FAQ

La classificazione CWE serve a standardizzare la comprensione delle vulnerabilità di sicurezza nei sistemi informatici. Aiuta sviluppatori, tester e analisti a identificare gli errori di progettazione o di codifica comuni, al fine di evitarli o correggerli più efficacemente. Grazie a questa tassonomia, gli strumenti di sicurezza possono produrre report coerenti e utilizzabili.

È anche molto utile per la formazione dei team tecnici, la valutazione degli strumenti di rilevamento, la priorizzazione dei rischi e la conformità a determinati standard come ISO/IEC 27001. Integrando i CWE nei processi di sviluppo, è possibile migliorare significativamente la sicurezza fin dalla fase di progettazione.

I pattern di attacco CAPEC servono a documentare le tattiche e le tecniche utilizzate dagli attaccanti per sfruttare i sistemi. Studiandoli, gli analisti della sicurezza, gli sviluppatori e gli architetti possono comprendere gli obiettivi di un attacco, le sue fasi tipiche e le vulnerabilità sfruttate. Ciò consente di anticipare le minacce e di progettare contromisure più efficaci.

Sono anche utili per la formazione, l'analisi dei rischi, la simulazione di attacchi (red teaming) o l'implementazione di controlli di sicurezza difensivi. Collegando i CAPEC ai CWE e ai CVE, è possibile stabilire una catena completa che va dalla debolezza allo sfruttamento concreto, il che arricchisce gli approcci di threat modeling o di sicurezza by design.

L'elenco CWE è gestito dalla MITRE Corporation, la stessa organizzazione che gestisce il programma CVE. MITRE è supportata dal Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) e da altri attori pubblici e privati per sviluppare e aggiornare questa base di conoscenza.

Anche la comunità svolge un ruolo chiave: ricercatori, editori, governi e industriali possono proporre nuove vulnerabilità, suggerire modifiche o condividere feedback sull'utilità delle voci esistenti. La base è pubblica, accessibile liberamente online e continuamente arricchita per riflettere l'evoluzione delle tecnologie e delle tecniche di attacco.

Le CWE sono integrate in numerosi strumenti di analisi del codice sorgente, di audit di sicurezza o di gestione delle vulnerabilità, per identificare automaticamente le potenziali debolezze nei software. Comprendendo quali CWE sono presenti in un sistema, i team possono stimare la superficie di attacco, anticipare le minacce future e dare priorità alle correzioni prima che una falla diventi una CVE sfruttabile.

Permettono inoltre di stabilire profili di rischio per progetti o prodotti, in base alla natura e al numero di debolezze identificate. Ciò facilita il processo decisionale per i CISO, i CIO o i responsabili della conformità, in particolare nelle iniziative DevSecOps o durante le valutazioni secondo framework come NIST o ISO 27002.

Il CWE Top 25 è una lista annuale delle 25 debolezze più pericolose in materia di sicurezza del software. È stilata da MITRE a partire da dati pubblici provenienti dal NVD (National Vulnerability Database) e da altre fonti, analizzando la frequenza e l'impatto delle debolezze associate a CVE reali.

Questa classifica è preziosa per gli sviluppatori e i team di sicurezza, poiché mette in luce gli errori più comuni e critici, come le injection, i buffer overflow o i problemi di autenticazione. Concentrandosi su queste debolezze prioritarie, le organizzazioni possono migliorare rapidamente la loro postura di sicurezza, anche con risorse limitate.

Una CWE (Common Weakness Enumeration) è una classificazione standardizzata delle debolezze suscettibili di condurre a vulnerabilità in software, firmware o sistemi. A differenza delle CVE, che designano vulnerabilità specifiche e documentate in un prodotto dato, le CWE descrivono tipi di difetti di progettazione o di programmazione che possono influenzare la sicurezza di un sistema.

Per esempio, una CWE può descrivere una cattiva gestione della memoria, un'iniezione di comandi, o ancora una validazione insufficiente degli ingressi. Queste debolezze possono poi essere rilevate in molteplici software, e associate a delle CVE individuali se vengono sfruttate in un contesto reale.

Le CWE sono modelli astratti di debolezze, mentre le CVE sono incidenti concreti. Una CVE rappresenta una vulnerabilità identificata in un software o sistema specifico, mentre una CWE descrive una debolezza generica presente nel codice o nell'architettura, senza necessariamente essere sfruttata.

Facciamo un esempio: una CVE potrebbe riguardare un'iniezione SQL in un'applicazione web, mentre la CWE corrispondente sarebbe CWE-89: Improper Neutralization of Special Elements used in an SQL Command. In sintesi, le CWE servono a categorizzare e analizzare le falle, mentre le CVE permettono di seguirle e correggerle individualmente.

CAPEC e CWE sono due database complementari gestiti da MITRE, ma non hanno lo stesso obiettivo. CWE descrive le debolezze tecniche nel codice o nella progettazione (es: mancanza di convalida dell'input), mentre CAPEC descrive i metodi di attacco che sfruttano queste debolezze (es: SQL injection).

In altre parole, CWE si concentra sulla causa, mentre CAPEC si concentra sull'azione dell'attaccante. I due possono essere collegati: un modello CAPEC specifica spesso quali CWE prende di mira, il che consente di collegare la vulnerabilità teorica, lo sfruttamento pratico e i CVE associati.