FAQ

I pattern di attacco CAPEC servono a documentare le tattiche e le tecniche utilizzate dagli attaccanti per sfruttare i sistemi. Studiandoli, gli analisti della sicurezza, gli sviluppatori e gli architetti possono comprendere gli obiettivi di un attacco, le sue fasi tipiche e le vulnerabilità sfruttate. Ciò consente di anticipare le minacce e di progettare contromisure più efficaci.

Sono anche utili per la formazione, l'analisi dei rischi, la simulazione di attacchi (red teaming) o l'implementazione di controlli di sicurezza difensivi. Collegando i CAPEC ai CWE e ai CVE, è possibile stabilire una catena completa che va dalla debolezza allo sfruttamento concreto, il che arricchisce gli approcci di threat modeling o di sicurezza by design.

Gli identificativi CVE sono assegnati da un'organizzazione americana senza scopo di lucro chiamata MITRE Corporation, che gestisce il programma CVE per conto della Cybersecurity and Infrastructure Security Agency (CISA). MITRE non distribuisce da sola tutti gli identificativi: si affida a una rete di partner chiamati CNA (CVE Numbering Authorities).

Un CNA può essere un produttore di software, un fornitore di sicurezza, un CERT o un'organizzazione specializzata in vulnerabilità. Ogni CNA è autorizzato ad assegnare identificativi CVE per le vulnerabilità scoperte nei propri prodotti o nel proprio ambito. Questo sistema permette di accelerare la segnalazione delle falle mantenendo una struttura centralizzata tramite MITRE.

Il punteggio CVSS è generalmente definito dall'organizzazione che pubblica la vulnerabilità, spesso un CNA (CVE Numbering Authority) o l'editore del software interessato. Inoltre, entità come il NVD (National Vulnerability Database) ricalcolano o modificano a volte i punteggi per garantire una coerenza tra i CVE pubblicati.

Strumenti automatizzati consentono anche a ricercatori indipendenti, analisti SOC o fornitori di sicurezza di ricalcolare un punteggio sulla base del vettore CVSS pubblicato. Ciò significa che uno stesso CVE può avere diversi punteggi leggermente differenti a seconda del contesto e del valutatore, il che spinge a incrociare le fonti per le decisioni critiche.

Per sapere se una CVE è attivamente sfruttata, è possibile consultare diverse fonti di informazione. La più affidabile è la base KEV (Known Exploited Vulnerabilities) gestita dalla CISA, che elenca le CVE il cui sfruttamento è confermato in natura. Viene aggiornata regolarmente ed è spesso utilizzata per stabilire le priorità di correzione. Queste informazioni sono direttamente accessibili sul nostro sito Internet CVE Find.

Si può anche fare affidamento sul punteggio EPSS, che stima la probabilità di sfruttamento di una CVE nei 30 giorni successivi alla sua pubblicazione, basato su dati reali. Infine, strumenti di threat intelligence, rapporti di CERT o bollettini di sicurezza degli editori possono anche segnalare se una vulnerabilità è attualmente utilizzata dagli attaccanti.

Il processo di pubblicazione di un CVE inizia generalmente con la presentazione di un rapporto di vulnerabilità a un CNA o direttamente a MITRE. Se la falla viene riconosciuta come legittima, viene riservato un identificativo CVE. A questo punto, il CVE può rimanere "riservato" per un certo periodo, in attesa della convalida tecnica, dell'accordo delle parti interessate o della disponibilità di una correzione.

Una volta verificate tutte le informazioni, il CVE viene reso pubblico tramite il sito ufficiale di MITRE (cve.org) e altre piattaforme come NVD (National Vulnerability Database) o CVE Find. Include una breve descrizione tecnica della vulnerabilità, la data di pubblicazione, i prodotti interessati e talvolta riferimenti a correzioni o avvisi di sicurezza.

Una CVE (Common Vulnerabilities and Exposures) è un identificativo univoco assegnato a una vulnerabilità nota in un sistema informatico, un software o un hardware. Permette di nominare e tracciare precisamente una falla, anche quando è trattata da diversi fornitori, strumenti o database. Ogni CVE segue il formato CVE-anno-numero, come ad esempio CVE-2023-12345.

Lo scopo delle CVE è di uniformare la comunicazione riguardo alle falle di sicurezza: invece di utilizzare descrizioni variabili, tutti gli attori possono fare riferimento allo stesso identificativo. Ciò facilita il coordinamento tra i ricercatori, gli editori di software, i team di sicurezza e i fornitori di soluzioni di sicurezza.

Il punteggio CVSS (Common Vulnerability Scoring System) misura la gravità di una vulnerabilità assegnandole un punteggio da 0 a 10, dove 10 rappresenta una falla estremamente critica. È progettato per fornire una valutazione standardizzata e oggettiva delle vulnerabilità, in modo che le organizzazioni possano confrontarle tra loro e dare priorità al loro trattamento.

Questo punteggio tiene conto di diversi aspetti: la facilità di sfruttamento, gli effetti potenziali sulla riservatezza, l'integrità e la disponibilità, nonché le condizioni necessarie all'attacco. In sintesi, il CVSS aiuta a quantificare il livello di pericolo inerente a una falla di sicurezza.

Sì, esiste un calcolatore ufficiale del punteggio CVSS fornito dal Forum degli standard FIRST, che mantiene lo standard CVSS. È accessibile online all'indirizzo: https://www.first.org/cvss/calculator.

Questo calcolatore consente di comporre un vettore selezionando le metriche pertinenti, quindi di calcolare automaticamente i punteggi (base, temporale, ambientale).

No, le CVE non riguardano solo il software. Possono anche coprire vulnerabilità nell'hardware, nei firmware, nei componenti IoT, nei sistemi operativi e persino alcune configurazioni predefinite pericolose. Ad esempio, falle nei router, nei processori o nelle apparecchiature industriali possono anche ricevere identificativi CVE.

Questa ampia copertura consente di tenere conto dei diversi vettori di attacco in un sistema informativo moderno. L'essenziale è che la vulnerabilità sia documentata, confermata e segnalata pubblicamente per entrare nel programma CVE. In questo modo, i team di sicurezza possono valutare i rischi su tutta l'infrastruttura.

I CVE svolgono un ruolo centrale nella gestione delle vulnerabilità. Forniscono un linguaggio comune a tutti gli attori della cybersecurity per tracciare e documentare le falle, il che permette di dare priorità alle correzioni, automatizzare le analisi e strutturare la sorveglianza della sicurezza. Senza i CVE, ogni editore o ricercatore potrebbe descrivere una falla in modo diverso, rendendo il coordinamento complesso.

Sono anche utilizzati dagli strumenti di scansione delle vulnerabilità, dai SIEM, dai SOC e dai CISO per stabilire delle politiche di risposta agli incidenti. La loro adozione mondiale garantisce che le falle siano identificabili e che le difese possano essere attivate più rapidamente e in modo coordinato.

Il punteggio CVSS misura la gravità intrinseca di una vulnerabilità, ma non il suo sfruttamento reale, né la sua rilevanza in un ambiente specifico. Ad esempio, una falla può avere un punteggio elevato, ma essere poco sfruttabile nella vostra infrastruttura, oppure, al contrario, una falla media può colpire un sistema critico non segmentato.

Per una valutazione più precisa del rischio, è importante integrare indicatori complementari, come:

• Il punteggio EPSS (probabilità di sfruttamento reale)
• L'appartenenza alla lista KEV (sfruttamento confermato)
• Il contesto aziendale o tecnico dell'ambiente interessato

Pertanto, il CVSS deve essere visto come un indicatore di gravità, e non come una misura completa del rischio.

Il CVSS si suddivide in tre sotto-punteggi:

• Punteggio base: valuta la gravità intrinseca della vulnerabilità, indipendentemente da qualsiasi contesto. È generalmente pubblico.
• Punteggio temporale: adatta il punteggio in base a fattori come la disponibilità di un exploit o di una patch. Riflette la maturità della minaccia.
• Punteggio ambientale: consente alle organizzazioni di adattare la valutazione al proprio contesto (importanza dell'asset, esposizione, impatto aziendale). È personalizzato per ogni azienda.

Combinando questi tre livelli, il modello CVSS diventa uno strumento più flessibile che consente di affinare le priorità di trattamento in base alla realtà del campo.

Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.

Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.

Una CVE (Common Vulnerabilities and Exposures) è una falla di sicurezza già identificata, documentata e pubblicata in un database ufficiale. È nota al pubblico e, in generale, sono in corso o già disponibili delle patch correttive. Invece, una zero-day è una falla non ancora divulgata, quindi non registrata in una CVE al momento della sua scoperta.

In altre parole, ogni zero-day può diventare una CVE, ma non tutte le CVE sono zero-day. Il rischio maggiore di una zero-day è proprio che sia sfruttabile prima ancora della sua segnalazione, mentre una CVE è per definizione una vulnerabilità in fase di trattamento o di correzione.

La scala CVSS va da 0.0 a 10.0, e ogni intervallo di valori è associato a un livello di gravità:

• 0.0: Nessuna gravità
• 0.1 a 3.9: Bassa (Low)
• 4.0 a 6.9: Media (Medium)
• 7.0 a 8.9: Alta (High)
• 9.0 a 10.0: Critica (Critical)

Questa classificazione consente alle organizzazioni di filtrare le vulnerabilità per gravità, ma non tiene conto del contesto specifico di ogni azienda. Per questo motivo, altri criteri, come lo sfruttamento attivo o gli asset interessati, devono completare questa valutazione.