FAQ

Il punteggio CVSS è generalmente definito dall'organizzazione che pubblica la vulnerabilità, spesso un CNA (CVE Numbering Authority) o l'editore del software interessato. Inoltre, entità come il NVD (National Vulnerability Database) ricalcolano o modificano a volte i punteggi per garantire una coerenza tra i CVE pubblicati.

Strumenti automatizzati consentono anche a ricercatori indipendenti, analisti SOC o fornitori di sicurezza di ricalcolare un punteggio sulla base del vettore CVSS pubblicato. Ciò significa che uno stesso CVE può avere diversi punteggi leggermente differenti a seconda del contesto e del valutatore, il che spinge a incrociare le fonti per le decisioni critiche.

Il punteggio CVSS (Common Vulnerability Scoring System) misura la gravità di una vulnerabilità assegnandole un punteggio da 0 a 10, dove 10 rappresenta una falla estremamente critica. È progettato per fornire una valutazione standardizzata e oggettiva delle vulnerabilità, in modo che le organizzazioni possano confrontarle tra loro e dare priorità al loro trattamento.

Questo punteggio tiene conto di diversi aspetti: la facilità di sfruttamento, gli effetti potenziali sulla riservatezza, l'integrità e la disponibilità, nonché le condizioni necessarie all'attacco. In sintesi, il CVSS aiuta a quantificare il livello di pericolo inerente a una falla di sicurezza.

EPSS significa Exploit Prediction Scoring System, che si traduce in sistema di valutazione della previsione di exploit. Si tratta di un modello probabilistico che assegna a ogni vulnerabilità (generalmente identificata da un identificativo CVE) una probabilità di essere sfruttata entro 30 giorni dalla sua osservazione.

L'obiettivo dell'EPSS è quello di completare gli altri sistemi di valutazione (come il CVSS) aggiungendo un livello dinamico e contestuale basato su dati reali di exploit osservati in natura. Ciò consente alle organizzazioni di dare una priorità più efficace ai propri sforzi di correzione basandosi sul rischio di exploit reale.

Sì, esiste un calcolatore ufficiale del punteggio CVSS fornito dal Forum degli standard FIRST, che mantiene lo standard CVSS. È accessibile online all'indirizzo: https://www.first.org/cvss/calculator.

Questo calcolatore consente di comporre un vettore selezionando le metriche pertinenti, quindi di calcolare automaticamente i punteggi (base, temporale, ambientale).

L'EPSS integra il CVSS apportando una dimensione temporale e comportamentale alla valutazione delle vulnerabilità. Il CVSS misura la gravità di una falla sulla base delle sue proprietà intrinseche (impatto, complessità, accessibilità), ma non dice nulla sulla probabilità reale che venga sfruttata. L'EPSS colma questa lacuna analizzando dati provenienti dal campo, come le tendenze di sfruttamento osservate negli honeypot, i motori di ricerca di vulnerabilità o i flussi di minacce.

Questa complementarità è preziosa per la gestione dei rischi: una falla può essere critica secondo il CVSS, ma non sfruttata (punteggio EPSS basso), o al contrario apparire benigna in teoria, ma molto utilizzata in attacchi automatizzati. Utilizzare i due punteggi insieme permette di stabilire priorità più pertinenti e conformi alla realtà del campo.

No, l'EPSS non sostituisce il CVSS: i due sistemi sono complementari. Il CVSS fornisce una misura strutturale della gravità, utile per comprendere l'impatto potenziale di una vulnerabilità. L'EPSS, invece, fornisce una misura comportamentale e predittiva, incentrata sulla probabilità di sfruttamento reale.

Insieme, questi due punteggi consentono una valutazione più precisa del rischio, sia sul piano teorico che operativo. Molte aziende adottano un approccio ibrido, ad esempio trattando solo le vulnerabilità che hanno sia un CVSS ≥ 7 che un EPSS ≥ 0.5, oppure utilizzando matrici di rischio arricchite di questi due indicatori.

Il punteggio CVSS misura la gravità intrinseca di una vulnerabilità, ma non il suo sfruttamento reale, né la sua rilevanza in un ambiente specifico. Ad esempio, una falla può avere un punteggio elevato, ma essere poco sfruttabile nella vostra infrastruttura, oppure, al contrario, una falla media può colpire un sistema critico non segmentato.

Per una valutazione più precisa del rischio, è importante integrare indicatori complementari, come:

• Il punteggio EPSS (probabilità di sfruttamento reale)
• L'appartenenza alla lista KEV (sfruttamento confermato)
• Il contesto aziendale o tecnico dell'ambiente interessato

Pertanto, il CVSS deve essere visto come un indicatore di gravità, e non come una misura completa del rischio.

Il CVSS si suddivide in tre sotto-punteggi:

• Punteggio base: valuta la gravità intrinseca della vulnerabilità, indipendentemente da qualsiasi contesto. È generalmente pubblico.
• Punteggio temporale: adatta il punteggio in base a fattori come la disponibilità di un exploit o di una patch. Riflette la maturità della minaccia.
• Punteggio ambientale: consente alle organizzazioni di adattare la valutazione al proprio contesto (importanza dell'asset, esposizione, impatto aziendale). È personalizzato per ogni azienda.

Combinando questi tre livelli, il modello CVSS diventa uno strumento più flessibile che consente di affinare le priorità di trattamento in base alla realtà del campo.

La scala CVSS va da 0.0 a 10.0, e ogni intervallo di valori è associato a un livello di gravità:

• 0.0: Nessuna gravità
• 0.1 a 3.9: Bassa (Low)
• 4.0 a 6.9: Media (Medium)
• 7.0 a 8.9: Alta (High)
• 9.0 a 10.0: Critica (Critical)

Questa classificazione consente alle organizzazioni di filtrare le vulnerabilità per gravità, ma non tiene conto del contesto specifico di ogni azienda. Per questo motivo, altri criteri, come lo sfruttamento attivo o gli asset interessati, devono completare questa valutazione.

Sì, un punteggio CVSS può evolvere nel tempo, soprattutto se emergono nuove informazioni. Ad esempio, un exploit pubblico, un workaround per una patch o una prova di sfruttamento attivo possono indurre gli analisti a rivedere il punteggio temporale o persino il vettore di base se viene rilevato un errore di valutazione iniziale.

Inoltre, strumenti automatizzati come quelli del NVD aggiornano regolarmente i punteggi CVSS in base ai dati sul campo e alle pubblicazioni. Si raccomanda quindi alle aziende di rivalutare periodicamente le proprie analisi, in particolare per le vulnerabilità critiche.