Il numero di vulnerabilità individuate è in costante crescita di anno in anno. Nel solo passaggio dal 2021 al 2022, il numero di CVE pubblicate è aumentato da circa 20.000 a 25.000, con un incremento percentuale del 25%. I dati raccolti nel primo trimestre di questo 2023, in linea con quelli del 2022, se proiettati verso la fine dell’anno ci consentono di ipotizzare quantomeno una conferma, se non un ulteriore incremento, dei numeri del 2022. Indipendentemente dal contesto dalle cause di questo aumento e dalla natura delle vulnerabilità, è evidente che tali numeri rendano sempre più pressante a livello aziendale lo stabilire delle procedure e criteri attraverso le quali arrivare ad una rapido ed esaustivo censimento delle vulnerabiltà realmente impattanti per l’organizzazione, così da poter efficacemente concentrare le risorse sulla loro soluzione.
Nel corso di questo intervento riesamineremo i criteri comunemente adottati per la valutazione delle vulnerabilità, evidenziandone i limiti, e proporremo un approccio guidato dalle evidenze pratiche alle attività di remediation e mitigation.