Le definizioni: cosa sono davvero
La confusione tra vulnerability assessment e penetration test nasce spesso da forniture commerciali che usano i due termini in modo intercambiabile per vendere lo stesso servizio. Facciamo chiarezza partendo dalle definizioni precise.
Vulnerability Assessment (VA)
Il vulnerability assessment è un processo sistematico di identificazione, classificazione e prioritizzazione delle vulnerabilità di sicurezza presenti in un'infrastruttura IT. L'obiettivo è ottenere una fotografia completa dello stato di esposizione: quali vulnerabilità esistono, su quali sistemi, con quale gravità, e in quale ordine vanno corrette.
Il VA si basa prevalentemente su strumenti automatizzati — scanner di vulnerabilità come Nessus, Qualys, Rapid7 InsightVM, OpenVAS — che confrontano la configurazione dei sistemi e le versioni software rilevate con database di vulnerabilità note (NVD, CVE). Il risultato è una lista strutturata di vulnerabilità con scoring CVSS e, nelle implementazioni più avanzate, EPSS (Exploit Prediction Scoring System) per prioritizzare quelle con maggiore probabilità di exploit attivo.
Un VA tipicamente non verifica se una vulnerabilità è sfruttabile nel contesto specifico della rete esaminata: certifica che la vulnerabilità esiste sul sistema, non che sia necessariamente raggiungibile o sfruttabile da un attaccante reale. Questa è la distinzione cruciale.
Penetration Test (PT)
Il penetration test è una simulazione di attacco informatico condotta da professionisti di sicurezza offensiva con il mandato esplicito di tentare di compromettere un sistema, una rete o un'applicazione. L'obiettivo non è produrre una lista di vulnerabilità teoriche, ma dimostrare concretamente l'impatto di una compromissione reale: fino a dove può arrivare un attaccante? Cosa può fare una volta dentro? Quali dati o sistemi sono effettivamente raggiungibili?
Il pentest è un'attività prevalentemente manuale. I tool automatizzati vengono usati come punto di partenza, ma il valore sta nel ragionamento del tester: connettere più vulnerabilità in una catena d'attacco, identificare misconfigurazioni logiche non rilevabili da uno scanner, sfruttare vulnerabilità di business logic nelle applicazioni web, simulare tecniche di attaccanti reali (MITRE ATT&CK). L'output è un report con proof of concept (PoC) che dimostrano l'exploit avvenuto e la catena d'attacco documentata.
Il vulnerability assessment è come una perizia strutturale che identifica tutte le crepe e i punti deboli di un edificio. Il penetration test è come ingaggiare uno scassinatore professionista per verificare se riesce davvero a entrare, e documentare esattamente come ci è riuscito. La perizia dice cosa è rotto; lo scassinatore dimostra le conseguenze reali.
Le differenze chiave: tabella comparativa
| Criterio | Vulnerability Assessment | Penetration Test |
|---|---|---|
| Obiettivo | Identificare e catalogare vulnerabilità note | Sfruttare vulnerabilità per dimostrare l'impatto reale |
| Approccio | Principalmente automatizzato + analisi umana | Prevalentemente manuale, simulazione di attacco |
| Ampiezza | Ampio — tutta l'infrastruttura in scope | Mirato — scope definito e ristretto |
| Profondità | Superficiale — identifica ma non sfrutta | Profonda — verifica lo sfruttamento reale |
| Durata tipica | 1–3 giorni per una PMI | 5–15 giorni lavorativi |
| Frequenza consigliata | Mensile o trimestrale | Annuale o pre/post grandi modifiche |
| Output | Lista CVE con CVSS/EPSS e remediation | Report con PoC, catena d'attacco, impatto business |
| Costo (PMI Italia) | 2.000–8.000 € per assessment puntuale | 5.000–25.000 € a seconda dello scope |
| Falsi positivi | Comuni — richiede revisione manuale | Rari — la vulnerabilità è dimostrata |
| Richiede credenziali | Spesso sì (credentialed scan più accurato) | Dipende dallo scope (black/grey/white box) |
| NIS2 / ISO 27001 | Richiesto (gestione vulnerabilità tecnica) | Raccomandato / richiesto in alcuni perimetri |
Come funziona un vulnerability assessment: le fasi
Un VA professionale non è semplicemente "avviare Nessus e stampare il report". Le fasi operative determinano la qualità e l'utilità reale dell'output.
Scoping e asset inventory
Prima di qualsiasi scansione, si definisce il perimetro: quali host, VLAN, applicazioni e servizi cloud rientrano nel VA. L'inventario degli asset — spesso il passaggio più sottovalutato — richiede sia discovery automatizzata che validazione con il cliente per evitare di scansionare sistemi non autorizzati o, peggio, di omettere sistemi dimenticati.
Scansione autenticata (credentialed)
La scansione con credenziali di sistema è significativamente più accurata: permette di rilevare patch mancanti, configurazioni errate, software obsoleto e vulnerabilità locali invisibili dall'esterno. Su Windows usa WMI o PowerShell; su Linux usa SSH. Produce il 60-80% del valore informativo del VA.
Scansione non autenticata (esterna)
La scansione esterna senza credenziali simula la visibilità di un attaccante che non ha accesso alla rete interna. Identifica servizi esposti, porte aperte, versioni di software vulnerabili visibili dall'esterno, certificati SSL scaduti e misconfigurazioni HTTP. È il punto di vista del perimetro.
Analisi e prioritizzazione CVSS/EPSS
I risultati grezzi dello scanner contengono spesso centinaia o migliaia di finding. La prioritizzazione trasforma una lista ingestibile in un piano d'azione: le vulnerabilità con CVSS 9-10 e EPSS alto (alta probabilità di exploit attivo nel breve termine) diventano priorità assoluta, indipendentemente dall'età del CVE. Si eliminano i falsi positivi e si valuta il contesto: una vulnerabilità su un sistema non raggiungibile dall'esterno ha rischio diverso da una su un server DMZ.
Report e piano di remediation
Il report finale include: executive summary per il management con risk score e trend, dettaglio tecnico per l'IT con ogni vulnerabilità, sistema affetto, CVSS, EPSS, remediation consigliata (patch, configurazione, workaround) e timeline suggerita. Le vulnerabilità critiche e alte hanno timeline di remediation obbligatoria; le medie e basse vengono pianificate nel backlog ordinario.
Le piattaforme di vulnerability management continuo (Qualys VMDR, Rapid7 InsightVM, Tenable.io) non eseguono VA puntuali ma mantengono una visibilità costante aggiornando automaticamente il risk score quando viene pubblicata una nuova CVE per software già inventariato. Per le PMI con infrastrutture dinamiche, è l'approccio più efficace nel rapporto costo/beneficio.
Come funziona un penetration test: le fasi
Un penetration test professionale segue una metodologia strutturata. I framework di riferimento sono PTES (Penetration Testing Execution Standard), OWASP Testing Guide per le applicazioni web, e PTES/NIST per le infrastrutture. Nella pratica, le fasi sono le seguenti.
Pre-engagement: scoping e regole d'ingaggio
Prima di toccare qualsiasi sistema, si definiscono con precisione: il perimetro (quali sistemi sono in scope e quali no), le regole d'ingaggio (orari autorizzati, azioni vietate come DoS o cancellazione dati), i contatti di emergenza, e il tipo di test (black box, grey box, white box). Il contratto include le autorizzazioni scritte senza le quali il test è illegale — indipendentemente dall'accordo verbale.
Reconnaissance (OSINT)
La fase di ricognizione raccoglie informazioni sull'organizzazione bersaglio usando fonti aperte: DNS, WHOIS, certificati SSL su Certificate Transparency logs, profili LinkedIn dei dipendenti tecnici, repository GitHub pubblici, annunci di lavoro che rivelano stack tecnologici. Questa fase è completamente passiva e non lascia tracce sui sistemi target. Spesso rivela informazioni sorprendentemente dettagliate che un attaccante reale userebbe per personalizzare l'attacco.
Scanning e enumerazione
La scansione attiva identifica host attivi, porte aperte, servizi in ascolto e versioni software. L'enumerazione approfondisce: banner grabbing, identificazione di CMS e framework web, enumerazione di share SMB, utenti Active Directory visibili con null session, percorsi nascosti delle applicazioni web. In questa fase il pentest e il VA si sovrappongono, ma il tester cerca già relazioni tra i finding per costruire scenari d'attacco.
Exploitation
Il cuore del penetration test: il tester tenta concretamente di sfruttare le vulnerabilità identificate. Questo include exploit di CVE con PoC disponibile, attacchi di password spraying e brute force su servizi esposti, exploitation di misconfigurazioni (S3 bucket pubblici, API senza autenticazione, path traversal, injection), e attacchi all'autenticazione come Kerberoasting e AS-REP Roasting su Active Directory. Ogni exploit riuscito viene documentato con screenshot, log e prova del compromesso raggiunto.
Post-exploitation e movimento laterale
Dopo la compromissione iniziale, il tester verifica cosa può fare "dall'interno": escalation di privilegi locali, dump delle credenziali in memoria, movimento laterale verso altri sistemi della rete, accesso a dati sensibili o sistemi critici. Nei pentest di tipo assume breach, si parte direttamente da questa fase — simulando un attaccante già dentro la rete — per valutare la capacità di detection e response.
Report con PoC
Il report finale di un pentest è qualitativamente diverso da un VA report. Include: executive summary con risk rating complessivo e impatto business, per ogni finding una descrizione tecnica della vulnerabilità, la catena d'attacco step-by-step con screenshot o screen recording, l'impatto dimostrato (quali dati erano accessibili, a quali sistemi si era arrivati), e la remediation specifica con indicazioni di priorità. Il PoC (proof of concept) trasforma ogni finding da "vulnerabilità teorica" a "attacco dimostrato".
Un pentest che richiede 1-2 giorni su un'infrastruttura complessa, o che consegna un report automatizzato di Nessus come output del "pentest", non è un pentest: è un VA rinominato. Un pentest professionale richiede giorni di lavoro manuale esperto. Chiedi sempre di vedere un report campione prima di firmare.
Quando usare il VA e quando il pentest
La risposta corretta per la maggior parte delle PMI è: entrambi, in sequenza. Ma con priorità, frequenza e budget diversi.
Quando usare il Vulnerability Assessment
Il VA è il punto di partenza per qualsiasi programma di sicurezza. Usalo:
- Come baseline iniziale per capire il punto di partenza della tua postura di sicurezza
- Con frequenza mensile o trimestrale per monitorare l'esposizione nel tempo
- Dopo ogni modifica infrastrutturale significativa (nuovi sistemi, aggiornamenti major, apertura di servizi)
- Come verifica della remediation: dopo aver applicato le patch, il VA successivo conferma che le vulnerabilità sono state risolte
- Quando il budget è limitato e si deve scegliere: il VA ha un rapporto costo/coverage più alto
Quando usare il Penetration Test
Il pentest risponde a domande che il VA non può rispondere. Usalo:
- Annualmente sull'infrastruttura perimetrale per validare l'efficacia dei controlli di sicurezza
- Prima o dopo grandi modifiche infrastrutturali (migrazione cloud, nuova VPN, nuovo data center)
- Per requisiti di compliance: ISO 27001, NIS2 con perimetri critici, DORA per il settore finanziario
- Quando vuoi sapere se il tuo SOC rileva effettivamente gli attacchi (purple team / assume breach)
- Prima di un lancio di prodotto o applicazione che tratterà dati sensibili dei clienti
- Per validare la difesa dopo aver risolto le vulnerabilità critiche trovate dal VA
L'ordine logico è: VA → remediation → pentest → remediation. Eseguire un pentest su un'infrastruttura piena di vulnerabilità note è uno spreco: il tester troverà l'exploit ovvio, fermerà lì, e non valuterà le difese più sofisticate. Meglio fare il VA, correggere le vulnerabilità critiche e alte, poi fare il pentest per vedere se rimangono vulnerabilità logiche o catene d'attacco non rilevabili dall'automazione.
NIS2 e ISO 27001: cosa richiedono davvero
Molte PMI italiane si trovano ora nell'orbita della NIS2 e/o dell'ISO 27001. Qual è il livello minimo richiesto in termini di VA e pentest?
NIS2 — D.Lgs. 138/2024
La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, non prescrive esplicitamente "eseguire un vulnerability assessment" o "fare un penetration test" — definisce invece misure di sicurezza basate sul rischio. L'art. 24 richiede misure tecniche e organizzative adeguate che comprendono, tra le altre:
- Gestione delle vulnerabilità e delle patch
- Test e valutazioni periodiche dell'efficacia delle misure di sicurezza
- Monitoraggio continuo della sicurezza della rete
Le Linee Guida ACN interpretano questi requisiti come comprensivi di un programma strutturato di vulnerability management (VA periodico) e di testing dell'efficacia dei controlli (che include il pentest per i perimetri critici). Per le entità NIS2 classificate come essenziali, i requisiti sono più stringenti: ci si aspetta VA continuo e pentest annuale documentato.
ISO 27001:2022
Lo standard ISO/IEC 27001:2022 include il controllo A.8.8 — Gestione delle vulnerabilità tecniche, che richiede di identificare tempestivamente le vulnerabilità dei sistemi informativi, valutare l'esposizione e adottare misure appropriate. Il vulnerability assessment è lo strumento principale per soddisfare questo controllo. Durante gli audit di certificazione, i revisori chiedono evidenza dei VA eseguiti, dei finding identificati e della remediation applicata.
Il penetration test non è esplicitamente richiesto dall'ISO 27001, ma il controllo A.8.29 — Test di sicurezza in fase di sviluppo e le pratiche di security testing documentate nella dichiarazione di applicabilità (SoA) rendono il pentest una prova di efficacia molto apprezzata dagli auditor. Per i settori regolamentati (finanziario, sanitario), il pentest annuale è spesso esplicitamente richiesto nelle valutazioni di conformità.
DORA — Settore finanziario
Il regolamento europeo DORA (Digital Operational Resilience Act), applicabile al settore finanziario italiano dal gennaio 2025, introduce i Threat-Led Penetration Test (TLPT) — pentest avanzati guidati dalla threat intelligence — come requisito esplicito per le entità finanziarie significative. Per le PMI del settore fintech, assicurativo o dei servizi di pagamento, DORA è il framework di riferimento.
Costi e frequenza consigliata per PMI italiane
I costi variano significativamente in base all'ampiezza del perimetro, alla complessità dell'infrastruttura e al livello di esperienza del fornitore. Di seguito i range realistici per il mercato italiano nel 2026.
| Servizio | Scope tipico PMI | Costo indicativo | Frequenza |
|---|---|---|---|
| VA esterno (network perimeter) | IP pubblici, DMZ, firewall edge | 2.000–5.000 € | Trimestrale |
| VA interno (rete aziendale) | 50–300 host interni | 3.000–8.000 € | Trimestrale |
| VM continuo (SaaS platform) | Asset illimitati con agent | 500–3.000 €/mese | Continuo |
| Pentest esterno (network) | Perimetro IP pubblici | 5.000–15.000 € | Annuale |
| WAPT (applicazione web) | 1 applicazione web/API | 4.000–15.000 € | Annuale o pre-release |
| Pentest Active Directory | Dominio Windows aziendale | 6.000–25.000 € | Annuale |
| Pentest Wi-Fi | Sede unica o multi-sede | 3.000–8.000 € | Annuale o post-modifica |
Una PMI italiana con 50-150 dipendenti dovrebbe allocare il VA trimestrale esterno + interno come baseline (6.000-12.000 €/anno) e un pentest annuale esterno + WAPT per le applicazioni critiche (9.000-25.000 €/anno). Il budget totale di 15.000-37.000 €/anno per una copertura seria è comparabile a una singola giornata di fermo operativo dovuto a un attacco evitabile — e molto inferiore alla sanzione NIS2 minima.
Come valutare la qualità di un fornitore
Scegliere il fornitore giusto per VA e pentest è critico. I parametri da valutare:
- Certificazioni del team: OSCP, CEH, GPEN per il pentest; certificazioni vendor (Tenable, Qualys) per il VA. Non le certificazioni dell'azienda ma del personale che eseguirà il lavoro.
- Metodologia dichiarata: PTES, OWASP, NIST SP 800-115 per il pentest; CIS Controls per il VA. Un fornitore serio dichiara la metodologia nel contratto.
- Report campione: chiedi un report anonimizzato di un lavoro precedente. La qualità del report è il prodotto principale che stai acquistando.
- Ritest incluso: dopo la remediation, il fornitore dovrebbe includere un ritest gratuito o scontato per verificare che le vulnerabilità siano state effettivamente risolte.
- NDA e trattamento dei dati: durante un pentest si accede a dati sensibili. Verifica che il contratto includa NDA e specifichi come vengono trattati e cancellati i dati raccolti.
Domande frequenti
Qual è la differenza tra vulnerability assessment e penetration test?
Il vulnerability assessment identifica e cataloga le vulnerabilità presenti nell'infrastruttura usando principalmente strumenti automatizzati, senza sfruttarle attivamente. Il penetration test è una simulazione di attacco reale condotta manualmente: il professionista tenta concretamente di sfruttare le vulnerabilità per dimostrare l'impatto reale e la catena di attacco. Il VA è più ampio e frequente; il pentest è più profondo e mirato.
Con quale frequenza una PMI dovrebbe eseguire un vulnerability assessment?
Per una PMI italiana, la frequenza minima consigliata è trimestrale. Per ambienti con frequenti rilasci software o modifiche infrastrutturali, è preferibile un VA mensile o una piattaforma di vulnerability management continuo. Il penetration test è tipicamente annuale o associato a eventi significativi (pre-certificazione, post-migrazione cloud, pre-lancio applicazione).
La NIS2 obbliga a fare un penetration test?
La NIS2 (D.Lgs. 138/2024) non prescrive esplicitamente il penetration test, ma impone misure tecniche adeguate e test periodici dell'efficacia dei controlli (art. 24). Le Linee Guida ACN includono il testing di sicurezza tra i controlli attesi. Per le entità essenziali NIS2, il pentest annuale è atteso. Per ISO 27001, il VA è necessario per il controllo A.8.8; il pentest è fortemente consigliato come prova di efficacia agli auditor.
È possibile fare un pentest senza aver fatto prima un vulnerability assessment?
Tecnicamente sì, ma è uno spreco. Un pentest su un'infrastruttura con decine di CVE critiche non patchate troverà l'exploit ovvio e si fermerà lì, senza valutare la difesa in profondità. La sequenza corretta è VA → remediation delle vulnerabilità critiche e alte → pentest per validare l'efficacia dei controlli. In questo modo il pentest aggiunge valore reale invece di trovare solo ciò che lo scanner avrebbe già identificato.