La gestione delle vulnerabilità rappresenta una delle sfide più complesse e pressanti per le aziende moderne. L'approccio reattivo, spesso rallentato da policy e processi interni, mette sotto stress i team di sicurezza che si trovano a fronteggiare un volume sempre crescente di vulnerabilità. Analizzando un vasto dataset di oltre 1,3 milioni di segnalazioni di sicurezza su 68.500 asset, emerge come la quantità di CVE uniche sia enorme e difficilmente gestibile: più di 32.000 CVE differenti, di cui oltre 10.000 con punteggio CVSS superiore a 8. Questo sovraccarico rende impossibile applicare le patch a tutto in tempi rapidi, lasciando inevitabilmente spazio a compromissioni.

Il sistema di tracciamento delle vulnerabilità CVE e il punteggio CVSS, adottati a livello internazionale, sono strumenti fondamentali ma non privi di limiti. I ritardi burocratici, come il recente blocco nell’arricchimento dei dati NVD, hanno portato a un arretrato di oltre 24.000 CVE non arricchite, dimostrando la fragilità del sistema. Inoltre, la recente incertezza sul rinnovo del finanziamento MITRE da parte del Dipartimento della Sicurezza Interna statunitense ha ulteriormente alimentato dubbi sulla stabilità futura di questi programmi.

Non tutte le vulnerabilità vengono censite nel CVE, e non tutte sono immediatamente rese pubbliche. Esistono database paralleli, come il CNNVD cinese, e molte vulnerabilità rimangono sconosciute o sono sfruttate come zero-day. I dati dimostrano che solo il 6% dei CVE è stato realmente sfruttato, e la maggior parte delle organizzazioni riesce a correggere ogni mese appena il 15% delle vulnerabilità note.

Per affrontare questa complessità, il focus deve spostarsi dalla semplice gestione delle vulnerabilità alla mitigazione delle minacce e alla riduzione del rischio. Strumenti come l’EPSS permettono di prevedere la probabilità che una vulnerabilità venga sfruttata “in the wild”, aiutando a stabilire priorità. Tuttavia, la probabilità di compromissione cresce esponenzialmente con l’aumentare degli asset esposti, rendendo inefficace puntare solo su una reazione alle singole vulnerabilità.

Un approccio moderno alla gestione delle vulnerabilità

Un approccio moderno suggerisce di distinguere tra mitigazione delle minacce e riduzione del rischio. La prima deve essere focalizzata sugli asset esposti verso l’esterno, la seconda passa attraverso la riduzione della superficie di attacco, la segmentazione e il miglioramento continuo della baseline di sicurezza. La chiave è abbandonare la rincorsa alle patch e adottare strategie proattive di architettura sicura, threat modeling, simulazione e formazione del personale.

Solo così le organizzazioni possono uscire dal ciclo infinito di emergenze, ottimizzando risorse e aumentando la resilienza davanti a un panorama di minacce in continua evoluzione.