FAQ

Il punteggio CVSS è generalmente definito dall'organizzazione che pubblica la vulnerabilità, spesso un CNA (CVE Numbering Authority) o l'editore del software interessato. Inoltre, entità come il NVD (National Vulnerability Database) ricalcolano o modificano a volte i punteggi per garantire una coerenza tra i CVE pubblicati.

Strumenti automatizzati consentono anche a ricercatori indipendenti, analisti SOC o fornitori di sicurezza di ricalcolare un punteggio sulla base del vettore CVSS pubblicato. Ciò significa che uno stesso CVE può avere diversi punteggi leggermente differenti a seconda del contesto e del valutatore, il che spinge a incrociare le fonti per le decisioni critiche.

Il punteggio CVSS (Common Vulnerability Scoring System) misura la gravità di una vulnerabilità assegnandole un punteggio da 0 a 10, dove 10 rappresenta una falla estremamente critica. È progettato per fornire una valutazione standardizzata e oggettiva delle vulnerabilità, in modo che le organizzazioni possano confrontarle tra loro e dare priorità al loro trattamento.

Questo punteggio tiene conto di diversi aspetti: la facilità di sfruttamento, gli effetti potenziali sulla riservatezza, l'integrità e la disponibilità, nonché le condizioni necessarie all'attacco. In sintesi, il CVSS aiuta a quantificare il livello di pericolo inerente a una falla di sicurezza.

Sì, esiste un calcolatore ufficiale del punteggio CVSS fornito dal Forum degli standard FIRST, che mantiene lo standard CVSS. È accessibile online all'indirizzo: https://www.first.org/cvss/calculator.

Questo calcolatore consente di comporre un vettore selezionando le metriche pertinenti, quindi di calcolare automaticamente i punteggi (base, temporale, ambientale).

Il punteggio CVSS misura la gravità intrinseca di una vulnerabilità, ma non il suo sfruttamento reale, né la sua rilevanza in un ambiente specifico. Ad esempio, una falla può avere un punteggio elevato, ma essere poco sfruttabile nella vostra infrastruttura, oppure, al contrario, una falla media può colpire un sistema critico non segmentato.

Per una valutazione più precisa del rischio, è importante integrare indicatori complementari, come:

• Il punteggio EPSS (probabilità di sfruttamento reale)
• L'appartenenza alla lista KEV (sfruttamento confermato)
• Il contesto aziendale o tecnico dell'ambiente interessato

Pertanto, il CVSS deve essere visto come un indicatore di gravità, e non come una misura completa del rischio.

Il CVSS si suddivide in tre sotto-punteggi:

• Punteggio base: valuta la gravità intrinseca della vulnerabilità, indipendentemente da qualsiasi contesto. È generalmente pubblico.
• Punteggio temporale: adatta il punteggio in base a fattori come la disponibilità di un exploit o di una patch. Riflette la maturità della minaccia.
• Punteggio ambientale: consente alle organizzazioni di adattare la valutazione al proprio contesto (importanza dell'asset, esposizione, impatto aziendale). È personalizzato per ogni azienda.

Combinando questi tre livelli, il modello CVSS diventa uno strumento più flessibile che consente di affinare le priorità di trattamento in base alla realtà del campo.

Sì, un punteggio CVSS può evolvere nel tempo, soprattutto se emergono nuove informazioni. Ad esempio, un exploit pubblico, un workaround per una patch o una prova di sfruttamento attivo possono indurre gli analisti a rivedere il punteggio temporale o persino il vettore di base se viene rilevato un errore di valutazione iniziale.

Inoltre, strumenti automatizzati come quelli del NVD aggiornano regolarmente i punteggi CVSS in base ai dati sul campo e alle pubblicazioni. Si raccomanda quindi alle aziende di rivalutare periodicamente le proprie analisi, in particolare per le vulnerabilità critiche.