Nel 2025 è emerso un dato di fatto scomodo: molte vulnerabilità vengono sfruttate in poche ore dalla pubblicazione del CVE, con una quota significativa di exploit osservati addirittura entro il primo giorno. Con l’arrivo di strumenti di hacking automatizzato e AI offensiva, il tempo utile per patchare è passato da settimane a minuti, obbligando le aziende a ripensare completamente la gestione delle vulnerabilità.
- Dalle settimane ai minuti: quanto è cambiata la “finestra di esposizione”
- L’accelerazione dell’hacking con l’AI
- “Debt” di vulnerabilità e vecchi CVE che tornano attuali
- Come deve cambiare il vulnerability management
- Automazione difensiva: usare la stessa arma in modo opposto
- Policy, continuità di business e ruolo del broker
Dalle settimane ai minuti: quanto è cambiata la “finestra di esposizione”
Per anni il modello implicito è stato: esce un nuovo bollettino di sicurezza, il team IT pianifica i test, prepara le patch e in qualche settimana chiude le falle più gravi. Oggi questo approccio non regge più. Le statistiche 2025 mostrano che quasi un terzo delle vulnerabilità effettivamente sfruttate in the wild viene attaccato entro un giorno dalla disclosure del CVE, in continuità con la tendenza già osservata nel 2024. Parallelamente, analisi globali indicano che il numero di CVE pubblicati ha superato le 20.000 unità in un solo anno, con una percentuale molto alta classificata come High o Critical, creando una pressione senza precedenti sui team di sicurezza.
In questo scenario, il concetto di “finestra di esposizione” cambia significato: non si parla più di mesi, ma di ore o minuti tra l’annuncio della vulnerabilità e i primi tentativi automatici di scansione e attacco da parte di bot e kit RaaS (Ransomware‑as‑a‑Service).
L’accelerazione dell’hacking con l’AI
L’uso dell’intelligenza artificiale e di framework automatizzati sta comprimendo ulteriormente i tempi. Un caso emblematico riguarda vulnerabilità critiche come CVE‑2025‑7775: in alcuni scenari, strumenti LLM‑driven sono riusciti a produrre exploit funzionanti in meno di 15 minuti a partire dalla descrizione tecnica del bug. In passato, lo sviluppo di un exploit affidabile per una falla di questo tipo richiedeva giorni o settimane di analisi manuale; ora, modelli AI integrati con tool di sicurezza e automazione riescono a trasformare un CVE appena pubblicato in uno script pronto all’uso in tempi quasi istantanei.
Questo non è solo un problema di “velocità del codice”. Piattaforme offensive automatizzate sono in grado di orchestrare l’intera catena: ricognizione, individuazione di sistemi vulnerabili, tentativi ripetuti di sfruttamento, movimento laterale e persistenza, partendo da comandi ad alto livello e adattando le tecniche in base alle risposte dell’ambiente. Per chi difende, significa che il primo tentativo di attacco può arrivare quando il patch management non ha ancora avuto il tempo di distribuire l’aggiornamento nemmeno ai sistemi più critici.
“Debt” di vulnerabilità e vecchi CVE che tornano attuali
Il problema non riguarda solo le vulnerabilità nuove. Diversi report evidenziano che una parte rilevante degli incidenti continua a sfruttare CVE vecchi, già noti e patchabili, che rimangono aperti per mesi o anni per mancanza di tempo, complessità degli ambienti o difficoltà di change management. L’AI e l’automazione non si limitano a correre sulle novità, ma aiutano gli attaccanti a riesumare falle “dimenticate”, costruendo in automatico exploit per vecchie versioni di software ancora largamente installate.
Questo genera un vero e proprio “debito di vulnerabilità”: un arretrato di problemi noti ma non sanati, che si somma alle nuove CVE e amplifica l’esposizione complessiva. Per le PMI e le realtà meno strutturate, dove spesso mancano processi formali di vulnerability management, questo arretrato coincide di fatto con una superficie d’attacco permanente.
Come deve cambiare il vulnerability management
In un contesto in cui le CVE critiche possono essere sfruttate in 15 minuti e un terzo delle vulnerabilità attaccate viene colpito entro 24 ore, il modello “scan mensile + patch quando si può” non è più sufficiente. Le linee evolutive che emergono dai report più recenti puntano in alcune direzioni chiare:
- Passare da scansioni periodiche a monitoraggio quasi continuo degli asset, inclusi cloud, container e applicazioni esposte;
- Introdurre una vera prioritizzazione basata sul rischio, che tenga conto non solo del punteggio CVSS ma anche di exploitability, presenza in cataloghi KEV, esposizione a Internet e valore dell’asset;
- Integrare vulnerability management e patch management, automatizzando dove possibile l’intero ciclo: scoperta → valutazione → remediation → verifica.
L’obiettivo non è “chiudere tutte le vulnerabilità”, ma ridurre drasticamente il tempo di esposizione per quelle che hanno la combinazione più pericolosa: facili da sfruttare, già weaponized e presenti su sistemi critici o esposti.
Automazione difensiva: usare la stessa arma in modo opposto
Se l’AI aiuta gli attaccanti a comprimere il time‑to‑exploit, può e deve essere usata anche per comprimere il time‑to‑detect e il time‑to‑patch. Le piattaforme moderne di vulnerability management e XDR integrano già funzioni di automazione per:
- Collegare asset discovery, scansioni e inventory, così da avere una mappa aggiornata dei sistemi da proteggere;
- Correlare vulnerabilità con threat intelligence in tempo reale, identificando rapidamente le CVE che stanno iniziando a essere sfruttate in the wild;
- Aprire ticket, orchestrare change e, in alcuni casi, distribuire patch o applicare mitigazioni in modo semi‑automatico, con approvazione umana sui sistemi più sensibili.
Diversi SOC che hanno adottato automazioni di questo tipo riportano una riduzione drastica dei tempi di risposta agli incidenti e alle vulnerabilità emergenti, passando da settimane a ore o minuti, pur con risorse umane limitate. Non è più un “nice to have”, ma una risposta necessaria alla velocità del rischio.
Policy, continuità di business e ruolo del broker
La compressione dei tempi tra CVE e exploit non è solo un tema tecnico: ha implicazioni dirette sulla continuità operativa e sul rischio economico. Per molte imprese, soprattutto PMI e fornitori di servizi digitali, una vulnerabilità non gestita può sfociare in data breach, ransomware, interruzioni prolungate e contenziosi con clienti e partner.
Oltre al rafforzamento dei processi IT, diventa quindi essenziale:
- Collegare il vulnerability management alle policy interne di sicurezza e di change, definendo chi decide cosa si patcha, quando e con quali priorità;
- Prevedere nel piano di continuità operativa scenari legati a vulnerabilità sfruttate (es. indisponibilità di un servizio chiave per giorni);
- Valutare coperture assicurative specifiche (cyber, RC professionale IT, interruzione di esercizio) che tengano conto anche di incidenti originati da vulnerabilità note o zero‑day, in modo da non dover assorbire da soli i costi di risposta, ripristino e risarcimento.
In un’era in cui le CVE possono essere sfruttate nella finestra di un quarto d’ora, la gestione delle vulnerabilità non può più essere un’attività “di contorno”: è uno degli assi portanti della strategia di cyber risk dell’azienda, da integrare con automazione, processi e adeguate tutele contrattuali e assicurative.
