Vai al contenuto
BastionSec
Contattaci
Offensive Security · Vulnerability Assessment

Vulnerability assessment: la fotografia ampia e ricorrente delle tue vulnerabilità.

Identificazione sistematica delle vulnerabilità con scansione automatizzata e verifica manuale. Severità in CVSS, falsi positivi filtrati, inventario prioritizzato. Niente sfruttamento attivo: serve quando vuoi vedere la superficie, non bucarla.

  • Scansione automatizzata + verifica manuale: i falsi positivi li filtriamo noi.
  • Inventario delle vulnerabilità con severità CVSS e remediation prioritizzata.
  • Niente sfruttamento attivo: è una fotografia ampia, ideale come check ricorrente.
Richiedi un vulnerability assessmentVedi un report di esempio

Quando ti serve un VA

Auto-qualificazione rapida: ti riconosci in uno di questi?

Vuoi una baseline della superficie

Non hai mai mappato cosa è esposto: ti serve una fotografia ampia delle vulnerabilità prima di decidere dove approfondire.

Parlane con noi

Check ricorrente e a basso attrito

Vuoi un controllo periodico che alimenti il Trust Center e ti dica se sono comparse nuove vulnerabilità note.

Vedi il retainer

Preparazione a un pentest

Vuoi ripulire le falle 'facili' prima del penetration test, così il test approfondisce dove conta davvero.

Vedi il pentest

Cos'è un vulnerability assessment (e cosa non è)

Un vulnerability assessment è l'identificazione sistematica delle vulnerabilità: scansione automatizzata della superficie più verifica manuale per filtrare i falsi positivi. L'output è un inventario delle debolezze con severità CVSS: una fotografia ampia, ripetibile e a basso attrito.

Non è un penetration test: il VA non sfrutta attivamente le falle per dimostrarne l'impatto, le rileva e le classifica. E non è un red team: niente simulazione d'avversario, niente test di detection e risposta. Se hai bisogno di provare l'impatto reale o di vedere fino a dove può arrivare un attaccante, ti serve un pentest, e te lo diciamo chiaro.

VA ≠ pentest ≠ red team. Il VA identifica e classifica; il pentest sfrutta per provare l'impatto; il red team simula un avversario reale. Spesso si parte dal VA.

Cosa copriamo

Superficie esterna (host e servizi esposti su Internet), network interno, applicazioni web e API, e configurazioni cloud. Lo scope lo definiamo insieme in base a cosa è davvero rilevante per il tuo rischio.

Ogni vulnerabilità rilevata viene verificata manualmente per escludere i falsi positivi e contestualizzata: una CVE con punteggio alto su un sistema non raggiungibile pesa diversamente da una su un servizio esposto. È questo il lavoro umano che distingue un report utile da un dump di scanner.

Cosa ricevi: il report

  • Inventario delle vulnerabilità con identificativo (CVE dove applicabile) e descrizione chiara.
  • Severità calcolata in CVSS (v3.1 / v4.0), con contesto: esposizione, raggiungibilità, asset interessato.
  • Falsi positivi filtrati con verifica manuale: niente rumore da scanner grezzo.
  • Remediation prioritizzata per rischio: cosa correggere prima, e perché.
  • Executive summary leggibile da chi non è tecnico.
  • Confronto con l'assessment precedente (per i check ricorrenti), per vedere cosa è migliorato.

Come funziona, fase per fase

Un processo trasparente. L'automazione fa la scansione su scala; la verifica e la prioritizzazione le fa una persona: è lì che il VA diventa utile invece che rumoroso.

  1. 1

    Scoping

    Definiamo perimetro, asset, finestre di scansione e autorizzazioni.

  2. 2

    Discovery

    Mappatura della superficie: host, servizi, applicazioni e configurazioni esposte.

  3. 3

    Scansione

    Scansione automatizzata delle vulnerabilità sull'intero perimetro concordato.

  4. 4

    Verifica manuale

    Filtriamo i falsi positivi e contestualizziamo ogni finding rispetto al tuo ambiente.

  5. 5

    Reporting

    Inventario con severità CVSS, contesto e remediation prioritizzata.

Stack & metodologie

Riferimenti riconosciuti: NIST SP 800-115 per la metodologia di security testing, OWASP (Top 10 e WSTG) per la parte web, OSSTMM come framework di test. La severità segue CVSS (v3.1 / v4.0) e gli identificativi delle vulnerabilità note seguono lo schema CVE.

L'obiettivo è dare una scala condivisa e difendibile: un vulnerability assessment serio non è 'l'output di uno scanner', ma una valutazione verificata e contestualizzata che un compratore tecnico può prendere sul serio.

Modello e tempi

  1. 1

    Modello a progetto : prezzo 'a partire da' + range

    Il VA è un progetto a perimetro definito; tipicamente costa meno di un pentest perché non include sfruttamento. Prezzo dopo lo scoping. Vedi la pagina prezzi.

  2. 2

    Esecuzione : tipicamente pochi giorni

    Dipende dall'ampiezza del perimetro. Definito nello scoping, senza promesse a scatola chiusa.

  3. 3

    Ricorrente (opzionale) : a cadenza definita

    Nel retainer di sicurezza continua il VA diventa periodico e alimenta il Trust Center.

Molti clienti combinano VA ricorrente + pentest periodico: ampiezza continua più profondità dove conta.

Un VA dice cosa è vulnerabile, non fino a dove può arrivare un attaccante: per quello serve un penetration test. E 'nessun finding' non significa 'rischio zero': significa che nello scope e nel momento del test non sono emerse vulnerabilità note.

Domande frequenti

Vulnerability assessment o penetration test: quale mi serve?

Il VA ti dà la fotografia ampia delle vulnerabilità note, con severità CVSS e senza sfruttamento: ideale come baseline o check ricorrente. Il pentest sfrutta le falle per dimostrarne l'impatto reale: serve quando devi provare cosa può fare un attaccante o quando lo chiedono clienti, ISO o SOC 2. Spesso ha senso fare entrambi.

Il VA è solo l'output di uno scanner automatico?

No. La scansione automatizzata trova i candidati, ma il valore è nella verifica manuale: filtriamo i falsi positivi e contestualizziamo ogni finding rispetto al tuo ambiente. Un report che è solo un dump di scanner non regge davanti a un tecnico.

Ogni quanto dovrei ripeterlo?

Dipende dal ritmo dei cambiamenti. La superficie cambia e nuove CVE escono di continuo: un VA ricorrente (mensile o trimestrale) mantiene viva la fotografia. Lo strutturiamo nel retainer di sicurezza continua.

Cosa ricevo alla fine?

Un report con inventario delle vulnerabilità, severità CVSS, contesto, falsi positivi già filtrati e remediation prioritizzata, più un executive summary. Per i check ricorrenti aggiungiamo il confronto con l'assessment precedente.

Il VA mi basta per ISO 27001 o SOC 2?

Il vulnerability management è un controllo richiesto e un VA ricorrente è un'ottima evidenza. Per i security questionnaire enterprise, però, spesso viene chiesto specificamente un penetration test: scrivici e capiamo cosa ti serve.

Approfondisci

Penetration Test

Quando ti serve sfruttare le falle per dimostrarne l'impatto reale, non solo identificarle.

Scopri

Audit & Pentest (hub)

La nostra linea di testing: VA, penetration test e red team spiegati insieme, con il modello di erogazione.

Vai all'hub

Report di esempio

Un report anonimizzato: come presentiamo severità CVSS, contesto ed evidenze. Decidi prima di decidere.

Vedi il report

Vuoi sapere cosa è esposto, davvero?

Raccontaci il perimetro: ti diamo una fotografia verificata delle tue vulnerabilità e un 'a partire da'.

Richiedi un vulnerability assessment