Una checklist ben fatta per il vulnerability assessment di rete è uno strumento pratico per garantire che l’intero processo sia completo, ripetibile e allineato agli obiettivi di sicurezza dell’organizzazione. Questa introduzione fornisce il contesto e i principi guida: definire chiaramente ambito e obiettivi, identificare asset e servizi critici, scegliere tecniche e strumenti adeguati (scansione autenticata vs non autenticata, test passivi e attivi), e prevedere fasi di validazione e reporting.
La checklist deve inoltre incorporare aspetti procedurali e normativi: ottenere autorizzazioni, pianificare finestre operative, preservare l’integrità dei sistemi testati, e documentare risultati, falsi positivi e raccomandazioni di mitigazione con priorità basate sul rischio. Infine, per mantenere efficacia nel tempo, la checklist va rivista periodicamente e integrata con lesson learned e aggiornamenti su nuove vulnerabilità e controlli di difesa.
Come scrivere una Checklist per il vulnerability assessment di rete
Per costruire una checklist efficace per un vulnerability assessment di rete è necessario procedere con un approccio metodico e documentato che copra l’intero ciclo di valutazione, dalla pianificazione alla verifica della remediation, integrando considerazioni tecniche, operative e normative. Innanzitutto occorre definire con chiarezza gli obiettivi del controllo e i confini operativi: determinare quali domini di rete, sistemi e servizi rientrano nell’ambito della valutazione, quali criteri di successo saranno applicati e quali vincoli legali o di business devono essere rispettati. La raccolta delle informazioni preliminari deve essere esaustiva e comprendere l’inventario degli asset rilevanti, la topologia di rete, i protocolli e le applicazioni in uso, i modelli di autenticazione e accesso, nonché le relazioni con servizi esterni o cloud; questa base informativa è imprescindibile per definire controlli mirati e per evitare falsi positivi e negativi durante le fasi successive.
Una volta stabilito lo scope, la checklist deve tradurre gli obiettivi e le informazioni raccolte in controlli misurabili e ripetibili. Ogni voce della checklist dovrebbe indicare l’elemento da verificare, il metodo di verifica consentito (per esempio analisi passiva, scansione autenticata, revisione di configurazioni, valutazione di policy), i criteri di accettazione o di tolleranza del rischio, la fonte normativa o tecnica di riferimento e il grado di impatto atteso in caso di rilevamento. È fondamentale includere note sulle condizioni operative e sulle precauzioni da adottare durante i test per limitare l’impatto sui sistemi produttivi e per rispettare eventuali finestre di manutenzione o procedure di comunicazione con il personale operativo.
La progettazione della checklist deve contemplare diversi livelli di profondità e modalità di verifica: controlli superficiali per individuare errori evidenti e controlli approfonditi per valutazioni di configurazioni, patch management e vulnerabilità logiche. Bisogna specificare quando è necessario impiegare credenziali per test autenticati e quali privilegi sono consentiti, definire le piattaforme e gli strumenti supportati e indicare le metriche di riferimento per la gravità e la priorità dei problemi individuati, includendo metodologie di scoring accettate e adattamenti legati al contesto aziendale. La checklist deve anche stabilire procedure per la gestione delle eccezioni, l’identificazione e la segnalazione di eventuali impatti immediati riscontrati durante le procedure, e per l’attivazione di azioni di containment temporaneo se vengono scoperte condizioni critiche.
Nella fase di esecuzione il documento deve guidare l’operatore su come registrare i risultati: quali dati raccogliere, in che formato, quali evidenze conservare e come documentare i test ripetuti. Devono essere previste istruzioni per la validazione dei ritrovamenti, incluse tecniche per la verifica delle segnalazioni e procedure per la riduzione dei falsi positivi. La checklist deve inoltre indicare i tempi entro cui le vulnerabilità devono essere classificate e comunicate ai responsabili di remediation, le modalità di escalation per criticità elevate e i requisiti minimi per i piani di correzione, con indicazione delle metriche utili per misurare l’efficacia degli interventi di mitigazione.
È altrettanto importante che la checklist incorpori controlli relativi alla gestione del rischio e alla conformità: collegare le evidenze raccolte ai requisiti normativi e alle policy interne, segnalare gap di controllo e suggerire misure organizzative oltre che tecniche. La documentazione finale prodotta seguendo la checklist deve fornire una narrazione chiara del processo seguito, la lista delle verifiche effettuate, la classificazione delle vulnerabilità riscontrate, le raccomandazioni prioritarie per la remediation e le metriche per il monitoraggio continuo. Infine il documento deve prevedere revisioni periodiche della checklist stessa, definendo criteri per l’aggiornamento in funzione dell’evoluzione tecnologica, dei cambiamenti nella superficie di attacco e delle lezioni apprese dalle valutazioni precedenti, garantendo così che resti uno strumento aderente al rischio reale e operativo dell’organizzazione.
Esempio di Checklist per il vulnerability assessment di rete
Informazioni generali
– Data valutazione: _____________
– Valutatore/responsabile: _____________
– Cliente/organizzazione: _____________
– Punto di contatto (nome/email/telefono): _____________
– Ambito (segmenti di rete, VLAN, range IP): _____________
– Asset critici inclusi: _____________
– Esclusioni (se presenti): _____________
– Autorizzazione formale (referenza/ID): _____________
– Durata prevista e finestre operative: _____________
Regole di ingaggio e prerequisiti
– Tipo di test autorizzato (non-intrusivo / intrusivo / pentest): _____________
– Orari/periodi vietati per test: _____________
– Contromisure a limitare (es. non eseguire exploit di Denial of Service): _____________
– Backup e piani di rollback confermati: _____________
– Notifiche a team operativi/ISP effettuate: _____________
– Monitoring/IDS configurazioni da disabilitare o filtrare (se applicabile): _____________
Strumenti, credenziali e accessi
– Scanner automatizzati previsti (es. Nessus, OpenVAS, Qualys): _____________
– Strumenti manuali previsti (es. Nmap, Metasploit, Burp): _____________
– Credenziali fornite (scope e privilegi): _____________
– Accesso remoto (jump hosts, bastion): _____________
– Giustificativo legale/contrattuale per test: _____________
Controlli preliminari (Discovery & Inventory)
Per ciascun elemento indicare: Risultato (Sì/No/NA): _____________ — Note/Dettagli: _____________
– Scansione di rete (host attivi identificati)
– Inventario dei dispositivi (router, switch, firewall, server, endpoint)
– Identificazione servizi/porte esposte
– Rilevamento sistemi operativi e versioni
– Mappatura VLAN e segmentazione
– Verifica indirizzi IP pubblici e servizi esposti su Internet
Vulnerability scanning (automated)
Per ciascun elemento indicare: Risultato (Sì/No/NA): _____________ — Note/Dettagli: _____________
– Scansione non autenticata completata
– Scansione autenticata completata
– Taratura false positive/false negative
– Threshold CVSS usato per evidenziare criticità: _____________
– Lista CVE rilevanti e prioritarie
Verifica manuale e sfruttabilità
Per ciascun elemento indicare: Risultato (Sì/No/NA): _____________ — Note/Dettagli: _____________
– Conferma manuale delle vulnerabilità critiche
– Prove di concetto o exploit controllati (descrivere limiti): _____________
– Possibilità di escalation di privilegi locali
– Possibilità di movimento laterale nell’ambiente
– Esfiltrazione test (consenso richiesto) eseguita: _____________
Controlli configurazione rete e dispositivi
Per ciascun elemento indicare: Risultato (Sì/No/NA): _____________ — Note/Dettagli: _____________
– Regole firewall: eccesso di porte aperte/servizi non autorizzati
– ACL router/switch: restrizioni corrette tra segmenti
– Configurazioni di NAT/port-forwarding sicure
– Segregazione rete (ambienti produzione/test/supli)
– Firmware/patching dispositivi di rete aggiornati
– Accesso amministrativo protetto (console/SSH/TACACS/RADIUS)
– Protocollo di gestione non sicuro (Telnet, HTTP) presente
Servizi e protocolli
Per ciascun elemento indicare: Risultato (Sì/No/NA): _____________ — Note/Dettagli: _____________
– Servizi SMB/NetBIOS: versioni e esposizione
– SSH: versioni, ciphers e autenticazione
– RDP: esposizione, Network Level Auth, brute-force protection
– DNS: zone transfer aperte, cache poisoning rischi
– SNMP: community string di default/vers. non sicure
– NTP: configurazione e spoofing possibile
– LDAP/Active Directory: replica sicura, anon bind, ACL
– HTTP/HTTPS: redirect, HSTS, header di sicurezza, TLS versioni/cipher
– Certificati TLS: validità, chain, configurazione sicura
Autenticazione e controllo accessi
– Password di servizio/di default presenti: _____________
– Policy password (complessità/aging): _____________
– MFA/2FA attivo per accessi critici: _____________
– Session management (timeout, cookie sicuri): _____________
– Account inattivi/disused identificati: _____________
Sicurezza endpoint e server
– Patch management: percentuale host aggiornati: _____________
– Servizi non necessari disabilitati
– Antivirus/EDR presente e aggiornato
– Hardening OS e CIS benchmark applicati
– Backup configurati e test restore pianificati
Sicurezza applicativa e web
– Scansione vulnerabilità web eseguita (OWASP Top 10): _____________
– Input validation, XSS, SQLi, CSRF testati
– Endpoint API autenticati e rate-limited
– Headers di sicurezza applicati (CSP, X-Frame-Options, etc.)
Wireless
– SSID pubblici/privati separati: _____________
– Crittografia WPA2/WPA3 utilizzata
– WPS disabilitato
– Rilevamento AP non autorizzati e rogue AP
VPN e accesso remoto
– Configurazione VPN (split-tunnel, cifratura)
– Accessi remoti con autenticazione forte
– Session logging e controllo dei client connessi
Monitoraggio, logging e rilevamento
– Centralizzazione dei log (SIEM): _____________
– Retention log conforme policy: _____________
– Alerting su eventi critici attivo e testato
– Backup dei log (immutabilità) presente
Resilienza e continuità operativa
– Pianificazione Disaster Recovery testata
– Ridondanza componenti critici
– Protezioni DoS/DDos e limiti di banda configurati
Fisico e gestione accessi
– Controlli accesso data center/armadi di rete
– CCTV e registro accessi fisici
– Protezione apparecchiature da manomissione
Social engineering e test umano
– Phishing/spearphishing autorizzato: _____________
– Test di tailgating fisico autorizzato: _____________
– Risultati e impatto dei test social engineering: _____________
Conformità e requisiti normativi
– Controlli GDPR/PDPA rilevanti verificati
– Requisiti PCI-DSS (se applicabile) verificati
– Requisiti ISO27001/other compliance: _____________
Classificazione rischi e prioritarizzazione
– Metodo di scoring usato (CVSS / qualitativo): _____________
– Soglie per criticità (alta/media/bassa): _____________
– Elenco vulnerabilità critiche con impatto e probabilità: _____________
Piano di remediation e follow-up
Per ogni vulnerabilità principale indicare:
– ID vulnerabilità: _____________
– Descrizione sintetica: _____________
– Severità assegnata: _____________
– Owner responsabile remediation: _____________
– Azione raccomandata: _____________
– Data prevista risoluzione: _____________
– Data verifica/ripentest: _____________
– Stato finale (Aperto/In Lavorazione/Risolv.): _____________
– Note aggiuntive: _____________
Consegne e reportistica
– Report tecnico dettagliato (incluso PoC) da consegnare: _____________
– Executive summary per management: _____________
– Formato e scadenza consegna report: _____________
– Meeting di handover pianificato: data _____________, partecipanti _____________
Valutazione finale e accettazione
– Rischio residuo accettato dal cliente (Sì/No): _____________
– Azioni a lungo termine raccomandate: _____________
– Firma del valutatore: _____________
– Firma del referente cliente: _____________
– Data chiusura assessment: _____________
Note generali e osservazioni
– Osservazioni, vincoli o anomalie riscontrate non classificate: _____________
– Materiale/strumenti generati durante test e loro conservazione: _____________
