Elimina i rischi critici nel cloud

Scopri e risolvi i problemi critici di gravità nei tuoi ambienti cloud senza sommergere il tuo team di avvisi.

Scansione delle vulnerabilità (Vulnerability Scanning)

La scansione delle vulnerabilità è il processo di rilevamento e valutazione delle falle di sicurezza nei sistemi IT, nelle reti e nel software.

Team di esperti Wiz
7 minuti letti

Che cos'è la scansione delle vulnerabilità?

La scansione delle vulnerabilità è il processo di rilevamento e valutazione delle falle di sicurezza nei sistemi IT, nelle reti e nel software. Gli scanner di vulnerabilità sono strumenti che cercano continuamente nei sistemi vulnerabilità di sicurezza note, inclusi aggiornamenti di sicurezza mancanti, configurazioni errate e segreti esposti.

La scansione delle vulnerabilità interessa tutti i settori verticali dell'ecosistema IT dell'organizzazione, tra cui reti, endpoint, API, dipendenze, app interne e di terze parti e altre aree, e viene eseguita per proteggersi da potenziali attacchi informatici. Gli scanner sono anche generalmente basati sullo scopo: possono avere specializzazioni basate sulla rete, basate su host o adatte al database.

A seconda delle esigenze di sicurezza specifiche di un'organizzazione, la scansione delle vulnerabilità può essere limitata a singoli sistemi o ampliata per includere intere infrastrutture di rete. Ci vogliono database aggiornati con informazioni su tutte le vulnerabilità note per dare agli scanner di vulnerabilità la loro efficacia.

Uno di questi database è il Banca dati nazionale delle vulnerabilità (NVD). Questi database contengono informazioni quali la gravità della vulnerabilità, l'impatto potenziale e le tecniche di mitigazione consigliate. Lo scanner confronta le proprie scoperte nell'ambiente di destinazione e le confronta con quelle presenti nel database, quindi contrassegna, segnala e fornisce opzioni di correzione per eventuali corrispondenze. 

Perché la scansione delle vulnerabilità è importante

BenefitDescription
Proactive SecurityVulnerability scanning allows organizations to identify and address security weaknesses before attackers can exploit them. This proactive approach helps in preventing potential security breaches, reducing the risk of data loss, financial damage, and reputational harm.
Compliance and Regulatory Requirements

Vulnerability scanning helps organizations achieve data and software security, to better align with compliance frameworks such as SOC 2, ISO 27001, and NIST 800-53.

Cost savingsIdentifying and remedying vulnerabilities early can significantly reduce the costs associated with a security breach. The financial implications of a breach often extend beyond immediate remediation efforts to include legal fees, fines, and lost business. Regular scanning helps organizations allocate resources more efficiently by prioritizing vulnerabilities based on their severity.
Asset Visibility and ManagementVulnerability scanning provides an inventory of all devices and software on a network, offering valuable insights into the security posture of an organization's digital assets. This visibility is crucial for effective asset management, ensuring that all parts of the IT infrastructure are up-to-date and secure.
Improved security postureRegular scanning enables organizations to continuously assess and improve their security posture. By identifying and tracking vulnerabilities over time, organizations can measure the effectiveness of their security strategies and make informed decisions about where to invest in security improvements.

Tipi di casi d'uso della scansione delle vulnerabilità

Le tecniche utilizzate per la scansione delle vulnerabilità possono essere attive o passive: 

  • Scansione attiva, detta anche scansione senza credenziali, comporta l'invio di attacchi, query o richieste simulati alla destinazione per identificare potenziali vulnerabilità, ad esempio overflow del buffer, dati non crittografati e processi di autenticazione interrotti. 

  • Scansione passiva, chiamata anche scansione delle credenziali, comporta l'analisi discreta (senza sondare attivamente) il traffico di rete per rilevare le vulnerabilità che gli aggressori possono sfruttare per diffondere malware o rubare/manipolare i dati.

La scansione delle vulnerabilità può anche essere classificata in diversi casi d'uso, come ad esempio:

  • Scansione delle vulnerabilità della rete: Esegue la scansione della rete alla ricerca di vulnerabilità, tra cui porte aperte, software senza patch e protocolli di rete deboli.

  • Scansione delle vulnerabilità delle applicazioni Web: Cerca falle di sicurezza come SQL injection, cross-site scripting (XSS) e altre vulnerabilità esclusive delle applicazioni Web.

  • Scansione delle vulnerabilità del database: Si concentra sull'identificazione delle vulnerabilità all'interno dei database, ad esempio configurazioni errate, autenticazione debole e autorizzazioni troppo permissive.

  • Scansione delle vulnerabilità dell'host: Eseguito su singoli host (server o workstation) per identificare vulnerabilità a livello di sistema operativo o nel software installato.

  • Scansione di container e ambienti virtualizzati: Progettato per identificare le vulnerabilità nelle applicazioni containerizzate e negli ambienti virtuali. Ciò include la scansione delle vulnerabilità nelle immagini dei container e la gestione dei container e delle macchine virtuali.

Come funziona la scansione delle vulnerabilità?

Il processo di analisi delle vulnerabilità prevede diversi passaggi, dall'ambito delle vulnerabilità all'identificazione, alla valutazione e alla correzione. Qui's una semplice ripartizione di ogni passaggio:

Fase 1: Definizione dell'ambito

Prima di eseguire la scansione, è necessario determinare le reti e le applicazioni di destinazione, mappare gli endpoint e identificare le dipendenze. L'ambito comporta anche la determinazione se devono essere analizzati dispositivi interni, sistemi rivolti verso l'esterno o una combinazione di entrambi.

Fase 2: Selezione dell'utensile

È necessario scegliere una soluzione, dal pool di strumenti commerciali e open source disponibili, che sia in linea con l'organizzazione'A questo punto, l'utente deve essere in grado di fornire La soluzione dovrebbe anche avere una console user-friendly per una facile scansione delle vulnerabilità e funzionare in modo ottimale su reti ibride distribuite per facilitare l'identificazione dei rischi in tutti gli ambienti. 

Suggerimento professionale

Agentless scanning solutions typically have quicker setup and deployment and require less maintenance. They can scan all workloads using cloud native APIs and connects to customer environments with a single org-level connector. If the approach is agent-based, this type of deployment will require ongoing agent installation, update, and maintenance effort.

Ulteriori informazioni

Fase 3: Configurazione

Lo strumento di scansione deve essere configurato per eseguire la scansione in base ai parametri desiderati. I dettagli di configurazione possono includere la specifica di indirizzi IP o nomi di dominio di destinazione, l'impostazione dell'intensità o della velocità di scansione e la definizione di tecniche di scansione.

Suggerimento professionale

No organization should resort to using default policy configurations. This is because default policy configurations rarely address an organization’s nuanced business-, region-, and industry-specific requirements.

Ulteriori informazioni

Fase 4: Avvio della scansione

Avviare il processo tramite comandi o utilizzando le opzioni fornite dallo strumento scelto, ad esempio una GUI. Alcune risorse ti permetteranno di pianificare le tue scansioni, il che rende questo passaggio automatico una volta che hai selezionato le tue preferenze.

Suggerimento professionale

Scanning Virtual Machine images and Container images for vulnerabilities and secrets during the CI/CD pipeline can help increase efficiency in the software development process by detecting vulnerabilities and security risks before deployment to the runtime environment.

Ulteriori informazioni

Fase 5: Rilevamento delle vulnerabilità

Example of vulnerability detections aligned with the CISA KEV catalog

Gli scanner analizzano i tipi di vulnerabilità più comuni o confrontano la superficie di attacco del sistema con i parametri salvati nel database delle vulnerabilità in uso. Le vulnerabilità analizzate di solito sono in linea con la specializzazione dello scanner, che si tratti di database, reti, ecc. 

Fase 6: Analisi delle vulnerabilità

Example vulnerability dashboard that prioritizes issues by contextual severity

Dopo la scansione, lo strumento genererà un elenco completo delle vulnerabilità identificate, le ordinerà in base alla gravità, filtrerà i falsi positivi e fornirà opzioni per la correzione.  

Fase 7: Correzione e nuova analisi

Example vulnerability detection with easy-to-follow remediation instructions

In base ai risultati dell'analisi, il team di sicurezza risolverà le vulnerabilità identificate distribuendo patch di sicurezza, aggiornando le versioni del software o riconfigurando le impostazioni di sicurezza, a seconda delle raccomandazioni contenute nel report sulle vulnerabilità. 

Dopo la correzione, è necessario eseguire una nuova scansione dei sistemi di destinazione per verificare che le vulnerabilità siano state risolte correttamente. 

Fase 8: Monitoraggio continuo

Possono sempre emergere nuove vulnerabilità. La scansione delle vulnerabilità deve essere pianificata a intervalli regolari per identificare e affrontare tempestivamente le minacce emergenti.

Scansione delle vulnerabilità vs test di penetrazione

La scansione delle vulnerabilità è un processo automatizzato volto a identificare regolarmente le vulnerabilità note in un'ampia gamma di sistemi. Utilizza strumenti software per rilevare problemi come software obsoleto, patch mancanti o configurazioni errate, producendo un rapporto che elenca queste vulnerabilità, spesso classificate in base alla gravità.

D'altra parte, il penetration test è un esercizio manuale e approfondito condotto meno frequentemente, in genere annualmente, da hacker etici. Simula attacchi informatici per scoprire e sfruttare i punti deboli in aree specifiche, con l'obiettivo di dimostrare come un utente malintenzionato possa violare i sistemi. Il risultato è un rapporto dettagliato che non solo elenca le vulnerabilità sfruttabili, ma fornisce anche raccomandazioni per migliorare le misure di sicurezza.

Mentre la scansione delle vulnerabilità offre un'ampia panoramica delle vulnerabilità del sistema, i test di penetrazione forniscono un'analisi mirata di come tali vulnerabilità potrebbero essere sfruttate in un attacco.

Problemi comuni di scansione delle vulnerabilità 

I processi sopra evidenziati potrebbero essere inefficaci se emergono una (o tutte) le seguenti sfide. 

ChallengeDescription
Resource sharingVulnerability scanning requires significant network bandwidth and computing resources. Production (in the IT environment) is also resource intensive. When both processes share resources provided by the organization’s infrastructure, resource contention occurs, and can negatively impact the scan's efficiency.
False positivesThe vulnerability scanning tool could incorrectly identify a non-existent vulnerability, wasting time and effort. For instance, a developer could be patching a dependency in the source code, and the tool might alert that malicious activity is taking place. Misconfiguring the vulnerability scanner usually leads to these kinds of false positives.
Alert FatigueVulnerability scanning generates quintillions of alerts, making it overwhelming for the security team to painstakingly track and address each alert, and that can lead to neglecting critical vulnerabilities.
Siloed toolingUsing vulnerability scanning tools with other security solutions across different environments or departments can create data silos and distort vulnerability management. That can hinder collaboration and make it difficult to have an end-to-end view of the organization's security posture.
Inability to contextualize vulnerability impactVulnerability scanning tools may be ineffective for risk management as they’re often ignorant of asset criticality, business processes, and system dependencies. They also likely won’t understand the impact of vulnerabilities across individual organizations.
High ownership costsVulnerability scanning tools and the associated infrastructure can be expensive to procure, deploy, and maintain. Organizations may also need to invest in staff training and dedicated personnel employment. All of that translates to increased costs.
Ongoing maintenance effortsSome vulnerability scanning solutions require agents to be installed on target systems for continuous scanning. Managing the installation, updates, and maintenance of these agents across many systems can be challenging and time consuming.
Blind spotsThis occurs when vulnerabilities in certain assets are missed during scanning, and may be caused by a tool’s inability to detect vulnerabilities on specific asset types, such as cloud infrastructure, mobile devices, or IoT devices.
Software development delaysTraditional vulnerability scanning practices require extensive scans and manual verification, causing delays in the development of applications and the release of software updates. These kinds of delays ultimately hurt an organization’s bottom line.

Nonostante le sfide sopra elencate, la scansione delle vulnerabilità è inestimabile se implementata correttamente. Nella prossima sezione vedremo come fare.

Caratteristiche principali da cercare in uno strumento di scansione delle vulnerabilità

Per affrontare e mitigare in modo efficace le sfide sopra descritte, scegli uno strumento di scansione delle vulnerabilità con le seguenti caratteristiche chiave:

1. Capacità di scansione continua

Il monitoraggio continuo è l'ultima ma cruciale fase della scansione delle vulnerabilità. Scegli uno strumento in grado di scansionare e rilevare continuamente le vulnerabilità man mano che emergono, in modo che la tua organizzazione possa essere costantemente priva di vulnerabilità. 

2. Approccio senza agenti

Lo strumento di scansione delle vulnerabilità deve essere senza agente, eliminando la necessità di installare e gestire gli agenti di scansione sui sistemi di destinazione. Tali strumenti utilizzano tecniche di scansione basate sulla rete, consumano meno risorse e cancellano le possibilità di incompatibilità. 

Suggerimento professionale

It's important to be able to scan virtual machines or containers even if the workload is offline. Security teams can remediate the vulnerability before the workload is online and effectively at risk.

But with an agent-based scanner, since an agent is part of the runtime of the workload, the scanning can only happen while the workload is online. This also applies for authenticated scanning, which means you can test applications in their ready-to-run configuration both in staging and production environments.

Ulteriori informazioni

3. Prioritizzazione basata sul rischio

Example visualization of the risk-based context that a vulnerability scanner should provide

Scegli uno strumento che fornisca Prioritizzazione delle vulnerabilità basata sul rischio, prendendo in considerazione fattori quali la gravità, l'sfruttabilità e la criticità delle risorse, oltre a elementi quali l'esposizione esterna, i diritti cloud, i segreti, le configurazioni errate e la presenza di malware. Uno strumento con questa funzionalità può correlare le vulnerabilità che presentano numerosi fattori di rischio per mitigare la quantità di affaticamento da avvisi che si verifica.

4. Supporto cross-cloud/cross-technology

A cloud vulnerability scanner must be able to run across your entire technology inventory

Gli ambienti stanno diventando sempre più ibridi e distribuiti. Seleziona uno strumento indipendente dalla tecnologia in grado di scansionare diversi ambienti di archiviazione e provider di cloud, tra cui AWS, GCP, Azure, OCI e Alibaba Cloud, indipendentemente dal sistema operativo sottostante o dal linguaggio di programmazione per garantire la compatibilità del software.

Suggerimento professionale

The cloud poses unique challenges that traditional vulnerability management solutions may struggle to address. Cloud vulnerability management is a proactive security solution that can keep up with the speed and scale of the cloud.

Traditional scanning tools were able to identify and remediate vulnerabilities but often flagged vulnerabilities that were non-critical and irrelevant. Furthermore, traditional vulnerability management had a significant deficiency: context.

5. Scansione prima della distribuzione

Vulnerability scanning should be extended into the CI/CD pipeline to scan VM and container images and catch issues before they ever reach production

Opta per uno strumento in grado di scansionare le macchine virtuali (VM) e i container e rilevare potenziali vulnerabilità prima della loro distribuzione. In questo modo si eviterà la diffusione delle vulnerabilità nell'intero ambiente di produzione. 

6. Copertura completa del carico di lavoro

Lo strumento di scansione deve essere in grado di eseguire contemporaneamente la scansione di vari sistemi e carichi di lavoro (server, endpoint, database e applicazioni Web) per consentire una correzione proattiva ed efficiente delle vulnerabilità.

7. Report di visualizzazione basati sui dati

La rappresentazione visiva dei dati di vulnerabilità in vari formati, ad esempio tabelle, grafici e diagrammi, è fondamentale per il processo decisionale e la correzione. Lo strumento deve fornire quel livello di visualizzazione nei risultati della scansione e renderli facilmente condivisibili. 

8. Integrazione 

Lo strumento deve integrarsi perfettamente con gli strumenti per SIEM (Security Information and Event Management), gestione dei registri e SCM (Security Configuration Management) per consentire un migliore rilevamento delle minacce e Risposta agli incidentie fornire una gestione coerente della sicurezza. 

Una soluzione unificata per la gestione delle vulnerabilità

Sebbene sia fondamentale per una solida postura di sicurezza, la scansione delle vulnerabilità è solo un aspetto della gestione della sicurezza del cloud. Per stabilire una strategia di sicurezza solida e completa, adottare una soluzione unificata di gestione delle vulnerabilità che incorpori la scansione delle vulnerabilità con altri approcci di sicurezza del cloud, come il Soluzione Wiz per la gestione delle vulnerabilità

Con la nostra vecchia piattaforma, ricevevamo migliaia di avvisi per ogni problema che avremmo risolto. Wiz ci permette di comprendere le vulnerabilità in modo molto più efficiente. Ora possiamo concentrare i nostri sforzi sui problemi piuttosto che limitarci a identificarli.

Per sperimentare in prima persona come una soluzione unificata di gestione delle vulnerabilità può potenziare la tua organizzazione'A questo punto, l'utente deve essere in grado di fornire richiedi una demo live di Wiz. Avrai l'opportunità di capire perché e come l'utilizzo della soluzione di gestione unificata delle vulnerabilità di Wiz può migliorare il livello di sicurezza della tua organizzazione. 

Agentless Scanning = Complete Visibility

Learn why CISOs at the fastest growing companies choose Wiz to identify and remediate vulnerabilities in their cloud environments.

Richiedi una demo

Continua a leggere

Vulnerability Prioritization in the Cloud: Strategies + Steps

Vulnerability prioritization is the practice of assessing and ranking identified security vulnerabilities based on critical factors such as severity, potential impact, exploitability, and business context. This ranking helps security experts and executives avoid alert fatigue to focus remediation efforts on the most critical vulnerabilities.

AI Risk Management: Essential AI SecOps Guide

AI risk management is a set of tools and practices for assessing and securing artificial intelligence environments. Because of the non-deterministic, fast-evolving, and deep-tech nature of AI, effective AI risk management and SecOps requires more than just reactive measures.

SAST vs. SCA: What's the Difference?

SAST (Static Application Security Testing) analyzes custom source code to identify potential security vulnerabilities, while SCA (Software Composition Analysis) focuses on assessing third-party and open source components for known vulnerabilities and license compliance.