I dati dimostrano che i modelli tradizionali di remediation non sono più in grado di reggere il confronto con le minacce moderne. Serve un cambio di paradigma: sfruttare AI e automazione per anticipare gli attaccanti e ridurre l’esposizione al rischio reale
La Threat Research Unit (TRU) di Qualys annuncia la pubblicazione di “The Broken Physics of Remediation”, un ampio studio condotto sulle dinamiche di rilevamento e mitigazione delle vulnerabilità in ambito enterprise. L’analisi è costruita su oltre 1 miliardo di record CISA KEV, raccolti tra il 2022 e il 2025, e abbraccia più di 10.000 organizzazioni a livello globale.
I risultati rivelano una realtà difficile da ignorare: nonostante gli indiscutibili progressi compiuti nell’efficienza operativa, le organizzazioni faticano ancora a tenere il passo con la velocità con cui gli attaccanti sfruttano le vulnerabilità.
Il divario crescente tra rischio ed efficacia operativa
Negli ultimi quattro anni, il volume delle vulnerabilità gestite è cresciuto di 6,5 volte: dai 73 milioni di eventi del 2022 si è passati ai 473 milioni del 2025. Una crescita che ha ampiamente superato la capacità di risposta delle organizzazioni: nel 2025, il 63% delle vulnerabilità critiche risultava ancora aperto a sette giorni dalla segnalazione, un dato in netto peggioramento rispetto al 56% rilevato nel 2022.
A rendere il quadro ancora più preoccupante è il crollo del Time-to-Exploit medio a -1 giorno: gli attaccanti riescono oggi a sfruttare le vulnerabilità prima ancora che vengano rese pubbliche, rendendo di fatto inutile qualsiasi strategia di risposta reattiva.
I limiti strutturali della remediation manuale
Lo studio dimostra in modo inequivocabile che i processi manuali hanno raggiunto il proprio limite strutturale. I tempi di chiusura delle vulnerabilità risultano mediamente da quattro a cinque volte superiori alla mediana, a causa delle inefficienze accumulate nella coda lunga delle operazioni. Nei casi più gravi, come quello della vulnerabilità Spring4Shell, la remediation ha richiesto fino a 266 giorni dall’identificazione.
Analizzando 52 vulnerabilità attivamente sfruttate, lo studio evidenzia che nell’88% dei casi i processi di remediation manuale non sono stati in grado di tenere il passo con la velocità degli attaccanti. A rendere il quadro ancora più critico, la metà di queste vulnerabilità era già stata sfruttata prima che venisse resa pubblica qualsiasi informazione al riguardo.
Nuove metriche per misurare l’esposizione reale al rischio
Per colmare le lacune delle metriche tradizionali — prima fra tutte il MTTR (Mean Time to Remediation), che misura la velocità operativa ma non cattura la durata effettiva dell’esposizione — Qualys introduce due nuovi indicatori complementari:
- Average Window of Exposure (AWE): misura l’intera finestra temporale di esposizione, dal momento in cui una vulnerabilità diventa sfruttabile fino alla sua effettiva risoluzione su tutti gli asset coinvolti.
- Risk Mass: quantifica il rischio cumulativo assorbito dall’organizzazione durante l’intero ciclo di remediation, mettendo in relazione il numero di asset vulnerabili con i giorni di esposizione.
I dati raccolti tramite l’AWE dipingono uno scenario preoccupante: all’atto della disclosure pubblica, l’85% degli asset vulnerabili non è ancora stato patchato. Dopo 21 giorni, un terzo degli asset rimane ancora esposto; a 90 giorni, la quota scende al 12%, ma continua a rappresentare una superficie di attacco tutt’altro che trascurabile.
Una superficie di attacco in rapida espansione
Dal 2022 a oggi, la superficie di attacco media delle organizzazioni è più che triplicata. I team di sicurezza stanno migliorando velocità ed efficienza operativa, ma questi progressi non bastano a compensare la crescita esponenziale del rischio, che continua ad avanzare a un ritmo superiore alla capacità di risposta.
Tra le categorie di asset più a rischio spiccano i dispositivi edge — firewall, VPN e gateway — che costituiscono il varco diretto verso le reti interne aziendali. La stragrande maggioranza delle vulnerabilità che li affligge viene sfruttata dagli attaccanti prima ancora che sia disponibile una disclosure pubblica, e questo avviene nonostante i tempi medi di remediation per questi sistemi siano relativamente più contenuti rispetto alla baseline KEV.
Meno dell’1% delle vulnerabilità rappresenta un rischio concreto e immediato
Delle oltre 48.000 vulnerabilità identificate nel 2025, soltanto 357 — pari allo 0,74% del totale — risultano effettivamente sfruttabili da remoto e attivamente utilizzate dagli attaccanti, con prove di exploitation confermate in ambienti reali. Questo dato sottolinea con forza l’urgenza di adottare modelli di prioritizzazione fondati sul rischio reale e contestuale, piuttosto che su semplici indicatori di severity.
La strada da percorrere: automazione, AI e un nuovo modello operativo
Lo studio dimostra che il divario tra attacco e difesa può essere colmato soltanto attraverso un cambio di paradigma radicale. Significativo, in questo senso, il fatto che il 15% delle organizzazioni analizzate sia riuscito a patchare le vulnerabilità prima ancora della loro inclusione nel catalogo KEV: una prova concreta che un approccio diverso è non solo auspicabile, ma già praticato con successo.
La risposta risiede nell’adozione di automazione avanzata e intelligenza artificiale integrate in un modello operativo end-to-end: il Risk Operations Center (ROC). Questo approccio — al centro della Qualys Enterprise TruRisk Platform — consente di identificare, confermare e risolvere le minacce realmente critiche alla velocità della macchina, eliminando i colli di bottiglia imposti dai processi manuali e riducendo drasticamente i tempi di esposizione.
Conclusioni
“The Broken Physics of Remediation” porta alla luce una verità ormai impossibile da ignorare: il modello operativo attuale non è più in grado di fronteggiare un panorama di minacce in costante e rapida evoluzione. Le organizzazioni che continueranno ad affidarsi esclusivamente a processi manuali si troveranno strutturalmente in svantaggio rispetto ad attaccanti che operano già alla velocità delle macchine. Solo attraverso l’innovazione tecnologica, l’automazione e un approccio genuinamente orientato al rischio reale sarà possibile ristabilire un equilibrio sostenibile tra velocità di attacco e capacità di difesa.
