FAQ

La classificazione CWE serve a standardizzare la comprensione delle vulnerabilità di sicurezza nei sistemi informatici. Aiuta sviluppatori, tester e analisti a identificare gli errori di progettazione o di codifica comuni, al fine di evitarli o correggerli più efficacemente. Grazie a questa tassonomia, gli strumenti di sicurezza possono produrre report coerenti e utilizzabili.

È anche molto utile per la formazione dei team tecnici, la valutazione degli strumenti di rilevamento, la priorizzazione dei rischi e la conformità a determinati standard come ISO/IEC 27001. Integrando i CWE nei processi di sviluppo, è possibile migliorare significativamente la sicurezza fin dalla fase di progettazione.

I pattern di attacco CAPEC servono a documentare le tattiche e le tecniche utilizzate dagli attaccanti per sfruttare i sistemi. Studiandoli, gli analisti della sicurezza, gli sviluppatori e gli architetti possono comprendere gli obiettivi di un attacco, le sue fasi tipiche e le vulnerabilità sfruttate. Ciò consente di anticipare le minacce e di progettare contromisure più efficaci.

Sono anche utili per la formazione, l'analisi dei rischi, la simulazione di attacchi (red teaming) o l'implementazione di controlli di sicurezza difensivi. Collegando i CAPEC ai CWE e ai CVE, è possibile stabilire una catena completa che va dalla debolezza allo sfruttamento concreto, il che arricchisce gli approcci di threat modeling o di sicurezza by design.

Gli identificativi CVE sono assegnati da un'organizzazione americana senza scopo di lucro chiamata MITRE Corporation, che gestisce il programma CVE per conto della Cybersecurity and Infrastructure Security Agency (CISA). MITRE non distribuisce da sola tutti gli identificativi: si affida a una rete di partner chiamati CNA (CVE Numbering Authorities).

Un CNA può essere un produttore di software, un fornitore di sicurezza, un CERT o un'organizzazione specializzata in vulnerabilità. Ogni CNA è autorizzato ad assegnare identificativi CVE per le vulnerabilità scoperte nei propri prodotti o nel proprio ambito. Questo sistema permette di accelerare la segnalazione delle falle mantenendo una struttura centralizzata tramite MITRE.

Il punteggio CVSS è generalmente definito dall'organizzazione che pubblica la vulnerabilità, spesso un CNA (CVE Numbering Authority) o l'editore del software interessato. Inoltre, entità come il NVD (National Vulnerability Database) ricalcolano o modificano a volte i punteggi per garantire una coerenza tra i CVE pubblicati.

Strumenti automatizzati consentono anche a ricercatori indipendenti, analisti SOC o fornitori di sicurezza di ricalcolare un punteggio sulla base del vettore CVSS pubblicato. Ciò significa che uno stesso CVE può avere diversi punteggi leggermente differenti a seconda del contesto e del valutatore, il che spinge a incrociare le fonti per le decisioni critiche.

L'elenco CWE è gestito dalla MITRE Corporation, la stessa organizzazione che gestisce il programma CVE. MITRE è supportata dal Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) e da altri attori pubblici e privati per sviluppare e aggiornare questa base di conoscenza.

Anche la comunità svolge un ruolo chiave: ricercatori, editori, governi e industriali possono proporre nuove vulnerabilità, suggerire modifiche o condividere feedback sull'utilità delle voci esistenti. La base è pubblica, accessibile liberamente online e continuamente arricchita per riflettere l'evoluzione delle tecnologie e delle tecniche di attacco.

Il modello EPSS è sviluppato e mantenuto dalla comunità FIRST (Forum of Incident Response and Security Teams), in collaborazione con ricercatori, analisti di dati e professionisti della cybersecurity. Si tratta di un progetto aperto e collaborativo, i cui metodi sono documentati pubblicamente e i risultati aggiornati regolarmente.

Questo modello si basa su dati statistici massivi e tecniche di machine learning. È progettato per essere trasparente, riproducibile e accessibile gratuitamente, il che lo rende uno strumento affidabile e adatto alle esigenze operative dei team di sicurezza, anche al di fuori del perimetro americano o governativo.

I professionisti della cybersecurity sono i principali utilizzatori dei CAPEC: analisti SOC, esperti di penetration testing, architetti della sicurezza, sviluppatori, formatori o team di threat intelligence. Li utilizzano per comprendere le tattiche degli avversari, preparare scenari di test e rafforzare le difese.

Ad esempio, un pentester può utilizzare un CAPEC per strutturare un attacco simulato secondo uno scenario realistico. Uno sviluppatore può trovarvi indicazioni sugli errori di progettazione da evitare. Un CISO può integrarli nelle analisi dei rischi per illustrare meglio le potenziali conseguenze di una debolezza tecnica.

Per sapere se una CVE è attivamente sfruttata, è possibile consultare diverse fonti di informazione. La più affidabile è la base KEV (Known Exploited Vulnerabilities) gestita dalla CISA, che elenca le CVE il cui sfruttamento è confermato in natura. Viene aggiornata regolarmente ed è spesso utilizzata per stabilire le priorità di correzione. Queste informazioni sono direttamente accessibili sul nostro sito Internet CVE Find.

Si può anche fare affidamento sul punteggio EPSS, che stima la probabilità di sfruttamento di una CVE nei 30 giorni successivi alla sua pubblicazione, basato su dati reali. Infine, strumenti di threat intelligence, rapporti di CERT o bollettini di sicurezza degli editori possono anche segnalare se una vulnerabilità è attualmente utilizzata dagli attaccanti.

Lo sfruttamento di una zero-day si basa sullo sviluppo di un exploit specifico, ovvero un codice o un metodo in grado di sfruttare la vulnerabilità prima che venga corretta. L'attaccante può integrarlo in un documento compromesso, un sito web, un malware o un'email di phishing.

Una volta lanciato l'exploit, può consentire di prendere il controllo del sistema, installare un cavallo di Troia, aprire una backdoor o estrarre dati. La particolarità di un exploit zero-day è che sfugge ai meccanismi di rilevamento classici, poiché si basa su una debolezza ancora sconosciuta a tutti.

Le CWE sono integrate in numerosi strumenti di analisi del codice sorgente, di audit di sicurezza o di gestione delle vulnerabilità, per identificare automaticamente le potenziali debolezze nei software. Comprendendo quali CWE sono presenti in un sistema, i team possono stimare la superficie di attacco, anticipare le minacce future e dare priorità alle correzioni prima che una falla diventi una CVE sfruttabile.

Permettono inoltre di stabilire profili di rischio per progetti o prodotti, in base alla natura e al numero di debolezze identificate. Ciò facilita il processo decisionale per i CISO, i CIO o i responsabili della conformità, in particolare nelle iniziative DevSecOps o durante le valutazioni secondo framework come NIST o ISO 27002.

Il processo di pubblicazione di un CVE inizia generalmente con la presentazione di un rapporto di vulnerabilità a un CNA o direttamente a MITRE. Se la falla viene riconosciuta come legittima, viene riservato un identificativo CVE. A questo punto, il CVE può rimanere "riservato" per un certo periodo, in attesa della convalida tecnica, dell'accordo delle parti interessate o della disponibilità di una correzione.

Una volta verificate tutte le informazioni, il CVE viene reso pubblico tramite il sito ufficiale di MITRE (cve.org) e altre piattaforme come NVD (National Vulnerability Database) o CVE Find. Include una breve descrizione tecnica della vulnerabilità, la data di pubblicazione, i prodotti interessati e talvolta riferimenti a correzioni o avvisi di sicurezza.

I punteggi EPSS vengono aggiornati quotidianamente, riflettendo la natura dinamica delle minacce e dello sfruttamento delle vulnerabilità. In qualsiasi momento, un cambiamento nel panorama degli attacchi (pubblicazione di un exploit, discussione su un forum, rilevamento in honeypot) può far variare la probabilità che una CVE venga presa di mira.

Questo aggiornamento frequente rende l'EPSS uno strumento più reattivo del CVSS, i cui punteggi cambiano raramente una volta pubblicati. Per sfruttare appieno l'EPSS, si consiglia pertanto di integrare feed o API automatizzate per monitorare continuamente i punteggi.

La CISA (Cybersecurity and Infrastructure Security Agency) è un'agenzia governativa americana. È incaricata di proteggere le infrastrutture critiche degli Stati Uniti contro le minacce cyber e fisiche, fornendo supporto, strumenti e raccomandazioni alle amministrazioni, alle aziende e al pubblico.

Nel campo della cybersecurity, la CISA agisce come un centro di coordinamento per prevenire gli attacchi informatici, reagire agli incidenti, condividere informazioni sulle minacce e promuovere le migliori pratiche di sicurezza. Sebbene americana, il suo ruolo e le sue risorse influenzano le pratiche di cybersecurity a livello globale, grazie alla sua trasparenza e alla sua leadership.

Il CWE Top 25 è una lista annuale delle 25 debolezze più pericolose in materia di sicurezza del software. È stilata da MITRE a partire da dati pubblici provenienti dal NVD (National Vulnerability Database) e da altre fonti, analizzando la frequenza e l'impatto delle debolezze associate a CVE reali.

Questa classifica è preziosa per gli sviluppatori e i team di sicurezza, poiché mette in luce gli errori più comuni e critici, come le injection, i buffer overflow o i problemi di autenticazione. Concentrandosi su queste debolezze prioritarie, le organizzazioni possono migliorare rapidamente la loro postura di sicurezza, anche con risorse limitate.

Una CVE (Common Vulnerabilities and Exposures) è un identificativo univoco assegnato a una vulnerabilità nota in un sistema informatico, un software o un hardware. Permette di nominare e tracciare precisamente una falla, anche quando è trattata da diversi fornitori, strumenti o database. Ogni CVE segue il formato CVE-anno-numero, come ad esempio CVE-2023-12345.

Lo scopo delle CVE è di uniformare la comunicazione riguardo alle falle di sicurezza: invece di utilizzare descrizioni variabili, tutti gli attori possono fare riferimento allo stesso identificativo. Ciò facilita il coordinamento tra i ricercatori, gli editori di software, i team di sicurezza e i fornitori di soluzioni di sicurezza.