Skip to content
800-011630[email protected]

Diventa cliente

Soluzioni Wholesale

Area riservata

Facebook page opens in new windowTwitter page opens in new windowLinkedin page opens in new window
TeamEis
Sistemi telefonici in cloud, sicurezza Informatica e soluzioni di connettività
TeamEisTeamEis
  • Team Eis
    • Chi siamo
    • Il nostro team
  • Soluzioni
    • SIP Trunk
    • Sicurezza dati e GDPR
    • Connettività ad alte prestazioni
    • Rete e networking
    • Soluzioni IT
    • Assistenza remota
  • Dema UC
    • Cos’è
    • Vantaggi
    • Come funziona
    • Per chi è pensato
    • Prova ora
    • Scarica Dema
  • Blog
  • Contattaci
    • I nostri contatti
    • Ricerca personale
  • Team Eis
    • Chi siamo
    • Il nostro team
  • Soluzioni
    • SIP Trunk
    • Sicurezza dati e GDPR
    • Connettività ad alte prestazioni
    • Rete e networking
    • Soluzioni IT
    • Assistenza remota
  • Dema UC
    • Cos’è
    • Vantaggi
    • Come funziona
    • Per chi è pensato
    • Prova ora
    • Scarica Dema
  • Blog
  • Contattaci
    • I nostri contatti
    • Ricerca personale

Gli elenchi CVE per le Vulnerabilità e le Esposizioni Comuni

Sicurezza Informatica

Nell’ambito della sicurezza informatica, si tende a distinguere tra vulnerabilità ed esposizioni, scopriamo di più!

Una vulnerabilità è una debolezza che può essere sfruttata per ottenere l’accesso non autorizzato o eseguire azioni non autorizzate all’interno di un sistema informatico. Le vulnerabilità possono consentire agli hacker di accedere direttamente a un sistema o una rete, eseguire codice, installare malware e intrufolarsi nei sistemi interni per rubare, distruggere o modificare dati sensibili. In caso di mancato rilevamento di una vulnerabilità, qualunque malintenzionato potrebbe agire come amministratore di sistema, con margini di manovra completi e rischi potenzialmente enormi.
Un’esposizione è un errore che consente a un hacker di accedere a un sistema o ad una rete. Alcune delle più grandi violazioni dei dati sono state causate da un’esposizione accidentale piuttosto che da sofisticati attacchi informatici.
Allo scopo di creare maggiore sinergia attorno ad una questione prioritaria a livello internazionale, sono stati creati gli identificatori CVE. Scopriamo insieme cos’è un CVE e qual è la sua utilità.

Cosa sono gli identificatori CVE

CVE, abbreviazione di Common Vulnerabilities and Exposures, è un elenco di falle di sicurezza di un computer divulgate pubblicamente. Quando qualcuno parla di CVE, si riferisce ad un difetto di sicurezza a cui è stato assegnato un numero ID CVE.
Lanciato per la prima volta nel 1999, gli elenchi CVE sono gestiti dal National Cybersecurity FFRDC (Federally Funded Research and Development Center). CVE è sponsorizzato dal governo federale degli Stati Uniti, con fondi operativi sia del Dipartimento per la sicurezza interna degli Stati Uniti (DHS) che della Cybersecurity and Infrastructure Security Agency (CISA). Gli elenchi CVE sono disponibili pubblicamente e possono essere utilizzati gratuitamente da chiunque.
Un numero CVE identifica in modo univoco una vulnerabilità dall’elenco. CVE fornisce un modo conveniente e affidabile per fornitori, aziende e tutte le altre parti interessate per scambiare informazioni sui problemi di sicurezza informatica. Le aziende in genere utilizzano CVE e i punteggi CVSS corrispondenti per pianificare e definire le priorità nei loro programmi di gestione delle vulnerabilità.
I CVE aiutano i professionisti IT a coordinare i loro sforzi per stabilire le priorità e affrontare queste vulnerabilità per rendere i sistemi informatici più sicuri.

Le vulnerabilità incluse negli elenchi CVE

A ogni CVE viene assegnato un numero noto come CVE Identifier. Gli identificatori CVE sono assegnati da una delle circa 100 autorità di numerazione CVE, note come CNA (Numbering Authorities). Fanno parte dei CNA fornitori IT ma anche organizzazioni di ricerca come le università e le società di sicurezza.
Un identificatore CVE assume la forma di CVE-[Anno]-[Numero]. L’anno rappresenta l’anno in cui è stata segnalata la vulnerabilità. Il numero è un insieme di cifre sequenziali assegnate dalla CNA.
Utilizzando l’ID CVE per una particolare vulnerabilità o esposizione, le organizzazioni possono ottenere informazioni su di essa in modo rapido e accurato da una varietà di fonti di informazioni. In questo modo, gli sforzi vengono coordinati così da stabilire le priorità e affrontare queste vulnerabilità in modo più sicuro.
Ogni anno vengono identificati migliaia di nuovi CVE. Da quando il programma CVE è stato avviato nel 1999, sono stati emessi oltre 130.000 identificatori CVE. Negli ultimi anni, ci sono stati in media 12.000-15.000 nuovi CVE all’anno.

La stragrande maggioranza dei CVE segnalati riguardano le grandi aziende produttrici di software. Nelle varie linee di prodotto Microsoft e Oracle, ad esempio, sono stati segnalati oltre 6000 CVE. Non a caso, l’elenco completo delle CNA include molti brand familiari, tra cui Adobe, Apple, Dell, Facebook, Google, Intel e tanti altri ancora.

I Common Vulnerabilities Scoring System

Esistono diversi modi per valutare la gravità di una vulnerabilità. Uno di questi è il Common Vulnerability Scoring System (CVSS), un insieme di standard aperti per assegnare un punteggio ad una vulnerabilità e valutarne la gravità.
CVSS è composto da tre gruppi di metriche: Base, Temporale e Ambientale. Le metriche di base vengono utilizzate per misurare le qualità intrinseche di una vulnerabilità e non cambiano nel tempo. Con le metriche temporali si misura l’evoluzione temporale di una vulnerabilità. Infine, le metriche ambientali prevedono una misurazione della vulnerabilità che può essere influenzata dall’ambiente in cui si trova l’utente.
Le metriche Base producono un punteggio che va da 0 a 10, che può poi essere modificato assegnando un punteggio alle metriche Temporale e Ambientale. Ad un numero più alto corrisponde un grado più elevato di gravità della vulnerabilità.
CVSS è il sistema di misurazione standard per industrie, organizzazioni e governi che necessitano di ottenere punteggi di gravità della vulnerabilità accurati e coerenti. Lo standard CVSS è utilizzato per il calcolo della gravità delle vulnerabilità scoperte sui sistemi ma anche come fattore nella definizione delle priorità per la correzione delle vulnerabilità.

Post navigation

PreviousPrevious post:Il malware Emotet e i danni che può causareNextNext post:Come devono essere protetti i dati critici aziendali?

Forse ti potrebbe interessare anche

Data Sovereignty
Sovranità dei dati o Data Sovereignty: capiamo in cosa consiste
24 Febbraio 2022
Quando un’azienda deve valutare un servizio di Disaster Recovery as-a-Service (DRaaS)
17 Febbraio 2022
Ultimi post
  • la sicurezza informatica
    Come navigare in sicurezza su internet e proteggere i propri dati
    3 Ottobre 2021
  • numerazione voip
    La numerazione VOIP per le telefonate via internet
    3 Settembre 2021
  • processi di digitalizzazione delle aziende
    Processo di digitalizzazione delle aziende italiane: a che punto siamo?
    28 Marzo 2021
  • dipendente analizza il monitoraggio dei dati nell'ultimo periodo sullo smart working nella sua azienda
    Come procede lo Smart working in PA? I dati del monitoraggio
    3 Marzo 2021
Team EIS Srl
Sistemi per Comunicare.

Centralini VoIP, Sistemi di Comunicazione e Collaborazione in Cloud, Sicurezza Informatica, Connettività

Sede Legale: Largo Perlar, 12 – 37135 Verona
C.F. / P. IVA: 04219470236

  • Privacy Policy Cookie Policy

Find us on:

Facebook page opens in new windowTwitter page opens in new windowLinkedin page opens in new windowMail page opens in new window
Informazioni per il consumatore
  • Case study
  • Carta dei Servizi
  • Condizioni contrattuali
  • Misura Internet
  • DBU e Registro Opposizioni
  • Chi siamo
Cisco Selected Partner
© Team Eis S.r.l. Sistemi per comunicare | [email protected] | N° iscrizione ROC 26740 AGCOM Prot. Nr 0055689 | Data iscrizione ROC 21/10/2016