie lacune. Piccoli cambiamenti nell’approccio alla presentazione di un Vulnerability Assessment Report possono fare molta differenza.
La visualizzazione delle vulnerabilità è di grandissimo supporto nell’identificare le criticità più impellenti e assegnarle rapidamente agli sviluppatori
Inoltre, il punteggio del rischio di vulnerabilità unisce
- gravità
- ed impatto
- oltre a fornire una visione accurata di una potenziale perdita subita a causa di una vulnerabilità;
Il tempo è essenziale quando si tratta di test di sicurezza e gestione della vulnerabilità. Più è attuabile il Vulnerability Report, maggiori sono le possibilità di ridurre tempestivamente i rischi.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.