FAQ

Gli identificativi CVE sono assegnati da un'organizzazione americana senza scopo di lucro chiamata MITRE Corporation, che gestisce il programma CVE per conto della Cybersecurity and Infrastructure Security Agency (CISA). MITRE non distribuisce da sola tutti gli identificativi: si affida a una rete di partner chiamati CNA (CVE Numbering Authorities).

Un CNA può essere un produttore di software, un fornitore di sicurezza, un CERT o un'organizzazione specializzata in vulnerabilità. Ogni CNA è autorizzato ad assegnare identificativi CVE per le vulnerabilità scoperte nei propri prodotti o nel proprio ambito. Questo sistema permette di accelerare la segnalazione delle falle mantenendo una struttura centralizzata tramite MITRE.

Per sapere se una CVE è attivamente sfruttata, è possibile consultare diverse fonti di informazione. La più affidabile è la base KEV (Known Exploited Vulnerabilities) gestita dalla CISA, che elenca le CVE il cui sfruttamento è confermato in natura. Viene aggiornata regolarmente ed è spesso utilizzata per stabilire le priorità di correzione. Queste informazioni sono direttamente accessibili sul nostro sito Internet CVE Find.

Si può anche fare affidamento sul punteggio EPSS, che stima la probabilità di sfruttamento di una CVE nei 30 giorni successivi alla sua pubblicazione, basato su dati reali. Infine, strumenti di threat intelligence, rapporti di CERT o bollettini di sicurezza degli editori possono anche segnalare se una vulnerabilità è attualmente utilizzata dagli attaccanti.

La CISA (Cybersecurity and Infrastructure Security Agency) è un'agenzia governativa americana. È incaricata di proteggere le infrastrutture critiche degli Stati Uniti contro le minacce cyber e fisiche, fornendo supporto, strumenti e raccomandazioni alle amministrazioni, alle aziende e al pubblico.

Nel campo della cybersecurity, la CISA agisce come un centro di coordinamento per prevenire gli attacchi informatici, reagire agli incidenti, condividere informazioni sulle minacce e promuovere le migliori pratiche di sicurezza. Sebbene americana, il suo ruolo e le sue risorse influenzano le pratiche di cybersecurity a livello globale, grazie alla sua trasparenza e alla sua leadership.

La lista KEV (Known Exploited Vulnerabilities) pubblicata dalla CISA elenca le vulnerabilità attivamente sfruttate in natura, ovvero già utilizzate in attacchi informatici reali. L'obiettivo di questa lista è aiutare le organizzazioni a dare priorità ai propri sforzi di correzione, concentrandosi sulle falle che rappresentano una minaccia immediata.

Pubblicando questa lista, la CISA fornisce uno strumento di gestione dei rischi molto concreto: segnala non solo le falle conosciute, ma anche le più critiche e urgenti. Per le agenzie federali americane, la correzione di queste falle è obbligatoria entro termini rigorosi. Ma al di là degli Stati Uniti, la KEV è ampiamente consultata dai professionisti della cybersecurity in tutto il mondo per orientare la loro strategia di patch management.

La CISA svolge un ruolo centrale nella gestione delle vulnerabilità su larga scala. Identifica, valuta e comunica attivamente le falle di sicurezza che potrebbero interessare le infrastrutture critiche, compresi i servizi governativi, gli operatori di servizi essenziali e le grandi aziende. Spesso collabora con MITRE, editori, ricercatori di sicurezza e altre agenzie internazionali.

Tra le sue responsabilità, pubblica bollettini di sicurezza, coordina le risposte a determinate vulnerabilità importanti e talvolta impone, attraverso direttive federali (BOD), termini di correzione obbligatori per determinate falle negli enti pubblici. Il suo obiettivo è ridurre il tempo tra la scoperta di una vulnerabilità e il suo effettivo trattamento sul campo.

Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.

Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.