FAQ

Una CWE (Common Weakness Enumeration) è una classificazione standardizzata delle debolezze suscettibili di condurre a vulnerabilità in software, firmware o sistemi. A differenza delle CVE, che designano vulnerabilità specifiche e documentate in un prodotto dato, le CWE descrivono tipi di difetti di progettazione o di programmazione che possono influenzare la sicurezza di un sistema.

Per esempio, una CWE può descrivere una cattiva gestione della memoria, un'iniezione di comandi, o ancora una validazione insufficiente degli ingressi. Queste debolezze possono poi essere rilevate in molteplici software, e associate a delle CVE individuali se vengono sfruttate in un contesto reale.

Una vulnerabilità zero-day è una falla di sicurezza sconosciuta al produttore o all'editore di un software, di un hardware o di un sistema. È detta "zero-day" perché l'editore ha avuto zero giorni per correggere la vulnerabilità nel momento in cui viene scoperta o sfruttata. Non è quindi ancora stata oggetto di una patch ufficiale né di una segnalazione pubblica.

Queste falle possono esistere per mesi, persino anni, senza essere rilevate. Quando vengono trovate da criminali informatici o gruppi statali, possono essere sfruttate in tutta discrezione, rendendo il loro impatto potenzialmente molto grave.

Il punteggio CVSS (Common Vulnerability Scoring System) misura la gravità di una vulnerabilità assegnandole un punteggio da 0 a 10, dove 10 rappresenta una falla estremamente critica. È progettato per fornire una valutazione standardizzata e oggettiva delle vulnerabilità, in modo che le organizzazioni possano confrontarle tra loro e dare priorità al loro trattamento.

Questo punteggio tiene conto di diversi aspetti: la facilità di sfruttamento, gli effetti potenziali sulla riservatezza, l'integrità e la disponibilità, nonché le condizioni necessarie all'attacco. In sintesi, il CVSS aiuta a quantificare il livello di pericolo inerente a una falla di sicurezza.

CAPEC significa Common Attack Pattern Enumeration and Classification. È una base di conoscenza strutturata sviluppata da MITRE che elenca e descrive i modelli di attacco noti utilizzati contro i sistemi informatici. A differenza degli incidenti isolati, i CAPEC descrivono strategie riutilizzabili dagli aggressori per sfruttare le vulnerabilità.

Ogni modello CAPEC è una rappresentazione astratta di un comportamento dannoso: spiega come viene condotto un attacco, quale tipo di debolezza mira e con quale obiettivo. L'obiettivo di CAPEC è aiutare i professionisti della sicurezza a comprendere, rilevare e anticipare meglio le tattiche utilizzate dagli aggressori.

EPSS significa Exploit Prediction Scoring System, che si traduce in sistema di valutazione della previsione di exploit. Si tratta di un modello probabilistico che assegna a ogni vulnerabilità (generalmente identificata da un identificativo CVE) una probabilità di essere sfruttata entro 30 giorni dalla sua osservazione.

L'obiettivo dell'EPSS è quello di completare gli altri sistemi di valutazione (come il CVSS) aggiungendo un livello dinamico e contestuale basato su dati reali di exploit osservati in natura. Ciò consente alle organizzazioni di dare una priorità più efficace ai propri sforzi di correzione basandosi sul rischio di exploit reale.

Sì, esiste un calcolatore ufficiale del punteggio CVSS fornito dal Forum degli standard FIRST, che mantiene lo standard CVSS. È accessibile online all'indirizzo: https://www.first.org/cvss/calculator.

Questo calcolatore consente di comporre un vettore selezionando le metriche pertinenti, quindi di calcolare automaticamente i punteggi (base, temporale, ambientale).

Sì, sempre più organizzazioni utilizzano l'EPSS come criterio prioritario per decidere quali vulnerabilità correggere per prime, in particolare quando si trovano ad affrontare un grande volume di falle da gestire. Correggere tutte le CVE con un punteggio CVSS elevato può essere costoso e inefficiente, soprattutto se alcune non vengono mai sfruttate. L'EPSS permette quindi di focalizzare le risorse sulle falle realmente pericolose.

Alcune politiche di sicurezza integrano ormai delle soglie d'azione basate sull'EPSS, ad esempio: “correggere ogni vulnerabilità con un punteggio EPSS > 0.7 entro 48 ore”. Questo approccio pragmatico permette di accelerare la remediation laddove è più utile, limitando al contempo le interruzioni non giustificate.

Per i CISO e i team SOC, l'EPSS offre un supporto decisionale oggettivo e dinamico. Permette di filtrare le vulnerabilità rilevate dagli scanner in base alla loro probabilità di sfruttamento, alleggerendo così il carico dei team e migliorando la pertinenza degli avvisi. L'EPSS è particolarmente utile in ambienti in cui il volume di CVE è elevato e le risorse limitate.

Integrando l'EPSS negli strumenti di gestione delle vulnerabilità, SIEM o dashboard di sicurezza, i CISO possono comunicare meglio con la direzione priorizzando le azioni in base al rischio reale e misurabile, piuttosto che a un semplice punteggio teorico.

CAPEC fornisce una struttura dettagliata per riprodurre scenari di attacco realistici, rendendolo una risorsa preziosa per le simulazioni. Ogni modello descrive i prerequisiti, le fasi di esecuzione, i target, i vettori di attacco, nonché i potenziali obiettivi dell'attaccante. Ciò consente ai team di sicurezza di progettare esercizi di red teaming o di threat modeling ben strutturati.

Ad esempio, un tester può scegliere un modello CAPEC di attacco brute force su un servizio di rete e utilizzarlo come base per valutare la robustezza di un'applicazione. Questo approccio rende i test più coerenti e facilita la documentazione dei risultati e delle raccomandazioni.

L'EPSS integra il CVSS apportando una dimensione temporale e comportamentale alla valutazione delle vulnerabilità. Il CVSS misura la gravità di una falla sulla base delle sue proprietà intrinseche (impatto, complessità, accessibilità), ma non dice nulla sulla probabilità reale che venga sfruttata. L'EPSS colma questa lacuna analizzando dati provenienti dal campo, come le tendenze di sfruttamento osservate negli honeypot, i motori di ricerca di vulnerabilità o i flussi di minacce.

Questa complementarità è preziosa per la gestione dei rischi: una falla può essere critica secondo il CVSS, ma non sfruttata (punteggio EPSS basso), o al contrario apparire benigna in teoria, ma molto utilizzata in attacchi automatizzati. Utilizzare i due punteggi insieme permette di stabilire priorità più pertinenti e conformi alla realtà del campo.

Le CWE sono modelli astratti di debolezze, mentre le CVE sono incidenti concreti. Una CVE rappresenta una vulnerabilità identificata in un software o sistema specifico, mentre una CWE descrive una debolezza generica presente nel codice o nell'architettura, senza necessariamente essere sfruttata.

Facciamo un esempio: una CVE potrebbe riguardare un'iniezione SQL in un'applicazione web, mentre la CWE corrispondente sarebbe CWE-89: Improper Neutralization of Special Elements used in an SQL Command. In sintesi, le CWE servono a categorizzare e analizzare le falle, mentre le CVE permettono di seguirle e correggerle individualmente.

No, l'EPSS non sostituisce il CVSS: i due sistemi sono complementari. Il CVSS fornisce una misura strutturale della gravità, utile per comprendere l'impatto potenziale di una vulnerabilità. L'EPSS, invece, fornisce una misura comportamentale e predittiva, incentrata sulla probabilità di sfruttamento reale.

Insieme, questi due punteggi consentono una valutazione più precisa del rischio, sia sul piano teorico che operativo. Molte aziende adottano un approccio ibrido, ad esempio trattando solo le vulnerabilità che hanno sia un CVSS ≥ 7 che un EPSS ≥ 0.5, oppure utilizzando matrici di rischio arricchite di questi due indicatori.

No, le CVE non riguardano solo il software. Possono anche coprire vulnerabilità nell'hardware, nei firmware, nei componenti IoT, nei sistemi operativi e persino alcune configurazioni predefinite pericolose. Ad esempio, falle nei router, nei processori o nelle apparecchiature industriali possono anche ricevere identificativi CVE.

Questa ampia copertura consente di tenere conto dei diversi vettori di attacco in un sistema informativo moderno. L'essenziale è che la vulnerabilità sia documentata, confermata e segnalata pubblicamente per entrare nel programma CVE. In questo modo, i team di sicurezza possono valutare i rischi su tutta l'infrastruttura.

I CVE svolgono un ruolo centrale nella gestione delle vulnerabilità. Forniscono un linguaggio comune a tutti gli attori della cybersecurity per tracciare e documentare le falle, il che permette di dare priorità alle correzioni, automatizzare le analisi e strutturare la sorveglianza della sicurezza. Senza i CVE, ogni editore o ricercatore potrebbe descrivere una falla in modo diverso, rendendo il coordinamento complesso.

Sono anche utilizzati dagli strumenti di scansione delle vulnerabilità, dai SIEM, dai SOC e dai CISO per stabilire delle politiche di risposta agli incidenti. La loro adozione mondiale garantisce che le falle siano identificabili e che le difese possano essere attivate più rapidamente e in modo coordinato.

Il punteggio CVSS misura la gravità intrinseca di una vulnerabilità, ma non il suo sfruttamento reale, né la sua rilevanza in un ambiente specifico. Ad esempio, una falla può avere un punteggio elevato, ma essere poco sfruttabile nella vostra infrastruttura, oppure, al contrario, una falla media può colpire un sistema critico non segmentato.

Per una valutazione più precisa del rischio, è importante integrare indicatori complementari, come:

• Il punteggio EPSS (probabilità di sfruttamento reale)
• L'appartenenza alla lista KEV (sfruttamento confermato)
• Il contesto aziendale o tecnico dell'ambiente interessato

Pertanto, il CVSS deve essere visto come un indicatore di gravità, e non come una misura completa del rischio.