FAQ

FAQ : Informazioni/CVE

Gli identificativi CVE sono assegnati da un'organizzazione americana senza scopo di lucro chiamata MITRE Corporation, che gestisce il programma CVE per conto della Cybersecurity and Infrastructure Security Agency (CISA). MITRE non distribuisce da sola tutti gli identificativi: si affida a una rete di partner chiamati CNA (CVE Numbering Authorities).

Un CNA può essere un produttore di software, un fornitore di sicurezza, un CERT o un'organizzazione specializzata in vulnerabilità. Ogni CNA è autorizzato ad assegnare identificativi CVE per le vulnerabilità scoperte nei propri prodotti o nel proprio ambito. Questo sistema permette di accelerare la segnalazione delle falle mantenendo una struttura centralizzata tramite MITRE.

#CVE #CISA #CNA #MITRE

Il processo di pubblicazione di un CVE inizia generalmente con la presentazione di un rapporto di vulnerabilità a un CNA o direttamente a MITRE. Se la falla viene riconosciuta come legittima, viene riservato un identificativo CVE. A questo punto, il CVE può rimanere "riservato" per un certo periodo, in attesa della convalida tecnica, dell'accordo delle parti interessate o della disponibilità di una correzione.

Una volta verificate tutte le informazioni, il CVE viene reso pubblico tramite il sito ufficiale di MITRE (cve.org) e altre piattaforme come NVD (National Vulnerability Database) o CVE Find. Include una breve descrizione tecnica della vulnerabilità, la data di pubblicazione, i prodotti interessati e talvolta riferimenti a correzioni o avvisi di sicurezza.

#CVE #MITRE #NVD

No, le CVE non riguardano solo il software. Possono anche coprire vulnerabilità nell'hardware, nei firmware, nei componenti IoT, nei sistemi operativi e persino alcune configurazioni predefinite pericolose. Ad esempio, falle nei router, nei processori o nelle apparecchiature industriali possono anche ricevere identificativi CVE.

Questa ampia copertura consente di tenere conto dei diversi vettori di attacco in un sistema informativo moderno. L'essenziale è che la vulnerabilità sia documentata, confermata e segnalata pubblicamente per entrare nel programma CVE. In questo modo, i team di sicurezza possono valutare i rischi su tutta l'infrastruttura.

#CVE #IoT

Cerca nelle FAQ

Categorie

CVE
Cyber sécurité
Informations
Informazioni

Tags

#CAPEC #CISA #CNA #CVE #CVSS #CWE #EPSS #FIRST #IoT #KEV #MITRE #NVD #RSSI #SOC #Zero-day
Le informazioni presentate su CVE Find provengono da diverse fonti di riferimento attentamente selezionate. I dati CVE sono forniti da MITRE Corporation e dal National Vulnerability Database (NVD). Il catalogo delle vulnerabilità sfruttate conosciute (KEV) proviene dalla Cybersecurity and Infrastructure Security Agency (CISA), mentre i punteggi EPSS provengono da FIRST.org. Inoltre, i dati relativi alle vulnerabilità software (CWE) e ai pattern di attacco comuni (CAPEC) sono mantenuti da MITRE Corporation, e le informazioni sulle configurazioni hardware e software (CPE) sono fornite da NVD.