FAQ

La lista KEV (Known Exploited Vulnerabilities) pubblicata dalla CISA elenca le vulnerabilità attivamente sfruttate in natura, ovvero già utilizzate in attacchi informatici reali. L'obiettivo di questa lista è aiutare le organizzazioni a dare priorità ai propri sforzi di correzione, concentrandosi sulle falle che rappresentano una minaccia immediata.

Pubblicando questa lista, la CISA fornisce uno strumento di gestione dei rischi molto concreto: segnala non solo le falle conosciute, ma anche le più critiche e urgenti. Per le agenzie federali americane, la correzione di queste falle è obbligatoria entro termini rigorosi. Ma al di là degli Stati Uniti, la KEV è ampiamente consultata dai professionisti della cybersecurity in tutto il mondo per orientare la loro strategia di patch management.

Le vulnerabilità zero-day sono particolarmente pericolose perché sono sconosciute agli editori, agli utenti e spesso alle soluzioni di sicurezza tradizionali (antivirus, IDS, ecc.). Ciò significa che non esiste alcuna correzione, patch e spesso nessun meccanismo di rilevamento o protezione al momento dell'attacco.

Gli aggressori possono quindi sfruttarle senza essere rilevati, spesso nel contesto di attacchi mirati e sofisticati (cyber-spionaggio, sabotaggio, accesso prolungato a un sistema). Il loro valore è così elevato che alcune zero-day vengono rivendute sul dark web o ad attori governativi per centinaia di migliaia di euro.

La CISA svolge un ruolo centrale nella gestione delle vulnerabilità su larga scala. Identifica, valuta e comunica attivamente le falle di sicurezza che potrebbero interessare le infrastrutture critiche, compresi i servizi governativi, gli operatori di servizi essenziali e le grandi aziende. Spesso collabora con MITRE, editori, ricercatori di sicurezza e altre agenzie internazionali.

Tra le sue responsabilità, pubblica bollettini di sicurezza, coordina le risposte a determinate vulnerabilità importanti e talvolta impone, attraverso direttive federali (BOD), termini di correzione obbligatori per determinate falle negli enti pubblici. Il suo obiettivo è ridurre il tempo tra la scoperta di una vulnerabilità e il suo effettivo trattamento sul campo.

CAPEC e CWE sono due database complementari gestiti da MITRE, ma non hanno lo stesso obiettivo. CWE descrive le debolezze tecniche nel codice o nella progettazione (es: mancanza di convalida dell'input), mentre CAPEC descrive i metodi di attacco che sfruttano queste debolezze (es: SQL injection).

In altre parole, CWE si concentra sulla causa, mentre CAPEC si concentra sull'azione dell'attaccante. I due possono essere collegati: un modello CAPEC specifica spesso quali CWE prende di mira, il che consente di collegare la vulnerabilità teorica, lo sfruttamento pratico e i CVE associati.

Il CVSS si suddivide in tre sotto-punteggi:

• Punteggio base: valuta la gravità intrinseca della vulnerabilità, indipendentemente da qualsiasi contesto. È generalmente pubblico.
• Punteggio temporale: adatta il punteggio in base a fattori come la disponibilità di un exploit o di una patch. Riflette la maturità della minaccia.
• Punteggio ambientale: consente alle organizzazioni di adattare la valutazione al proprio contesto (importanza dell'asset, esposizione, impatto aziendale). È personalizzato per ogni azienda.

Combinando questi tre livelli, il modello CVSS diventa uno strumento più flessibile che consente di affinare le priorità di trattamento in base alla realtà del campo.

Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.

Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.

Una CVE (Common Vulnerabilities and Exposures) è una falla di sicurezza già identificata, documentata e pubblicata in un database ufficiale. È nota al pubblico e, in generale, sono in corso o già disponibili delle patch correttive. Invece, una zero-day è una falla non ancora divulgata, quindi non registrata in una CVE al momento della sua scoperta.

In altre parole, ogni zero-day può diventare una CVE, ma non tutte le CVE sono zero-day. Il rischio maggiore di una zero-day è proprio che sia sfruttabile prima ancora della sua segnalazione, mentre una CVE è per definizione una vulnerabilità in fase di trattamento o di correzione.

La fonte ufficiale del database CAPEC è il sito web di MITRE. Questo portale permette di esplorare tutti i modelli classificati per tipo di attacco, per complessità, per target, o ancora per livello di sofisticazione. Ogni scheda è accompagnata da definizioni precise, da esempi, e da link verso altre risorse utili (CWE, ATT&CK, ecc.).

La scala CVSS va da 0.0 a 10.0, e ogni intervallo di valori è associato a un livello di gravità:

• 0.0: Nessuna gravità
• 0.1 a 3.9: Bassa (Low)
• 4.0 a 6.9: Media (Medium)
• 7.0 a 8.9: Alta (High)
• 9.0 a 10.0: Critica (Critical)

Questa classificazione consente alle organizzazioni di filtrare le vulnerabilità per gravità, ma non tiene conto del contesto specifico di ogni azienda. Per questo motivo, altri criteri, come lo sfruttamento attivo o gli asset interessati, devono completare questa valutazione.

Sì, un punteggio CVSS può evolvere nel tempo, soprattutto se emergono nuove informazioni. Ad esempio, un exploit pubblico, un workaround per una patch o una prova di sfruttamento attivo possono indurre gli analisti a rivedere il punteggio temporale o persino il vettore di base se viene rilevato un errore di valutazione iniziale.

Inoltre, strumenti automatizzati come quelli del NVD aggiornano regolarmente i punteggi CVSS in base ai dati sul campo e alle pubblicazioni. Si raccomanda quindi alle aziende di rivalutare periodicamente le proprie analisi, in particolare per le vulnerabilità critiche.

No, l'esistenza di una CVE non garantisce che sia disponibile una patch. Una CVE può essere pubblicata prima che un fornitore abbia sviluppato una patch, o anche in casi in cui non è prevista alcuna patch (ad esempio, per software obsoleti o non più supportati). In queste situazioni, gli utenti devono implementare misure di mitigazione o disabilitare determinate funzionalità vulnerabili.

È quindi essenziale non solo consultare le CVE, ma anche verificare le raccomandazioni dei fornitori e database come l'NVD o il database KEV, che possono indicare se esiste una patch e entro quali tempistiche è prevista. Una buona gestione dei rischi tiene conto sia della gravità della vulnerabilità sia della disponibilità di soluzioni.