Cosa analizziamo?
Le CVE (Common Vulnerabilities and Exposures) sono un elenco pubblico di vulnerabilità di sicurezza note. Correliamo le tecnologie rilevate sul tuo sito con database di CVE per identificare vulnerabilità che interessano il tuo stack tecnologico.
Processo di rilevamento
Database NVD
Consultazione della National Vulnerability Database del NIST.
Correlazione di versioni
Matching delle versioni rilevate con CVE note.
Severità CVSS
Classificazione secondo il sistema di punteggio CVSS (0-10).
Exploit pubblici
Verifica dell'esistenza di exploit pubblici disponibili.
Patch disponibili
Informazioni sugli aggiornamenti che correggono la vulnerabilità.
Riferimenti tecnici
Link a OWASP, CWE e documentazione di mitigazione.
Perché è importante?
Il 60% degli attacchi informatici sfrutta vulnerabilità note per le quali esiste già una patch. Non aggiornare il software o ignorare le vulnerabilità che interessano il tuo stack è una delle principali cause di violazioni della sicurezza.
Impatto se non mitigato
- Sfruttamento di vulnerabilità note da parte di attaccanti
- Esecuzione remota di codice sul server
- Accesso non autorizzato a dati sensibili
- Possibile responsabilità per negligenza
Quadro normativo applicabile
Non applicare patch a vulnerabilità note può essere considerato negligenza secondo il GDPR. Le autorità hanno sanzionato aziende per non aver mantenuto i sistemi aggiornati.
Sanzioni potenziali
| Tipo di azienda | Multa orientativa |
|---|---|
| Microimpresa | 10.000 - 50.000 € |
| PMI | 20.000 - 300.000 € |
| Grande impresa | Fino a 20M € o 4% fatturato |