Il Vulnerability Assessment (VA) è un'analisi sistematica dell'infrastruttura IT finalizzata a identificare vulnerabilità tecniche sfruttabili da un attaccante. Non è un penetration test (non si tenta di sfruttare le vulnerabilità), non è un audit di conformità (non valuta policy e procedure): è una fotografia dello stato di sicurezza tecnica dei tuoi sistemi.
Per una PMI nel 2026, il VA è passato da "best practice" a necessità concreta. La NIS2 lo richiede implicitamente nell'ambito della gestione del rischio. I contratti assicurativi cyber iniziano a richiederlo come prerequisito. E gli attaccanti lo fanno comunque — su scala automatizzata, gratuitamente, ogni giorno.
Cosa scansiona un Vulnerability Assessment
Un VA completo analizza tutti i livelli dell'infrastruttura:
Perimetro esterno (external VA) Tutti gli indirizzi IP pubblici dell'azienda: firewall, VPN, webserver, mail server, servizi esposti. È quello che vede un attaccante dall'esterno. Trova: porte aperte non necessarie, servizi con versioni vulnerabili, certificati SSL scaduti o deboli, configurazioni errate (RDP esposto su internet, pannelli di amministrazione pubblici).
Rete interna (internal VA) Eseguito con uno scanner dentro la rete aziendale. Trova: sistemi Windows non patchati, vulnerabilità critiche su server e workstation, condivisioni di rete mal configurate, password di default su dispositivi di rete, protocolli obsoleti ancora attivi (SMBv1, NTLMv1, Telnet).
Applicazioni web Se hai un sito web con funzionalità (e-commerce, portale clienti, gestionale web-based): SQL injection, XSS, autenticazione debole, file upload non sicuri, esposizione di dati sensibili nell'API.
Active Directory (per ambienti Windows) Le configurazioni AD sono spesso il punto di ingresso per la privilege escalation. Trova: account con privilegi eccessivi, policy Kerberos deboli, misconfiguration che permettono attacchi come Pass-the-Hash o Kerberoasting.
Cosa si trova di solito in una PMI italiana
Dopo aver eseguito VA per decine di PMI in Veneto e Friuli, alcune vulnerabilità ricorrono quasi sistematicamente:
RDP (Remote Desktop) esposto su internet (80% dei casi). Il servizio di accesso remoto Windows accessibile direttamente dall'esterno, spesso senza MFA, è la prima cosa che cercano gli scanner automatici degli attaccanti. È la porta principale attraverso cui entrano i ransomware.
Sistemi Windows non aggiornati (70% dei casi). Windows 7 ancora in produzione, Windows Server 2008 su qualche server dimenticato, workstation con patch mancanti da 6-12 mesi. Ogni CVE critica non patchata è una vulnerabilità con exploit pubblicamente disponibile.
Firmware di rete obsoleto (65% dei casi). Router, switch, firewall con firmware non aggiornato da anni. Molte vulnerabilità critiche di Fortinet, Cisco, TP-Link hanno exploit pubblici disponibili da mesi prima che le aziende li aggiornino.
Condivisioni di rete aperte (60% dei casi). Cartelle condivise accessibili a tutti gli utenti di dominio senza restrizioni, contenenti dati sensibili, backup, credenziali in file di testo.
Password di default su dispositivi (50% dei casi). NAS Synology con credenziali admin/admin, router con password di default, switch managed mai configurati.
Il report: da "lista di vulnerabilità" a "piano d'azione"
Un buon VA non si conclude con una lista di CVE. Si conclude con un report che:
- Classifica le vulnerabilità per gravità (Critica, Alta, Media, Bassa) secondo gli standard CVSS
- Priorizza gli interventi: cosa risolvere questa settimana, questo mese, entro 6 mesi
- Spiega il rischio reale: non "CVE-2023-XXXX", ma "questa vulnerabilità permette a un attaccante di prendere il controllo del server X senza autenticazione"
- Propone remediation concrete: patch specifica, configurazione da modificare, servizio da disabilitare
Il report deve essere leggibile da un IT manager, non solo da un tecnico di sicurezza.
Con quale frequenza fare un VA
Almeno una volta all'anno come assessment di base.
Dopo ogni cambiamento significativo dell'infrastruttura: nuovo server, nuovo firewall, migrazione cloud, cambio di fornitore internet.
Dopo un incidente di sicurezza: per capire come è entrato l'attaccante e verificare che la vulnerabilità sia stata chiusa.
Per le aziende soggette NIS2, la frequenza annuale è il minimo raccomandato dall'ENISA (Agenzia Europea per la Cybersicurezza).
Quanto costa un Vulnerability Assessment per una PMI
Un VA base (esterno + interno) per una PMI con 20-50 workstation e 3-5 server costa tipicamente:
- VA esterno automatizzato: 500-1.500€
- VA interno + Active Directory: 1.500-4.000€
- VA completo con web application: 3.000-7.000€
Il costo deve essere confrontato con il costo alternativo: il 33% delle PMI italiane ha già subito un attacco. Il costo medio di un incidente è 35.000 euro. Il ROI di un VA è tra i più alti in assoluto nel budget di sicurezza.
Kubee esegue Vulnerability Assessment per PMI in Veneto e Friuli, con report priorizzato e piano di remediation. Richiedi un preventivo.