L’intelligenza artificiale ha trasformato la cybersicurezza: oggi non basta più individuare le vulnerabilità ma occorre ridurre il rischio e reagire alla stessa velocità dell'AI. Questo il messaggio di Qualys, raccontato a Milano durante l’evento “ROCon Connect”. Per anni il vulnerability management è stato un elemento centrale nelle strategie di difesa informatica: identificare le vulnerabilità, classificarle e pianificarne la correzione era considerato un approccio in grado di mantenere sotto controllo la superficie di attacco.
Oggi, però, in quella che è stata definita l’“era post Mythos”, questo paradigma mostra limiti sempre più evidenti. Durante l’evento di Qualys è stato delineato uno scenario in cui la velocità di scoperta e sfruttamento delle vulnerabilità sta crescendo a ritmi tali da rendere inefficaci molti processi tradizionali di gestione del rischio cyber. Il concetto chiave per chi si occupa di cybersecurity non è più, quindi, il vulnerability management, ma la risk remediation.
Il rischio cyber è un rischio di business
Ad aprire l'incontro è stato Emilio Turani, regional vice president Southern Europe di Qualys, che ha evidenziato come la crescente pressione esercitata dalle minacce stia modificando profondamente il ruolo della sicurezza all'interno delle organizzazioni. Secondo Turani, il Ciso del futuro sarà sempre meno un responsabile tecnico focalizzato esclusivamente sulla protezione delle infrastrutture e sempre più una figura chiamata a governare il rischio aziendale. In questa prospettiva, il rischio informatico non viene più considerato un tema confinato all'IT, bensì una componente integrante del rischio di business.
L'obiettivo non è eliminare ogni rischio, ma consentire alle organizzazioni di assumere decisioni consapevoli, comprendendo quali esposizioni siano quelle realmente critiche e quali possano essere gestite in modo sostenibile. Si tratta di un cambio di prospettiva significativo: la sicurezza non come freno all'innovazione, ma come elemento abilitante per operare in modo resiliente.
Emilio Turani, regional vice president Southern Europe di Qualys
Il fattore tempo e l’accumulo di rischio
La trasformazione in atto è alimentata soprattutto da un fattore: il tempo. La velocità degli attaccanti impone un nuovo paradigma. Come ha sottolineato Cecil Perez, head of Europe di Qualys, l'ecosistema delle minacce sta attraversando una fase di accelerazione senza precedenti.
Se in passato il tempo medio che separava la pubblicazione di una vulnerabilità dalla disponibilità di exploit utilizzabili lasciava alle organizzazioni margini di intervento relativamente ampi (almeno 5 giorni in media fino al 2023), oggi la situazione è radicalmente diversa: con l’AI gli attaccanti riescono a colpire nell'ordine di ore o minuti. La domanda non è più quante vulnerabilità emergano ogni giorno, ma quanto rapidamente possano essere trasformate in armi pronte all’uso.
Se le finestre di esposizione si misurano in ore, in questo contesto i processi di remediation tradizionali, che duravano settimane o mesi, diventano incompatibili con la realtà operativa. La conseguenza è che le organizzazioni devono sviluppare capacità di risposta a velocità macchina, essere quindi in grado di operare con livelli di automazione molto superiori rispetto al passato.
Tra gli interventi più interessanti, quello di Ivan Milenkovic, vice president cyber risk technology di Qualys, ha portato l'attenzione su un dato spesso trascurato. Analizzando i trend emersi dal “Data Breach Investigations Report” di Verizon, Milenkovic ha evidenziato come l'exploit di vulnerabilità note stia diventando il vettore di attacco dominante, superando progressivamente altri approcci come il furto di credenziali. Lo sfruttamento delle vulnerabilità è il vettore di accesso iniziale più importante nel campione di quest'anno (22mila incidenti a livello globale), si raggiunge il picco del 31%, rispetto al 20% dell'anno scorso, registrando un incremento del 55%.
Nonostante le organizzazioni siano travolte da uno "tsunami" di vulnerabilità, gli attaccanti non hanno bisogno di sfruttarle tutte. “Come chiunque voglia massimizzare il ritorno sugli investimenti, anche gli attaccanti si concentrano su un numero molto ristretto di vulnerabilità che offrono il miglior rapporto tra sforzo e risultato”, ha detto Milenkovic. Secondo il vice president di Qualys, meno dell'1% delle vulnerabilità pubblicate viene effettivamente trasformato in exploit utilizzati dagli attaccanti; durante l'evento il manager ha citato una stima pari allo 0,74% dei CVE pubblicati nel 2025.
Parallelamente, le organizzazioni stanno correggendo una quota sempre più ridotta delle vulnerabilità note e impiegano tempi maggiori per completare le attività di remediation. Il risultato è un fenomeno che potremmo definire “accumulo di rischio”: nuove vulnerabilità continuano ad aggiungersi a quelle già presenti, mentre le più vecchie rimangono spesso irrisolte per anni. Gli attaccanti ne sono perfettamente consapevoli: dal loro punto di vista, infatti, non è necessario sfruttare le vulnerabilità più recenti, è sufficiente utilizzare quelle che le aziende non hanno ancora corretto.
Cecil Perez, head of Europe di Qualys
Dall'overload informativo alla “super prioritizzazione”
Cercare di correggere tutto indiscriminatamente non è più sostenibile. Secondo Qualys, occorre invece identificare un sottoinsieme di vulnerabilità con determinate caratteristiche: quelle che sono effettivamente sfruttabili; quelle rilevanti per il proprio settore e contesto; quelle utilizzate dagli attori che potrebbero prendere di mira l'organizzazione; quelle che insistono sugli asset più critici per il business.
La proposta di Qualys è la hyper-prioritization, un approccio basato sull'integrazione di diverse dimensioni informative: inventario completo degli asset; intelligence sulle minacce; comprensione del contesto operativo e di business; esposizione effettiva agli attaccanti e reale sfruttabilità delle vulnerabilità. L'obiettivo è ridurre drasticamente il "rumore di fondo" che caratterizza molte piattaforme di sicurezza e concentrare gli sforzi su un numero limitato di problemi ad alto impatto. In altre parole, passare da migliaia di alert a poche decine di azioni realmente prioritarie.
La validazione della “sfruttabilità”
Un concetto particolarmente interessante introdotto durante la sessione tecnica riguarda la verifica concreta della exploitability, cioè della probabilità che un determinato punto di debolezza venga realmente sfruttato per attaccare. Non tutte le vulnerabilità teoricamente critiche possono essere effettivamente sfruttate in uno specifico ambiente operativo. La presenza di controlli compensativi, configurazioni particolari, segmentazione di rete, sistemi Edr (Endpoint Detection and Response) o altre misure di protezione può ridurre significativamente il rischio reale.
Per questo motivo Qualys ha introdotto nel marzo dello scorso anno TruConfirm, una funzionalità che verifica l'effettiva exploitability delle vulnerabilità nel contesto specifico dell'organizzazione. L'obiettivo è distinguere le esposizioni teoriche da quelle realmente sfruttabili, tenendo conto di controlli compensativi, configurazioni di sicurezza e condizioni operative presenti nell'ambiente analizzato. L'idea è semplice ma potente: verificare quali siano i rischi veri, non solo teorici, prima di avviare costose campagne di remediation. Secondo i dati condivisi durante l'evento, questo approccio consentirebbe di ridurre ulteriormente il numero di interventi prioritari, ottimizzando tempi, risorse e investimenti.
Ivan Milenkovic, vice president cyber risk technology di Qualys
Il passaggio alla remediation autonoma
Oggi sta cambiando il concetto stesso di remediation: se per anni il patch management è stato considerato il principale strumento di risposta alle vulnerabilità, ora questa visione appare troppo limitata. Le organizzazioni si trovano sempre più spesso a fronteggiare vulnerabilità prive di patch, software legacy, applicazioni custom e ambienti complessi in cui l'installazione immediata di aggiornamenti non è sempre possibile. Il già citato report di Verizon ha messo in evidenza che nel 58% dei casi le vulnerabilità sono risolte “parzialmente”, e c’è una plausibile spiegazione: forse c'erano motivi validi legati alla gestione del rischio per non completare il task.
La remediation moderna deve comprendere, quindi, un insieme di azioni alternative, come la distribuzione automatizzata delle patch, la rimozione di software non utilizzato, la modifica delle configurazioni ,l’applicazione di misure compensative, l’isolamento temporaneo degli asset e interventi automatizzati basati su policy.
L'obiettivo non è necessariamente correggere tutto, ma ridurre rapidamente il rischio operativo. È qui che l'automazione e gli agenti AI specializzati possono assumere un ruolo centrale, consentendo di abbattere il Mean Time To Remediation (Mttr) e di sgravare il personale da attività ripetitive e a basso valore aggiunto.
Il filo conduttore dell'intero evento può essere sintetizzato in una considerazione: la cybersecurity sta attraversando una trasformazione analoga a quella vissuta in passato da altre discipline aziendali, con il passaggio da una logica prevalentemente operativa a una logica decisionale. In un contesto caratterizzato da volumi crescenti di vulnerabilità, tempi di sfruttamento sempre più stretti e disponibilità limitata di competenze specialistiche, il successo non dipenderà dalla capacità di correggere tutto ma dalla capacità di capire che cosa conta davvero. Per questo motivo concetti come exposure management, prioritizzazione del rischio, exploit validation e remediation automatizzata stanno rapidamente diventando elementi centrali nelle strategie di difesa moderne.