Vulnerability Assessment

Che cos’è

Il vulnerability assessment è l’identificazione, classificazione e prioritizzazione delle vulnerabilità presenti in un perimetro tecnico: reti interne ed esterne, server, endpoint, applicazioni web, API, ambienti cloud, dispositivi IoT/OT, infrastrutture wireless. È un’attività valutativa, non distruttiva: l’obiettivo è mappare ciò che esiste, non sfruttarlo (quello è compito del penetration test).

Il valore non sta nel numero di CVE trovate — quelle le trovano anche gli scanner gratuiti — ma nell’interpretazione: quali vulnerabilità sono davvero sfruttabili nel tuo contesto, quali vanno chiuse ora e quali possono aspettare, quali falsi positivi vanno scartati.

Cosa ottieni

• Elenco completo delle vulnerabilità rilevate, classificate per severità (CVSS 3.1) e — soprattutto — per exploitability reale nel tuo ambiente, non sul punteggio astratto.
• Report esecutivo: sintesi per la direzione con i 10 rischi principali e l’impatto business.
• Report tecnico: dettaglio per ogni finding — descrizione, evidenza (screenshot, output di tool), ambiente interessato, riferimenti CVE/CWE, piano di remediation con stima di effort.
• Tracker CSV/Excel riutilizzabile dal tuo team per gestire le chiusure.
• Retest gratuito a 30–60 giorni sulle vulnerabilità critiche chiuse, per certificare la remediation.

A chi si rivolge

• Aziende con esposizione pubblica significativa (e-commerce, portali, API, VPN, RDP, OT).
• Organizzazioni in perimetro NIS2/DORA o che gestiscono dati sensibili (sanità, bancario, PA).
• Chi si avvicina a una certificazione ISO 27001, PCI-DSS o SOC 2 e deve dimostrare controllo tecnico.
• Aziende post-incidente che vogliono escludere persistenze residue e valutare il perimetro con occhi nuovi.
• Chiunque rilasci software in produzione — un VA periodico (trimestrale o semestrale) dovrebbe essere igiene di base.

Metodologia

Combino scanner commerciali e open source (Nessus, OpenVAS, Burp Suite, Nmap, Nikto, SQLMap, OWASP ZAP) con verifica manuale su ogni finding critico. Il solo scanner automatico produce rumore: troppi falsi positivi, poca comprensione del contesto. Il mio processo:

1. Scoping tecnico e autorizzazione formale (cruciale).
2. Ricognizione passiva — dominio, DNS, certificati, footprint pubblico.
3. Scansione attiva — reti, porte, servizi, configurazioni.
4. Analisi applicativa — OWASP ASVS, logiche di business, autenticazione, autorizzazione, API.
5. Verifica manuale di ogni vulnerabilità classificata ≥ High per confermare sfruttabilità ed escludere falsi positivi.
6. Prioritizzazione contestuale — non tutte le CVE critical lo sono nel tuo contesto.
7. Reporting e sessione di remediation briefing con il team tecnico.

Perché con me

Lavoro come ethical hacker certificato con quasi trent’anni nel campo. Ho visto troppi report VA consegnati come dump di tool e troppo pochi tradotti in azione reale. La differenza è l’interpretazione: porto 20+ anni di lavoro sul campo — dagli analizi di phishing ai vulnerability assessment su web application — e un occhio che sa distinguere il rumore dal segnale.