Torna al blog
Threat Intelligence

CVE e vulnerability management per PMI

15 gennaio 2026 · 5 min di lettura

30.000 vulnerabilità: quali contano davvero?

Nel 2025 il NIST ha registrato 32.637 nuove CVE (Common Vulnerabilities and Exposures). Di queste, circa 4.500 classificate come critiche (CVSS 9.0+). Nessuna PMI può patchare tutto: la chiave è sapere cosa patchare prima.

CVSS non basta

Il Common Vulnerability Scoring System (CVSS) assegna un punteggio da 0 a 10 a ogni vulnerabilità. Ma il CVSS misura la gravità teorica, non il rischio reale per la vostra azienda. Una CVE con CVSS 9.8 che riguarda un software che non usate ha rischio zero per voi. Una CVE con CVSS 7.5 che riguarda il vostro VPN esposto su internet è un'emergenza.

Il framework EPSS

L'Exploit Prediction Scoring System (EPSS) di FIRST.org aggiunge un dato cruciale: la probabilità che una vulnerabilità venga effettivamente sfruttata nei prossimi 30 giorni. Combinare CVSS ed EPSS permette una prioritizzazione efficace:

  • CVSS ≥ 9.0 + EPSS > 0.5: patch entro 48 ore — exploit attivo probabile
  • CVSS ≥ 7.0 + EPSS > 0.3: patch entro 7 giorni
  • CVSS ≥ 7.0 + EPSS < 0.1: patch entro 30 giorni
  • CVSS < 7.0: ciclo di patching ordinario

CVE che hanno colpito le PMI italiane nel 2025

Alcuni esempi concreti di vulnerabilità sfruttate attivamente contro PMI:

  • CVE-2024-21887 (Ivanti Connect Secure): CVSS 9.1. Sfruttata dal gruppo UNC5221 per accedere alle VPN aziendali. Centinaia di PMI italiane usavano il prodotto.
  • CVE-2023-46805 (Ivanti): bypass autenticazione combinato con la precedente. Catena di exploit devastante.
  • CVE-2024-3400 (Palo Alto PAN-OS): CVSS 10.0. Command injection sul firewall senza autenticazione. Exploit disponibile pubblicamente in 48 ore.
  • CVE-2024-1709 (ConnectWise ScreenConnect): CVSS 10.0. Authentication bypass sul software di gestione remota usato da MSP.

Il programma di vulnerability management per PMI

Un programma efficace non richiede strumenti enterprise. Ecco l'approccio minimo:

  • Inventario: sapere esattamente quali software e versioni usate (SBOM per i più strutturati)
  • Scanning: vulnerability scan mensile con strumenti open source come OpenVAS o Nuclei
  • Prioritizzazione: usare CVSS + EPSS + contesto aziendale per decidere cosa patchare prima
  • Patching: SLA definiti per criticità (48h/7gg/30gg)
  • Verifica: re-scan dopo il patching per confermare la risoluzione

Non serve perfezione: serve un processo ripetibile. Un vulnerability management anche basilare vi mette avanti rispetto all'80% delle PMI italiane.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli