Vulnerability Assessment "tutto automatico": l'illusione che costa cara alle PMI

Negli ultimi tre anni il mercato dei Vulnerability Assessment “in abbonamento” è esploso.
Su LinkedIn e Google compaiono ogni settimana nuove offerte: scansioni mensili a poche centinaia di euro, dashboard interattive, report PDF pronti in un click, badge da esibire ai clienti.

Il messaggio implicito è sempre lo stesso: “con un click sei in sicurezza, con un altro click sei conforme“.
È una promessa che intercetta perfettamente le esigenze delle PMI italiane: budget ridotti, pressioni di compliance (NIS2, GDPR, requisiti contrattuali B2B), mancanza di competenze interne, voglia di chiudere la pratica “sicurezza informatica” senza complicarsi la vita.

Ed è anche, in larga parte, un’illusione.

Non perché le scansioni automatiche siano inutili — al contrario, sono uno strumento prezioso quando usate nel modo giusto — ma perché vengono spesso vendute come se fossero un servizio completo, mentre in realtà sono solo una componente di un servizio.
La differenza, sui sistemi reali di un’azienda reale, è sostanziale.
In questo articolo vediamo cosa fanno davvero i VA automatici, cosa non fanno, e perché senza un analista che governi il processo l’azienda rischia di pagare per ricevere un falso senso di sicurezza.

Perché le PMI scelgono il VA automatico
Cosa fa davvero un Vulnerability Assessment automatico
Il vero costo dell’automazione cieca
L’automazione non è il problema. L’automazione cieca lo è.
Cosa cercare davvero quando si valuta un fornitore

Perché le PMI scelgono il VA automatico

Le ragioni per cui un Vulnerability Assessment “tutto automatico” piace alle PMI sono comprensibili.
Costa poco, soprattutto se confrontato con un Penetration Test condotto da analisti senior. È veloce da attivare: nella maggior parte dei casi basta fornire IP target o credenziali di accesso, e nel giro di poche ore si ottiene un report.

Produce documenti rassicuranti: dashboard colorate, grafici, classificazioni CVSS, percentuali di “security score”. Sembra sufficiente per la compliance: molte aziende lo presentano a clienti, partner o auditor come prova di “attenzione alla sicurezza”.

Il problema è che ognuno di questi vantaggi nasconde un costo invisibile.
Quel costo si paga sotto forma di vulnerabilità che continuano a esistere mentre l’azienda si sente protetta.

Cosa fa davvero un Vulnerability Assessment automatico

Un software che opera da scanner della rete come lo sono Nessus, Qualys, OpenVAS, Acunetix, Rapid7 o equivalenti funziona, in estrema sintesi, in questo modo:

Identifica gli host attivi e i servizi esposti.
Effettua il fingerprinting di sistemi operativi, applicazioni e versioni in uso.
Confronta queste informazioni con un database di vulnerabilità note (CVE) e di errori di configurazione comuni.
Restituisce un elenco di problemi rilevati, ognuno con una classificazione di severità (in genere CVSS).

È una tecnologia matura, sofisticata e in continua evoluzione.
Ma è importante essere onesti su cosa fa e su cosa non può fare per sua stessa natura.
Lo scanner non capisce il contesto in cui opera. Non sa quali sistemi sono critici per il tuo business e quali no. Non sa quali dati transitano da quel server. Non sa se la “vulnerabilità critical” che ha appena segnalato è raggiungibile dall’esterno o se è confinata in una rete segregata di test.

Lo scanner non valida la sfruttabilità. Segnala che esiste una vulnerabilità nota, non che un attaccante reale possa effettivamente sfruttarla in quel sistema, in quella configurazione, con quei controlli compensativi attivi.
Lo scanner non concatena le vulnerabilità. Un attaccante non sfrutta una singola CVE: combina cinque problemi medi per ottenere un accesso amministrativo. E ancora, il software ti elencherà quelle cinque vulnerabilità in cinque righe diverse di un report, senza collegarle.

Ma non è tutto.
Sul codice scritto su misura per la tua azienda — gestionali, portali clienti, e-commerce sviluppati internamente — gli scanner automatici hanno una visibilità molto limitata. Possono individuare alcune classi di vulnerabilità note (SQL injection elementari, XSS più evidenti), ma falliscono sistematicamente su logica di business, controlli di accesso, autorizzazioni granulari.

Lo scanner non distingue il falso positivo dal vero rischio. Una porzione consistente dei findings prodotti da uno scanner non è realmente sfruttabile nel contesto specifico. Senza analisi, ogni “critical” pesa quanto un altro — e l’IT manager si ritrova con 87 problemi da gestire senza saper distinguere quelli urgenti da quelli irrilevanti.

Il vero costo dell’automazione cieca

Quando un VA automatico viene venduto e usato come servizio completo, senza alcun analista che lo governi, si producono tre conseguenze concrete che le PMI sperimentano regolarmente.

Sovraccarico di informazioni inutili
Un report di 200 pagine con 400 vulnerabilità “critical” e “high”, senza priorità di contesto, è un documento che nessuno leggerà davvero.
Spesso finisce archiviato su un server, ed è la cosa peggiore che gli possa capitare: avere un report di vulnerabilità che nessuno ha indirizzato, in caso di incidente o di audit, è un’aggravante.

Falsa sicurezza
L’azienda paga, riceve un PDF, vede un punteggio, conclude di essere “a posto”.
Nel frattempo le vulnerabilità reali — quelle nei processi di onboarding dei dipendenti, nei permessi cloud configurati male, nei plugin obsoleti di un sito vetrina dimenticato, nella catena di fornitura — restano lì, intatte. Il giorno dell’attacco non c’è uno scanner che fermi il ransomware: ci sono solo le decisioni che non sono state prese nei mesi precedenti.

Compliance teatrale
Esibire un report di scansione automatica come prova di conformità a NIS2, GDPR o richieste contrattuali B2B è un esercizio fragile.
La normativa NIS2 (D.lgs. 138/2024, art. 24) richiede di “valutare l’efficacia delle misure di gestione dei rischi”, non di produrre output di tool. In sede di audit, un report senza interpretazione, senza prioritizzazione contestualizzata e senza tracciamento della remediation pesa pochissimo.

L’automazione non è il problema. L’automazione cieca lo è.

Va detto con chiarezza.
Nessun professionista serio della sicurezza lavora senza automazione: i tempi e i volumi non lo consentirebbero.
La differenza non sta nello strumento. Sta in chi guida lo strumento.
Un Vulnerability Assessment fatto bene è un processo in cui:

un analista definisce lo scope in base agli asset reali e alle priorità di business;
gli strumenti automatici vengono configurati e tarati sul contesto specifico (autenticazione, segmentazione, exclusion list, profili di scansione);
i risultati grezzi vengono filtrati e validati manualmente — l’analista verifica i falsi positivi, esamina i falsi negativi probabili, integra controlli che lo scanner non può fare;
le vulnerabilità vengono prioritizzate in base al contesto e non solo allo score CVSS: una “medium” su un server di produzione esposto vale più di una “high” su una macchina di test isolata;
il report contiene raccomandazioni operative, ordinate per impatto, scritte per essere implementate;
è previsto un retest delle correzioni, perché senza verifica non c’è remediation.

Questo è il modello che adottiamo in Cyberment, anche nei pacchetti di Vulnerability Assessment più snelli.
La scansione automatica è il punto di partenza, non il prodotto finito. Il prodotto finito è l’analisi che la accompagna.

Cosa cercare davvero quando si valuta un fornitore

Per una PMI che sta valutando un servizio di Vulnerability Assessment, alcune domande da fare al fornitore aiutano a distinguere il servizio reale dal sottoprodotto venduto come tale:

Chi firma il report? Un analista identificato e qualificato, oppure il sistema genera il PDF in automatico?
Quanti falsi positivi vengono filtrati prima della consegna?
Le raccomandazioni di remediation sono generiche (“aggiornare il software”) o calate sul contesto del cliente?
In caso di vulnerabilità critiche, esiste un canale di comunicazione diretto con l’analista, oppure tutto passa da una piattaforma self-service?

Le risposte a queste domande dicono se l’azienda sta acquistando un servizio professionale o un abbonamento a una piattaforma di scansione con un layer commerciale sopra.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.