Gestione vulnerabilità moderne e remediation evoluta
Solo integrando innovazione tecnologica, automazione e approcci orientati al rischio reale sarà possibile ristabilire un equilibrio tra velocità di attacco e capacità difensiva.
Lo studio mostra come le vulnerabilità aziendali continuino a crescere, evidenziando così la grande importanza di innovare con l’automazione e l’AI.
La vulnerabilità è un problema crescente per le organizzazioni: la Threat Research Unit (TRU) di Qualys ha pubblicato “The Broken Physics of Remediation”, uno studio basato su oltre 1 miliardo di record CISA KEV, che analizza le dinamiche di rilevamento e mitigazione delle vulnerabilità su più di 10.000 aziende a livello globale. I risultati mostrano come molte realtà faticano a tenere il passo con la rapidità con cui gli attaccanti sfruttano le vulnerabilità.
Crescita delle vulnerabilità e gap operativo
Negli ultimi quattro anni, il volume delle vulnerabilità gestite è cresciuto di 6,5 volte, passando dai 73 milioni del 2022 ai 473 milioni del 2025. Nonostante i progressi operativi, nel 2025 il 63% delle vulnerabilità critiche era ancora aperto a sette giorni dalla segnalazione, rispetto al 56% del 2022. A peggiorare il quadro è il Time-to-Exploit medio a -1 giorno: gli attaccanti oggi riescono a sfruttare le vulnerabilità prima che vengano rese pubbliche, rendendo inefficaci le strategie di risposta reattiva.
Lo studio evidenzia che i processi manuali hanno raggiunto il loro limite strutturale. I tempi di chiusura delle vulnerabilità sono mediamente 4-5 volte superiori alla mediana, e in casi gravi come Spring4Shell la remediation ha richiesto fino a 266 giorni. Analizzando 52 vulnerabilità sfruttate attivamente, nell’88% dei casi i processi manuali non hanno tenuto il passo con gli attaccanti, e metà di queste vulnerabilità era già sfruttata prima della pubblicazione.
Nuove metriche per misurare la reale criticità
Per superare le limitazioni delle metriche tradizionali, Qualys introduce due indicatori:
Average Window of Exposure (AWE): misura l’intera finestra temporale in cui una vulnerabilità può essere sfruttata fino alla risoluzione su tutti gli asset.
Risk Mass: quantifica il rischio cumulativo assorbito durante il ciclo di remediation.
I dati mostrano che all’atto della disclosure pubblica, l’85% degli asset vulnerabili non è ancora patchato; a 21 giorni rimane esposto un terzo degli asset, e a 90 giorni il 12%.
Dal 2022, la superficie di attacco media delle organizzazioni è triplicata. Dispositivi edge come firewall, VPN e gateway rappresentano il varco diretto verso le reti interne, e la maggioranza delle vulnerabilità viene sfruttata prima della disclosure pubblica. Anche se i tempi medi di remediation per questi sistemi sono relativamente più rapidi, il rischio resta elevato.
Delle oltre 48.000 vulnerabilità identificate nel 2025, solo 357 (0,74%) risultano attivamente sfruttabili da remoto. Questo sottolinea l’importanza di adottare modelli di prioritizzazione basati sul contesto reale e non solo sulla severity.
Il futuro: automazione, AI e nuovi modelli operativi
Il divario tra attacco e difesa può essere colmato solo con un cambio di paradigma. Il 15% delle organizzazioni analizzate ha patchato le vulnerabilità prima della loro inclusione nel catalogo KEV, dimostrando l’efficacia di un approccio innovativo. L’adozione di automazione avanzata e intelligenza artificiale nel modello operativo end-to-end del Risk Operations Center (ROC) consente di identificare, confermare e risolvere le minacce critiche alla velocità delle macchine, eliminando colli di bottiglia e riducendo i tempi di esposizione.
“The Broken Physics of Remediation” dimostra che i modelli operativi tradizionali non reggono più di fronte a minacce in rapida evoluzione. Solo integrando innovazione tecnologica, automazione e approcci orientati al rischio reale sarà possibile ristabilire un equilibrio tra velocità di attacco e capacità difensiva.
