FAQ

La classificazione CWE serve a standardizzare la comprensione delle vulnerabilità di sicurezza nei sistemi informatici. Aiuta sviluppatori, tester e analisti a identificare gli errori di progettazione o di codifica comuni, al fine di evitarli o correggerli più efficacemente. Grazie a questa tassonomia, gli strumenti di sicurezza possono produrre report coerenti e utilizzabili.

È anche molto utile per la formazione dei team tecnici, la valutazione degli strumenti di rilevamento, la priorizzazione dei rischi e la conformità a determinati standard come ISO/IEC 27001. Integrando i CWE nei processi di sviluppo, è possibile migliorare significativamente la sicurezza fin dalla fase di progettazione.

I professionisti della cybersecurity sono i principali utilizzatori dei CAPEC: analisti SOC, esperti di penetration testing, architetti della sicurezza, sviluppatori, formatori o team di threat intelligence. Li utilizzano per comprendere le tattiche degli avversari, preparare scenari di test e rafforzare le difese.

Ad esempio, un pentester può utilizzare un CAPEC per strutturare un attacco simulato secondo uno scenario realistico. Uno sviluppatore può trovarvi indicazioni sugli errori di progettazione da evitare. Un CISO può integrarli nelle analisi dei rischi per illustrare meglio le potenziali conseguenze di una debolezza tecnica.

Lo sfruttamento di una zero-day si basa sullo sviluppo di un exploit specifico, ovvero un codice o un metodo in grado di sfruttare la vulnerabilità prima che venga corretta. L'attaccante può integrarlo in un documento compromesso, un sito web, un malware o un'email di phishing.

Una volta lanciato l'exploit, può consentire di prendere il controllo del sistema, installare un cavallo di Troia, aprire una backdoor o estrarre dati. La particolarità di un exploit zero-day è che sfugge ai meccanismi di rilevamento classici, poiché si basa su una debolezza ancora sconosciuta a tutti.

EPSS significa Exploit Prediction Scoring System, che si traduce in sistema di valutazione della previsione di exploit. Si tratta di un modello probabilistico che assegna a ogni vulnerabilità (generalmente identificata da un identificativo CVE) una probabilità di essere sfruttata entro 30 giorni dalla sua osservazione.

L'obiettivo dell'EPSS è quello di completare gli altri sistemi di valutazione (come il CVSS) aggiungendo un livello dinamico e contestuale basato su dati reali di exploit osservati in natura. Ciò consente alle organizzazioni di dare una priorità più efficace ai propri sforzi di correzione basandosi sul rischio di exploit reale.

Sì, sempre più organizzazioni utilizzano l'EPSS come criterio prioritario per decidere quali vulnerabilità correggere per prime, in particolare quando si trovano ad affrontare un grande volume di falle da gestire. Correggere tutte le CVE con un punteggio CVSS elevato può essere costoso e inefficiente, soprattutto se alcune non vengono mai sfruttate. L'EPSS permette quindi di focalizzare le risorse sulle falle realmente pericolose.

Alcune politiche di sicurezza integrano ormai delle soglie d'azione basate sull'EPSS, ad esempio: “correggere ogni vulnerabilità con un punteggio EPSS > 0.7 entro 48 ore”. Questo approccio pragmatico permette di accelerare la remediation laddove è più utile, limitando al contempo le interruzioni non giustificate.

Le CWE sono modelli astratti di debolezze, mentre le CVE sono incidenti concreti. Una CVE rappresenta una vulnerabilità identificata in un software o sistema specifico, mentre una CWE descrive una debolezza generica presente nel codice o nell'architettura, senza necessariamente essere sfruttata.

Facciamo un esempio: una CVE potrebbe riguardare un'iniezione SQL in un'applicazione web, mentre la CWE corrispondente sarebbe CWE-89: Improper Neutralization of Special Elements used in an SQL Command. In sintesi, le CWE servono a categorizzare e analizzare le falle, mentre le CVE permettono di seguirle e correggerle individualmente.

I CVE svolgono un ruolo centrale nella gestione delle vulnerabilità. Forniscono un linguaggio comune a tutti gli attori della cybersecurity per tracciare e documentare le falle, il che permette di dare priorità alle correzioni, automatizzare le analisi e strutturare la sorveglianza della sicurezza. Senza i CVE, ogni editore o ricercatore potrebbe descrivere una falla in modo diverso, rendendo il coordinamento complesso.

Sono anche utilizzati dagli strumenti di scansione delle vulnerabilità, dai SIEM, dai SOC e dai CISO per stabilire delle politiche di risposta agli incidenti. La loro adozione mondiale garantisce che le falle siano identificabili e che le difese possano essere attivate più rapidamente e in modo coordinato.

La lista KEV (Known Exploited Vulnerabilities) pubblicata dalla CISA elenca le vulnerabilità attivamente sfruttate in natura, ovvero già utilizzate in attacchi informatici reali. L'obiettivo di questa lista è aiutare le organizzazioni a dare priorità ai propri sforzi di correzione, concentrandosi sulle falle che rappresentano una minaccia immediata.

Pubblicando questa lista, la CISA fornisce uno strumento di gestione dei rischi molto concreto: segnala non solo le falle conosciute, ma anche le più critiche e urgenti. Per le agenzie federali americane, la correzione di queste falle è obbligatoria entro termini rigorosi. Ma al di là degli Stati Uniti, la KEV è ampiamente consultata dai professionisti della cybersecurity in tutto il mondo per orientare la loro strategia di patch management.

Le vulnerabilità zero-day sono particolarmente pericolose perché sono sconosciute agli editori, agli utenti e spesso alle soluzioni di sicurezza tradizionali (antivirus, IDS, ecc.). Ciò significa che non esiste alcuna correzione, patch e spesso nessun meccanismo di rilevamento o protezione al momento dell'attacco.

Gli aggressori possono quindi sfruttarle senza essere rilevati, spesso nel contesto di attacchi mirati e sofisticati (cyber-spionaggio, sabotaggio, accesso prolungato a un sistema). Il loro valore è così elevato che alcune zero-day vengono rivendute sul dark web o ad attori governativi per centinaia di migliaia di euro.

CAPEC e CWE sono due database complementari gestiti da MITRE, ma non hanno lo stesso obiettivo. CWE descrive le debolezze tecniche nel codice o nella progettazione (es: mancanza di convalida dell'input), mentre CAPEC descrive i metodi di attacco che sfruttano queste debolezze (es: SQL injection).

In altre parole, CWE si concentra sulla causa, mentre CAPEC si concentra sull'azione dell'attaccante. I due possono essere collegati: un modello CAPEC specifica spesso quali CWE prende di mira, il che consente di collegare la vulnerabilità teorica, lo sfruttamento pratico e i CVE associati.

Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.

Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.

Una CVE (Common Vulnerabilities and Exposures) è una falla di sicurezza già identificata, documentata e pubblicata in un database ufficiale. È nota al pubblico e, in generale, sono in corso o già disponibili delle patch correttive. Invece, una zero-day è una falla non ancora divulgata, quindi non registrata in una CVE al momento della sua scoperta.

In altre parole, ogni zero-day può diventare una CVE, ma non tutte le CVE sono zero-day. Il rischio maggiore di una zero-day è proprio che sia sfruttabile prima ancora della sua segnalazione, mentre una CVE è per definizione una vulnerabilità in fase di trattamento o di correzione.