Gli elenchi CVE per le Vulnerabilità e le Esposizioni Comuni

Nell’ambito della sicurezza informatica, si tende a distinguere tra vulnerabilità ed esposizioni, scopriamo di più!

Una vulnerabilità è una debolezza che può essere sfruttata per ottenere l’accesso non autorizzato o eseguire azioni non autorizzate all’interno di un sistema informatico. Le vulnerabilità possono consentire agli hacker di accedere direttamente a un sistema o una rete, eseguire codice, installare malware e intrufolarsi nei sistemi interni per rubare, distruggere o modificare dati sensibili. In caso di mancato rilevamento di una vulnerabilità, qualunque malintenzionato potrebbe agire come amministratore di sistema, con margini di manovra completi e rischi potenzialmente enormi.
Un’esposizione è un errore che consente a un hacker di accedere a un sistema o ad una rete. Alcune delle più grandi violazioni dei dati sono state causate da un’esposizione accidentale piuttosto che da sofisticati attacchi informatici.
Allo scopo di creare maggiore sinergia attorno ad una questione prioritaria a livello internazionale, sono stati creati gli identificatori CVE. Scopriamo insieme cos’è un CVE e qual è la sua utilità.

Cosa sono gli identificatori CVE

CVE, abbreviazione di Common Vulnerabilities and Exposures, è un elenco di falle di sicurezza di un computer divulgate pubblicamente. Quando qualcuno parla di CVE, si riferisce ad un difetto di sicurezza a cui è stato assegnato un numero ID CVE.
Lanciato per la prima volta nel 1999, gli elenchi CVE sono gestiti dal National Cybersecurity FFRDC (Federally Funded Research and Development Center). CVE è sponsorizzato dal governo federale degli Stati Uniti, con fondi operativi sia del Dipartimento per la sicurezza interna degli Stati Uniti (DHS) che della Cybersecurity and Infrastructure Security Agency (CISA). Gli elenchi CVE sono disponibili pubblicamente e possono essere utilizzati gratuitamente da chiunque.
Un numero CVE identifica in modo univoco una vulnerabilità dall’elenco. CVE fornisce un modo conveniente e affidabile per fornitori, aziende e tutte le altre parti interessate per scambiare informazioni sui problemi di sicurezza informatica. Le aziende in genere utilizzano CVE e i punteggi CVSS corrispondenti per pianificare e definire le priorità nei loro programmi di gestione delle vulnerabilità.
I CVE aiutano i professionisti IT a coordinare i loro sforzi per stabilire le priorità e affrontare queste vulnerabilità per rendere i sistemi informatici più sicuri.

Le vulnerabilità incluse negli elenchi CVE

A ogni CVE viene assegnato un numero noto come CVE Identifier. Gli identificatori CVE sono assegnati da una delle circa 100 autorità di numerazione CVE, note come CNA (Numbering Authorities). Fanno parte dei CNA fornitori IT ma anche organizzazioni di ricerca come le università e le società di sicurezza.
Un identificatore CVE assume la forma di CVE-[Anno]-[Numero]. L’anno rappresenta l’anno in cui è stata segnalata la vulnerabilità. Il numero è un insieme di cifre sequenziali assegnate dalla CNA.
Utilizzando l’ID CVE per una particolare vulnerabilità o esposizione, le organizzazioni possono ottenere informazioni su di essa in modo rapido e accurato da una varietà di fonti di informazioni. In questo modo, gli sforzi vengono coordinati così da stabilire le priorità e affrontare queste vulnerabilità in modo più sicuro.
Ogni anno vengono identificati migliaia di nuovi CVE. Da quando il programma CVE è stato avviato nel 1999, sono stati emessi oltre 130.000 identificatori CVE. Negli ultimi anni, ci sono stati in media 12.000-15.000 nuovi CVE all’anno.

La stragrande maggioranza dei CVE segnalati riguardano le grandi aziende produttrici di software. Nelle varie linee di prodotto Microsoft e Oracle, ad esempio, sono stati segnalati oltre 6000 CVE. Non a caso, l’elenco completo delle CNA include molti brand familiari, tra cui Adobe, Apple, Dell, Facebook, Google, Intel e tanti altri ancora.

I Common Vulnerabilities Scoring System

Esistono diversi modi per valutare la gravità di una vulnerabilità. Uno di questi è il Common Vulnerability Scoring System (CVSS), un insieme di standard aperti per assegnare un punteggio ad una vulnerabilità e valutarne la gravità.
CVSS è composto da tre gruppi di metriche: Base, Temporale e Ambientale. Le metriche di base vengono utilizzate per misurare le qualità intrinseche di una vulnerabilità e non cambiano nel tempo. Con le metriche temporali si misura l’evoluzione temporale di una vulnerabilità. Infine, le metriche ambientali prevedono una misurazione della vulnerabilità che può essere influenzata dall’ambiente in cui si trova l’utente.
Le metriche Base producono un punteggio che va da 0 a 10, che può poi essere modificato assegnando un punteggio alle metriche Temporale e Ambientale. Ad un numero più alto corrisponde un grado più elevato di gravità della vulnerabilità.
CVSS è il sistema di misurazione standard per industrie, organizzazioni e governi che necessitano di ottenere punteggi di gravità della vulnerabilità accurati e coerenti. Lo standard CVSS è utilizzato per il calcolo della gravità delle vulnerabilità scoperte sui sistemi ma anche come fattore nella definizione delle priorità per la correzione delle vulnerabilità.